使用雙隧道模式的VPN網關執行個體實現網路通訊時,系統會在VPC執行個體的交換器下建立ENI,作為與VPC之間流量互連的介面。您可以使用VPC的流日誌功能記錄VPN網關ENI的流量傳輸資訊,然後通過查詢分析VPN網關ENI的流日誌瞭解VPN網關執行個體的流量傳輸情況。例如,您可以通過查詢分析ENI的流日誌瞭解哪些主機通過VPN網關執行個體進行通訊、哪些主機訪問了VPC下的資源、哪些ECS執行個體的流量較高等。
情境樣本
本文將以下圖情境為例,介紹如何使用VPC流日誌功能記錄VPN網關ENI的流量傳輸資訊,以及如何查詢分析VPN網關ENI流日誌瞭解VPN網關執行個體的流量傳輸情況。
如下圖所示,兩個VPC執行個體已通過IPsec-VPN實現了網路互連。本文將為VPN網關執行個體1下的ENI建立流日誌,記錄VPN網關執行個體1傳輸的流量資訊。
兩個VPC執行個體如何通過IPsec-VPN實現網路互連,請參見建立VPC到VPC的IPsec-VPN串連(雙隧道模式)。
步驟一:查看VPN網關ENI資訊
建立雙隧道模式的VPN網關執行個體後,您可以在VPN網關執行個體詳情頁面查看系統建立的ENI的資訊。
- 登入VPN網關管理主控台。
在頂部功能表列,選擇VPN網關執行個體的地區。
在VPN網關頁面,單擊目標VPN網關執行個體ID。
在VPN網關執行個體詳情頁面的基本資料地區,查看系統建立的ENI ID及名稱。
說明如果VPN網關僅開啟了IPsec-VPN功能或僅開啟了SSL-VPN功能,則系統會在VPC執行個體的交換器下建立2個ENI,如果VPN網關同時開啟了IPsec-VPN功能和SSL-VPN功能,則系統會在VPC執行個體的交換器下建立4個ENI。
本文的VPN網關執行個體僅開通了IPsec-VPN功能。
步驟二:建立流日誌
前提條件:建立流日誌前,請確保您已經開通Log Service。
根據以下資訊,為VPN網關執行個體1下的每個ENI均建立一個流日誌。建立流日誌後,流日誌預設為啟動狀態,會自動開始記錄ENI的流量資訊。流日誌記錄的欄位資訊,請參見流日誌功能介紹。
- 登入專用網路管理主控台。
- 在左側導覽列,選擇。
首次使用流日誌功能時,單擊立即開通完成流日誌功能的開通。
說明如果您之前建立過流日誌執行個體,單擊立即開通後,已建立的流日誌執行個體會重新展示在流日誌頁面。
在頂部功能表列處,選擇VPN網關執行個體所屬的地區。
在流日誌頁面,單擊建立流日誌。
在建立流日誌對話方塊,根據以下資訊配置流日誌,然後單擊確定。
下表僅列舉本文強相關的配置,其餘配置項保持預設值或為空白。更多資訊,請參見建立流日誌。
配置
說明
資源類型
選擇要記錄日誌的資源類型。
本文選擇彈性網卡。
資源執行個體
選擇VPN網關執行個體下的ENI。
流量類型
選擇要記錄日誌的流量類型:
全部流量:捕獲指定資源的全部流量。
被存取控制允許的流量:捕獲指定資源被安全性群組規則和網路ACL規則允許的流量。
被存取控制拒絕的流量:捕獲指定資源被安全性群組規則和網路ACL規則拒絕的流量。
本文以全部流量為例,您可以根據實際查詢需求選擇對應的流量類型。
項目(Project)
選擇管理流日誌的專案(Project):
選擇現有Project:從已有的專案中選擇管理流日誌的專案。
建立Project:建立一個專案。
本文選擇建立Project。
日誌庫(Logstore)
選擇儲存流日誌的日誌庫(Logstore):
選擇現有 Logstore:從已有的專案中選擇儲存流日誌的日誌庫。
建立 Logstore:建立一個日誌庫。
本文選擇建立 Logstore。本文情境中將VPN網關執行個體1所有ENI的日誌均投遞到同一個日誌庫中,以便後續查詢分析日誌。
開啟流日誌分析報表功能
選擇該功能後,所選的LogStore會開啟索引並建立儀錶盤,支援對資料進行SQL與可視化分析。
Log Service索引功能按流量收費,儀錶盤不收費。更多資訊,請參見Log Service計費說明。
本文選擇開啟本功能,以便後續查詢分析流日誌。
採樣間隔(分鐘)
選擇流日誌採樣的時間間隔。
本文選擇1分鐘採樣間隔。
步驟三:查詢分析流日誌
流日誌記錄的流量資訊會以流日誌形式被自動投遞至阿里雲Log Service產品,您需要前往Log Service管理主控台查詢分析VPN網關ENI日誌資訊。
登入專用網路管理主控台。
在左側導覽列,選擇。
在頂部功能表列處,選擇流日誌所屬的地區。
在流日誌頁面,找到目標流日誌,然後在Log Service列單擊日誌庫(Logstore)名稱的連結,系統將自動跳轉到Log Service管理主控台。
在日誌庫詳情頁面,您可以通過查詢分析ENI日誌瞭解VPN網關執行個體1的流量傳輸情況。
本文將以下述查詢情境為例,介紹如何查詢分析ENI流日誌。您也可以根據實際需求自訂查詢情境。
查詢情境
本文查詢VPN網關執行個體1每個ENI下通訊的主機資訊,以及每對主機傳輸的位元組數。
查詢語句
* | select "eni-id",srcaddr,dstaddr,direction,sum(bytes) as byte from log GROUP BY "eni-id",srcaddr,dstaddr,direction ORDER BY "eni-id" DESC limit 10執行查詢步驟
序號
步驟描述
①
選擇要查詢哪個時間段內的流日誌。
②
輸入SQL語句。
③
單擊查詢/分析。
④
通用配置頁簽中所有模組配置均使用預設值。
您可以根據實際需求自訂統計圖表展示效果。更多資訊,請參見統計圖表(Pro版本)概述。
⑤
在預覽圖表地區查看、篩選或排序查詢結果,通過查詢結果瞭解VPN網關執行個體流量傳輸情況。例如:
VPN網關執行個體1當前使用eni-7xv1sg8m****39傳輸串流量。
VPC1下的ECS2在最近15分鐘內沒有進行通訊。
ECS1和ECS4在最近15分鐘內通訊時佔用頻寬較多。
說明流量傳輸方向說明:
in:指流量從VPC去往ENI的方向。
out:指流量從ENI去往VPC的方向。
⑥
(可選)本文將該查詢情境添加到儀錶盤,以便隨時可以查看該情境的查詢結果。
單擊添加到儀錶盤,在彈出的對話方塊中設定以下參數資訊:
操作類型:本文以建立儀錶盤為例進行說明。
配置模式:本文以網格布局為例進行說明。
儀錶盤名稱:填寫儀錶盤的名稱,本文輸入VPN網關1。
關於儀錶盤的更多資訊,請參見儀錶盤。
相關文檔
關於您想要瞭解查詢分析日誌的更多功能,請參見通過索引模式查詢和分析日誌。