IPsec 接続の監視方法 - VPN Gateway - Alibaba Cloud ドキュメントセンター

監視は、IPsec 接続の信頼性、可用性、およびパフォーマンスを維持するために不可欠です。VPN Gateway を使用すると、IPsec 接続のトンネルネゴシエーションステータス、およびインバウンドとアウトバウンドのトラフィックレートを監視できます。これにより、IPsec 接続の運用ステータスと帯域幅の使用状況が明確に表示され、ネットワーク帯域幅のボトルネックを迅速に特定し、ネットワークの障害や異常を検出し、ネットワークの信頼性と可用性を向上させることができます。VPN Gateway の監視機能は Cloud Monitor と統合されています。これにより、Cloud Monitor コンソールで Alibaba Cloud リソースを一元的に監視および管理できます。

IPsec トンネルのステータスを監視する

VPN Gateway は、トンネルレベルでのステータス変更を監視します。VPN Gateway コンソールでトンネルの現在のステータスを表示できます。トンネルのステータス変更を迅速に検出するには、システムイベントをサブスクライブするか、メトリックにしきい値ベースのアラートルールを設定します。

IPsec トンネルのステータスを表示する
クリックしてプロシージャを表示
VPN Gateway コンソールにログインし、IPsec-VPN 接続がデプロイされているリージョンを選択します。左側のナビゲーションウィンドウで、[VPN] > [IPsec-VPN 接続] を選択します。
- デュアルトンネル IPsec-VPN 接続
  IPsec-VPN 接続 ページで、IPsec-VPN 接続の ID をクリックして詳細ページを開きます。Tunnel タブの 接続ステータス 列で、アクティブトンネルとスタンバイのトンネルのネゴシエーションステータスを表示できます。
- シングルトンネル IPsec-VPN 接続
  IPsec-VPN 接続 ページで、ターゲット IPsec-VPN 接続を見つけ、接続ステータス 列でそのネゴシエーションステータスを表示します。
説明
IPsec-VPN 接続またはトンネルのステータスが異常な場合は、コンソールに表示されるエラーコードに基づいて問題をトラブルシューティングできます。詳細については、「問題のトラブルシューティング」をご参照ください。
VPN Gateway のシステムイベント

VPN Gateway のシステムイベントは、トンネルネゴシエーションステータスとヘルスチェックステータスに関する通知を記録および送信するために VPN Gateway によって定義されます。Cloud Monitor コンソールで VPN Gateway によって生成されたシステムイベントを表示できます。詳細については、「システムイベントの表示」をご参照ください。リソースのステータス変更の通知を迅速に受け取り、アクションを実行するには、システムイベントをサブスクライブできます。

クリックして VPN Gateway でサポートされているシステムイベントを表示

重要

システムイベントは、リソースのステータスが変更された場合にのみ生成されます。

たとえば、IPsec-VPN 接続のヘルスチェックを設定し、最初のヘルスチェックが失敗した場合、システムはデフォルトで [ヘルスチェックに失敗しました] システムイベントを生成しません。システムは、ヘルスチェックステータスが失敗から成功に、または成功から失敗に変わった場合にのみ、[ヘルスチェックに成功しました] または [ヘルスチェックに失敗しました] システムイベントを生成します。システムイベントをサブスクライブすると、これらのイベントのアラート通知を受信します。

