Logs und Messwerte ansehen

Cloud VPN-Gateways senden Logging-Informationen an Cloud Logging und Cloud VPN-Tunnel senden Monitoring-Messwerte an Cloud Monitoring. Auf dieser Seite werden Logs und Messwerte erläutert und wie Sie diese aufrufen können.

Zur Überwachung der VPN-Tunnel-Nutzung können Sie Benachrichtigungen zur Bandbreite des VPN-Tunnels definieren. Diese Monitoring-Methode wird für Produktionsarbeitslasten empfohlen.

Logs ansehen

Cloud VPN-Gateways senden bestimmte Logs an Cloud Logging. Cloud VPN-Logeinträge enthalten hilfreiche Informationen für das Monitoring und die Fehlerbehebung bei Ihren VPN-Tunneln. Beispiele:

  • Allgemeine Informationen, die in Google Cloud-Logs angezeigt werden, wie Wichtigkeit, Projekt-ID, Projektnummer und Zeitstempel.
  • Andere Informationen, die je nach Logeintrag unterschiedlich sind.

Eine Liste hilfreicher Logs finden Sie unter VPN-Logs.

Console

So rufen Sie Logs für Cloud VPN auf:

  • Rufen Sie in der Google Cloud Console die Seite Logs-Explorer auf.

    Zum Log-Explorer

    VPN-Logs sind über das VPN-Gateway indexiert, von dem sie erstellt wurden:

    • Zum Aufrufen aller VPN-Logs wählen Sie im ersten Drop-down-Menü Cloud VPN-Gateway aus und klicken Sie auf Alle gateway_id.
    • Zum Aufrufen von Logs für nur ein Gateway wählen Sie einen einzelnen Gateway-Namen aus dem Menü aus.

  • Boolesche Logfelder werden normalerweise nur angezeigt, wenn sie den Wert true haben. Wenn ein boolesches Feld einen Wert false hat, erscheint dieses Feld nicht im Log.

  • Für Logfelder wird eine UTF-8-Codierung erzwungen. Zeichen, bei denen es sich nicht um UTF-8-Zeichen handelt, werden durch Fragezeichen ersetzt.

Logs weiterleiten

Sie können für die Cloud VPN-Ressourcenlogs das Routing von logbasierten Logging-Messwerten konfigurieren.

Cloud Logging speichert Cloud VPN-Logs nur für 30 Tage. Wenn Sie Ihre Logs länger aufbewahren möchten, müssen Sie sie weiterleiten. Sie können Cloud VPN-Logs zur Analyse in Pub/Sub oder BigQuery weiterleiten.

Messwerte aufrufen

Mit Cloud Monitoring können Sie Messwerte aufrufen und Benachrichtigungen in Verbindung mit Ihren VPN-Tunneln erstellen.

Zusätzlich zu den vordefinierten Dashboards in Cloud Monitoring haben Sie die Möglichkeit, mit der Monitoring API oder mit der Google Cloud Console benutzerdefinierte Dashboards zu erstellen, Benachrichtigungen einzurichten und Messwerte abzurufen.

Monitoring-Dashboards aufrufen

In den folgenden Abschnitten werden die verschiedenen Möglichkeiten zum Aufrufen von Monitoring-Dashboards für Cloud VPN erläutert.

Messwerte in der Monitoring-VPN-Ressource aufrufen

Console

So rufen Sie die Messwerte einer überwachten Ressource mit der Monitoring-VPN-Ressource auf:

  1. Rufen Sie in der Google Cloud Console die Seite Monitoring auf.

    Zu Monitoring

  2. Wenn im Navigationsbereich von Monitoring Ressourcen angezeigt wird, wählen Sie erst Ressourcen und dann VPN aus. Um das Dashboard für ein bestimmtes Gateway aufzurufen, klicken Sie auf dessen Namen in der Liste.