リソース	イベント名	イベントの説明	説明	イベントタイプ	イベントレベル
デュアルトンネル IPsec-VPN 接続	ipsec_tunnel_nego_success	IPsec トンネルのネゴシエーションが成功しました	デュアルトンネル IPsec-VPN 接続シナリオでは、IPsec トンネルのネゴシエーションが成功しました。	ステータス通知	情報
	ipsec_tunnel_nego_failed	IPsec トンネルのネゴシエーションが失敗しました	デュアルトンネル IPsec-VPN 接続シナリオでは、IPsec トンネルのネゴシエーションが失敗しました。	ステータス通知	警告
	ipsec_vco_tunnel_all_nego_failed	すべての IPsec トンネルのネゴシエーションが失敗しました	デュアルトンネル IPsec-VPN 接続シナリオでは、両方の IPsec トンネルのネゴシエーションが失敗しました。	ステータス通知	警告
シングルトンネル IPsec-VPN 接続	ipsec_phase1_nego_failed	IPsec フェーズ 1 のネゴシエーションが失敗しました	IPsec-VPN 接続が VPN Gateway インスタンスにアタッチされているシナリオでは、IPsec-VPN 接続のフェーズ 1 ネゴシエーションが失敗しました。	ステータス通知	警告
	ipsec_phase1_nego_success	IPsec フェーズ 1 のネゴシエーションが成功しました	IPsec-VPN 接続が VPN Gateway インスタンスにアタッチされているシナリオでは、IPsec-VPN 接続のフェーズ 1 ネゴシエーションが成功しました。	ステータス通知	情報
	ipsec_phase2_nego_failed	IPsec フェーズ 2 のネゴシエーションが失敗しました	IPsec-VPN 接続が VPN Gateway インスタンスにアタッチされているシナリオでは、IPsec-VPN 接続のフェーズ 2 ネゴシエーションが失敗しました。	ステータス通知	警告
	ipsec_phase2_nego_success	IPsec フェーズ 2 のネゴシエーションが成功しました	IPsec-VPN 接続が VPN Gateway インスタンスにアタッチされているシナリオでは、IPsec-VPN 接続のフェーズ 2 ネゴシエーションが成功しました。	ステータス通知	情報
	ipsec_health_check_failed	ヘルスチェックに失敗しました	IPsec-VPN 接続が VPN Gateway インスタンスにアタッチされているシナリオでは、IPsec-VPN 接続のヘルスチェックが失敗しました。	ステータス通知	警告
	ipsec_health_check_success	ヘルスチェックに成功しました	IPsec-VPN 接続が VPN Gateway インスタンスにアタッチされているシナリオでは、IPsec-VPN 接続のヘルスチェックが成功しました。	ステータス通知	情報
	vpn_connection_hc_failed	VPN 接続のヘルスチェックが失敗しました	IPsec-VPN 接続が TransitRouter にアタッチされているシナリオでは、IPsec-VPN 接続のヘルスチェックが失敗しました。	ステータス通知	警告
	vpn_connection_hc_success	VPN 接続のヘルスチェックが成功しました	IPsec-VPN 接続が TransitRouter にアタッチされているシナリオでは、IPsec-VPN 接続のヘルスチェックが成功しました。	ステータス通知	情報
	vpn_connection_ph1_failed	VPN 接続フェーズ 1 のネゴシエーションが失敗しました	IPsec-VPN 接続が TransitRouter にアタッチされているシナリオでは、IPsec-VPN 接続のフェーズ 1 ネゴシエーションが失敗しました。	ステータス通知	警告
	vpn_connection_ph1_success	VPN 接続フェーズ 1 のネゴシエーションが成功しました	IPsec-VPN 接続が TransitRouter にアタッチされているシナリオでは、IPsec-VPN 接続のフェーズ 1 ネゴシエーションが成功しました。	ステータス通知	情報
	vpn_connection_ph2_failed	VPN 接続フェーズ 2 のネゴシエーションが失敗しました	IPsec-VPN 接続が TransitRouter にアタッチされているシナリオでは、IPsec-VPN 接続のフェーズ 2 ネゴシエーションが失敗しました。	ステータス通知	警告
	vpn_connection_ph2_success	VPN 接続フェーズ 2 のネゴシエーションが成功しました	IPsec-VPN 接続が TransitRouter にアタッチされているシナリオでは、IPsec-VPN 接続のフェーズ 2 ネゴシエーションが成功しました。	ステータス通知	情報
SSL-VPN 接続	CertKeyExpired	証明書の有効期限が切れました	SSL クライアント証明書の有効期限が切れています。	異常	クリティカル

IPsec トンネルのステータスメトリック

VPN Gateway は、トンネルステータスに関連するメトリックを提供します。これらのメトリックに対してしきい値ベースのアラートルールを設定して、トンネルのステータス変更の通知を迅速に受け取ることができます。

クリックしてトンネルのステータスメトリックを表示

リソース	メトリック名	メトリックの説明	説明
vpn (VPN Gateway) VPN Gateway にアタッチされている IPsec-VPN 接続を示します。	ipsec.state	VPN Gateway 上の IPsec-VPN 接続のネゴシエーションステータス	シングルトンネル IPsec-VPN 接続のネゴシエーションステータス。値 `0` はネゴシエーションが異常であることを示します。値 `1` はネゴシエーションが正常であることを示します。
	tun.state	VPN Gateway 上の IPsec-VPN 接続のトンネルのネゴシエーションステータス	デュアルトンネル IPsec-VPN 接続のトンネルのネゴシエーションステータス。値 0 はネゴシエーションが異常であることを示します。値 1 はネゴシエーションが正常であることを示します。
	ipsec.bgp_state	VPN Gateway 上の IPsec-VPN 接続の BGP ネゴシエーションステータス	VPN Gateway 上のシングルトンネル IPsec-VPN 接続のボーダーゲートウェイプロトコル (BGP) ネゴシエーションステータス。値 `0` は BGP ネゴシエーションが異常であることを示します。値 `1` は BGP ネゴシエーションが正常であることを示します。
	tun.bgp_state	VPN Gateway 上の IPsec トンネルの BGP ネゴシエーションステータス	VPN Gateway 上のデュアルトンネル IPsec トンネルの BGP ネゴシエーションステータス。値 `0` は BGP ネゴシエーションが異常であることを示します。値 `1` は BGP ネゴシエーションが正常であることを示します。
vpnconnection (VPN 接続) TransitRouter にアタッチされている IPsec-VPN 接続を示します。	vpn_connection.state	VpnAttachment の IPsec-VPN 接続のネゴシエーションステータス	シングルトンネル IPsec-VPN 接続のネゴシエーションステータス。値 `0` はネゴシエーションが異常であることを示します。値 `1` はネゴシエーションが正常であることを示します。
	vpn_connection_tun.state	VpnAttachment のトンネルのネゴシエーションステータス	デュアルトンネル IPsec-VPN 接続のトンネルのネゴシエーションステータス。値 `0` はネゴシエーションが異常であることを示します。値 `1` はネゴシエーションが正常であることを示します。
	vpn_connection.bgp_state	IPsec-VPN 接続の BGP ネゴシエーションステータス	シングルトンネル IPsec-VPN 接続の BGP ネゴシエーションステータス。値 `0` は BGP ネゴシエーションが異常であることを示します。値 `1` は BGP ネゴシエーションが正常であることを示します。
	vpn_connection_tun.bgp_state	IPsec トンネルの BGP ネゴシエーションステータス	デュアルトンネル IPsec トンネルの BGP ネゴシエーションステータス。値 `0` は BGP ネゴシエーションが異常であることを示します。値 `1` は BGP ネゴシエーションが正常であることを示します。

IPsec-VPN 接続のトラフィックレートを監視する

VPN Gateway を使用すると、VPN Gateway インスタンス、IPsec-VPN 接続、およびトンネルレベルで、インバウンドおよびアウトバウンドのトラフィックレート、パケットレート、および帯域幅使用量を表示できます。これにより、ネットワークの輻輳や異常トラフィックを迅速に特定し、帯域幅の使用率を最適化できます。

IPsec-VPN 接続のトラフィックレートを表示する

このセクションでは、VPN Gateway コンソールでトラフィックレート情報を表示する方法について説明します。Cloud Monitor コンソールで IPsec-VPN 接続のトラフィックレートを表示することもできます。詳細については、「クラウドサービスの監視」をご参照ください。

IPsec-VPN 接続とトンネルのトラフィックレートを表示する

VPN Gateway コンソールにログインし、IPsec-VPN 接続がデプロイされているリージョンを選択します。左側のナビゲーションウィンドウで、[VPN] > [IPsec-VPN 接続] を選択します。IPsec-VPN 接続 ページで、IPsec-VPN 接続の ID をクリックします。IPsec-VPN 接続の詳細ページで、[モニタリング] タブをクリックしてトラフィックレートを表示します。

デュアルトンネル IPsec-VPN 接続の場合、[ディメンション] を選択して個々のトンネルのトラフィックレートを表示できます。

監視ディメンション	メトリック	説明
IPsec-VPN 接続	IPsec-VPN 接続のインバウンドパケットレート	IPsec-VPN 接続がデータパケットを受信するレート。単位: pps。
	IPsec-VPN 接続のアウトバウンドパケットレート	IPsec-VPN 接続がデータパケットを送信するレート。単位: pps。
	IPsec-VPN 接続のインバウンドレート	IPsec-VPN 接続がトラフィックを受信するレート。単位: bps。
	IPsec-VPN 接続のアウトバウンドレート	IPsec-VPN 接続がトラフィックを送信するレート。単位: bps。
トンネル	トンネルのインバウンドパケットレート	トンネルがデータパケットを受信するレート。単位: pps。
	トンネルのアウトバウンドパケットレート	トンネルがデータパケットを送信するレート。単位: pps。
	トンネルのインバウンドトラフィックレート	トンネルがトラフィックを受信するレート。単位: bps。
	トンネルのアウトバウンドトラフィックレート	トンネルがトラフィックを送信するレート。単位: bps。

VPN Gateway インスタンスのトラフィックレートを表示する

VPN Gateway インスタンスに複数の IPsec-VPN 接続がある場合、インスタンスレベルでトラフィックレートを表示して、すべての接続の合計トラフィックレートを把握できます。