  3. Alternativ können Sie auch Dashboards und dann das Dashboard mit dem Namen VPN auswählen. In der Karte Inventar finden Sie eine Liste der VPNs. Um das Dashboard für ein bestimmtes Gateway aufzurufen, klicken Sie in der Liste auf dessen Namen.

Messwerte in Metrics Explorer aufrufen

Console

So rufen Sie mit dem Metrics Explorer die Messwerte für eine überwachte Ressource auf:

  1. Wählen Sie im Navigationsbereich der Google Cloud Console Monitoring und anschließend  Metrics Explorer aus:

    Zum Metrics Explorer

  2. Maximieren Sie im Element Messwert das Menü Messwert auswählen, geben Sie Cloud VPN in die Filterleiste ein und wählen Sie dann über die Untermenüs einen bestimmten Ressourcentyp und Messwert aus:
    1. Wählen Sie im Menü Aktive Ressourcen die Option Cloud VPN aus. Dieser Ressourcentyp ist entweder für klassische VPN-Gateways oder für HA VPN-Gateways gültig.
    2. Einen Messwert wählen Sie in den Menüs Aktive Messwertkategorien und Aktive Messwerte aus. Eine vollständige Liste der Messwerte finden Sie unter Liste der Cloud VPN-Messwerte.
    3. Klicken Sie auf Anwenden.

  3. Verwenden Sie das Element Filter, um Zeitreihen aus der Anzeige zu entfernen.

  4. Verwenden Sie zum Kombinieren von Zeitreihen die Menüs im Element Aggregation. Wenn Sie beispielsweise die CPU-Auslastung für Ihre VMs basierend auf ihrer Zone anzeigen möchten, legen Sie das erste Menü auf Mittelwert und das zweite Menü auf Zone fest.

    Alle Zeitreihen werden angezeigt, wenn das erste Menü des Elements Aggregation auf Nicht aggregiert gesetzt ist. Die Standardeinstellungen für das Element Aggregation werden durch den ausgewählten Messwerttyp bestimmt.

  5. Gehen Sie für Kontingente und andere Messwerte, die eine Stichprobe pro Tag melden, so vor:
    1. Legen Sie im Bereich Anzeige den Widget-Typ auf Gestapeltes Balkendiagramm fest.
    2. Legen Sie als Zeitraum mindestens eine Woche fest.

Messwerte aus einem VPN-Tunnel aufrufen

Sie können auch Messwerte in der Google Cloud Console aufrufen, indem Sie auf den Tab Monitoring für einen Tunnel klicken. Auf diesem Tab sind verschiedene Zeitachsengrafiken enthalten.

Monitoring-Benachrichtigungen definieren

Console

Sie können Benachrichtigungsrichtlinien erstellen, um Messwerte zu beobachten und sich informieren zu lassen, wenn diese gegen eine Bedingung verstoßen.