VPN Gateway コンソールにログインし、VPN Gateway インスタンスがデプロイされているリージョンを選択します。VPN Gateway ページで、VPN Gateway インスタンスの ID をクリックします。インスタンスの詳細ページで、モニター タブをクリックしてトラフィックレートを表示します。

VPN Gateway インスタンスに SSL-VPN 接続もある場合、メトリックには SSL-VPN 接続のトラフィックレートが含まれます。

メトリック	説明
VPN Gateway のインバウンドパケットレート	VPN Gateway インスタンスがデータパケットを受信するレート。単位: 1 秒あたりのパケット数 (pps)。
VPN Gateway のアウトバウンドパケットレート	VPN Gateway インスタンスがデータパケットを送信するレート。単位: pps。
VPN Gateway のインバウンドトラフィックレート	VPN Gateway インスタンスがトラフィックを受信するレート。単位: 1 秒あたりのビット数 (bps)。
VPN Gateway のアウトバウンドトラフィックレート	VPN Gateway インスタンスがトラフィックを送信するレート。単位: bps。
SSL クライアント接続数	SSL-VPN を介して VPN Gateway インスタンスに接続されているクライアントの数。単位: 個数。
VPN Gateway のインバウンド帯域幅使用率	VPN Gateway インスタンスがインバウンドトラフィックに使用する帯域幅の割合。
VPN Gateway のアウトバウンド帯域幅使用率	VPN Gateway インスタンスがアウトバウンドトラフィックに使用する帯域幅の割合。

トラフィックレートメトリックのしきい値ベースのアラートルールを作成する

Cloud Monitor コンソールでは、IPsec-VPN 接続のトラフィックレートメトリックに対してしきい値ベースのアラートルールを作成できます。トラフィックレートが設定したしきい値を超えると、システムはすぐにアラートを送信します。これにより、迅速に対応して問題を解決できます。

クリックしてトラフィックレートメトリックを表示

製品	監視対象リソース	メトリックと説明
VPN Gateway IPsec-VPN 接続が VPN Gateway にアタッチされているシナリオを指します。	VPN Gateway インスタンス	VPN Gateway のインバウンド帯域幅使用率 (in_bandwidth_utilization): VPN Gateway インスタンスがインバウンドトラフィックに使用する帯域幅の割合。 VPN Gateway のアウトバウンド帯域幅使用率 (out_bandwidth_utilization): VPN Gateway インスタンスがアウトバウンドトラフィックに使用する帯域幅の割合。 VPN Gateway のインバウンドパケットレート (net.rxPkgs): VPN Gateway インスタンスがデータパケットを受信するレート。 VPN Gateway のアウトバウンドパケットレート (net.txPkgs): VPN Gateway インスタンスがデータパケットを送信するレート。 SSL クライアント接続数 (ssl_client.count): SSL-VPN を介して VPN Gateway インスタンスに接続されているクライアントの数。 VPN Gateway のインバウンド帯域幅 (net_rx.rate): VPN Gateway インスタンスがトラフィックを受信するレート。 VPN Gateway のアウトバウンド帯域幅 (net_tx.rate): VPN Gateway インスタンスがトラフィックを送信するレート。
	IPsec-VPN 接続	VPN Gateway 上の IPsec-VPN 接続のインバウンドパケットレート (ipsec.rxPkgs): IPsec-VPN 接続がデータパケットを受信するレート。 VPN Gateway 上の IPsec-VPN 接続のアウトバウンドパケットレート (ipsec.txPkgs): IPsec-VPN 接続がデータパケットを送信するレート。 VPN Gateway 上の IPsec-VPN 接続のインバウンド帯域幅 (ipsec_rx.rate): IPsec-VPN 接続がトラフィックを受信するレート。 VPN Gateway 上の IPsec-VPN 接続のアウトバウンド帯域幅 (ipsec_tx.rate): IPsec-VPN 接続がトラフィックを送信するレート。 VPN Gateway 上の IPsec-VPN 接続の BGP ネゴシエーションステータス (ipsec.bgp_state): 値 `0` は BGP ネゴシエーションが異常であることを示します。値 `1` は BGP ネゴシエーションが正常であることを示します。 VPN Gateway 上の IPsec-VPN 接続のネゴシエーションステータス (ipsec.state): 値 `0` はネゴシエーションが異常であることを示します。値 `1` はネゴシエーションが正常であることを示します。
	トンネル	VPN Gateway 上の IPsec トンネルのインバウンドパケットレート (tun.rx_pps): トンネルがデータパケットを受信するレート。 VPN Gateway 上の IPsec トンネルのアウトバウンドパケットレート (tun.tx_pps): トンネルがデータパケットを送信するレート。 VPN Gateway 上の IPsec トンネルのインバウンドトラフィックレート (tun.rx_bps): トンネルがトラフィックを受信するレート。 VPN Gateway 上の IPsec トンネルのアウトバウンドトラフィックレート (tun.tx_bps): トンネルがトラフィックを送信するレート。 VPN Gateway 上の IPsec トンネルの BGP ネゴシエーションステータス (tun.bgp_state): 値 `0` は BGP ネゴシエーションが異常であることを示します。値 `1` は BGP ネゴシエーションが正常であることを示します。 VPN Gateway 上の IPsec トンネルのネゴシエーションステータス (tun.state): 値 `0` はネゴシエーションが異常であることを示します。値 `1` はネゴシエーションが正常であることを示します。
VPN 接続 IPsec-VPN 接続が TransitRouter にアタッチされているシナリオを指します。	IPsec-VPN 接続	VPN 接続のインバウンドパケットレート (vpn_connection.rxPkgs): IPsec-VPN 接続がデータパケットを受信するレート。 VPN 接続のアウトバウンドパケットレート (vpn_connection.txPkgs): IPsec-VPN 接続がデータパケットを送信するレート。 VPN 接続のインバウンド帯域幅 (vpn_connection_rx.rate): IPsec-VPN 接続がトラフィックを受信するレート。 VPN 接続のアウトバウンド帯域幅 (vpn_connection.tx.rate): IPsec-VPN 接続がトラフィックを送信するレート。 IPsec-VPN 接続の BGP ネゴシエーションステータス (vpn_connection.bgp_state): 値 `0` は BGP ネゴシエーションが異常であることを示します。値 `1` は BGP ネゴシエーションが正常であることを示します。 IPsec-VPN 接続のネゴシエーションステータス (vpn_connection.state): 値 `0` はネゴシエーションが異常であることを示します。値 `1` はネゴシエーションが正常であることを示します。
VPN 接続 IPsec-VPN 接続が TransitRouter にアタッチされているシナリオを指します。	トンネル	VPN 接続用 IPsec トンネルのインバウンドパケットレート (vpn_connection_tun.rxPkgs): トンネルがデータパケットを受信するレート。 VPN 接続用 IPsec トンネルのアウトバウンドパケットレート (vpn_connection_tun.txPkgs): トンネルがデータパケットを送信するレート。 VPN 接続用 IPsec トンネルのインバウンド帯域幅 (vpn_connection_tun.rx.rate): トンネルがトラフィックを受信するレート。 VPN 接続用 IPsec トンネルのアウトバウンド帯域幅 (vpn_connection_tun.tx.rate): トンネルがトラフィックを送信するレート。 VPN 接続用 IPsec トンネルの BGP ネゴシエーションステータス (vpn_connection_tun.bgp_state): 値 `0` は BGP ネゴシエーションが異常であることを示します。値 `1` は BGP ネゴシエーションが正常であることを示します。 VPN 接続用 IPsec トンネルのネゴシエーションステータス (vpn_connection_tun.state): 値 `0` はネゴシエーションが異常であることを示します。値 `1` はネゴシエーションが正常であることを示します。

IPsec-VPN トラフィック情報のクエリと分析

IPsec-VPN 接続を監視しているときに、送信元および宛先 IP アドレス、送信元および宛先ポート、プロトコルなど、トラフィックに関する詳細情報が必要になる場合があります。フローログ機能を使用して、インバウンドおよびアウトバウンドのトラフィック情報を記録できます。その後、フローログをクエリおよび分析して、IPsec-VPN トラフィックを理解できます。

IPsec-VPN 接続が VPN Gateway インスタンスにアタッチされているシナリオでは、VPC フローログを使用して VPN Gateway インスタンスのインバウンドおよびアウトバウンドのトラフィック情報を記録できます。詳細については、「ENI フローログを使用して VPN Gateway インスタンス経由で送信されるトラフィックをクエリおよび分析する」チュートリアルをご参照ください。
IPsec-VPN 接続が TransitRouter にアタッチされているシナリオでは、TransitRouter フローログを使用して VPN 接続のインバウンドおよびアウトバウンドのトラフィック情報を記録できます。詳細については、「フローログを使用してリージョン間のトップトラフィックをクエリする」チュートリアルをご参照ください。

リファレンス

API を呼び出して IPsec-VPN リソースのメトリックデータをクエリするには、Cloud Monitor の API を使用できます。

Cloud Monitor が提供する API の詳細については、「クラウドサービスの監視」をご参照ください。
API を呼び出すときに必要な [Namespace]、[MetricName]、[Dimensions]、および [Period] データについては、「付録 1: クラウドサービス監視メトリック」ドキュメントをご参照ください。