  1. Wählen Sie im Navigationsbereich der Google Cloud Console Monitoring und anschließend  Benachrichtigungen aus:

    Zu Benachrichtigungen

  2. Wenn Sie keine Benachrichtigungskanäle erstellt haben und Benachrichtigungen erhalten möchten, klicken Sie auf Benachrichtigungskanäle bearbeiten und fügen Sie Benachrichtigungskanäle hinzu. Kehren Sie nach dem Hinzufügen der Kanäle zur Seite Benachrichtigungen zurück.
  3. Klicken Sie auf der Seite Benachrichtigungen auf Richtlinie erstellen.
  4. Maximieren Sie zum Auswählen des Messwerts das Menü Messwert auswählen und gehen Sie dann so vor:
    1. Um das Menü auf relevante Einträge zu beschränken, geben Sie in die Filterleiste Cloud VPN gateway ein. Wenn nach dem Filtern des Menüs keine Ergebnisse angezeigt werden, deaktivieren Sie die Option Nur aktive Ressourcen und Messwerte anzeigen.
    2. Wählen Sie als Ressourcentyp Cloud VPN-Gateway aus.
    3. Wählen Sie eine Messwertkategorie und einen Messwert aus und klicken Sie dann auf Übernehmen.
  5. Klicken Sie auf Next (Weiter).
  6. Die Einstellungen auf der Seite Benachrichtigungstrigger konfigurieren bestimmen, wann die Benachrichtigung ausgelöst wird. Wählen Sie einen Bedingungstyp aus und geben Sie ggf. einen Schwellenwert an. Weitere Informationen finden Sie unter Benachrichtigungsrichtlinien mit Messwertschwellen erstellen.
  7. Klicken Sie auf Next (Weiter).
  8. Optional: Klicken Sie auf Benachrichtigungskanäle, um Benachrichtigungen zu Ihrer Benachrichtigungsrichtlinie hinzuzufügen. Wählen Sie im Dialogfeld einen oder mehrere Benachrichtigungskanäle aus dem Menü aus und klicken Sie dann auf OK.
  9. Optional: Aktualisieren Sie die Dauer bis zur automatischen Schließung von Vorfällen. Dieses Feld bestimmt, wann Monitoring Vorfälle ohne Messwertdaten schließt.
  10. Optional: Klicken Sie auf Dokumentation und geben Sie alle Informationen ein, die in einer Benachrichtigung angezeigt werden sollen.
  11. Klicken Sie auf Name der Benachrichtigung und geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.
  12. Klicken Sie auf Richtlinie erstellen.
Weitere Informationen finden Sie unter Benachrichtigungen.

Benachrichtigungen zur Bandbreite des VPN-Tunnels definieren

Um Benachrichtigungsrichtlinien für die unter Netzwerkbandbreite festgelegten Byte pro Sekunde (Byte/s) und für die Pakete pro Sekunde (PPS) zu erstellen, verwenden Sie die Monitoring Query Language (MQL).

Folgen Sie beim Eingeben der Abfragen der Anleitung unter MQL-Benachrichtigungsrichtlinien erstellen (Konsole) und prüfen Sie die folgenden Beispiele.

Für Konfigurationen mit Aktiv/Aktiv-Tunneln, die die Standardeinstellung sind, empfiehlt Google, für Ihre VPN-Tunnel einen Nutzungsschwellenwert von 50% festzulegen. Durch Festlegen von 50 % Benachrichtigungsrichtlinien für die Bandbreitennutzung Ihres VPN-Tunnels wird sichergestellt, dass im Falle eines Tunnel-Failovers ausreichende Kapazitäten vorhanden sind.

  • Abfrage für Byte/s: Diese Beispielabfrage benachrichtigt Sie, wenn die Summe von sent_bytes_count und received_bytes_count 50 % des Limits von 3 Gbit/s (375 Mbit/s) für einen bestimmten VPN-Tunnel überschreitet. "MBy" legt Megabyte als Maßeinheit fest. Der Wert von 187.5 "MBy" wird automatisch auf den Vergleich mit val() mit der Einheit "Bytes" skaliert. Die Ausrichtungsrate sollte entsprechend skaliert werden, um die erforderlichen Daten zu erfassen. Sie kann auf mindestens eine Sekunde (1 s) eingestellt und hochskaliert werden, wenn mehr Stichprobenpunkte über einen längeren Zeitraum von Tagen benötigt werden.

    fetch vpn_gateway
| { metric vpn.googleapis.com/network/sent_bytes_count
; metric vpn.googleapis.com/network/received_bytes_count }
| align rate (1m)
| filter (metric.tunnel_name == 'TUNNEL_NAME')
| outer_join 0,0
| value val(0) + val(1)
| condition val() > 187.5 "MBy/s"

  • Abfrage für PPS: Diese Beispielabfrage benachrichtigt Sie, wenn die Summe von sent_packets_count und received_packets_count 50 % der maximalen empfohlenen Paketrate von 250.000 PPS für einen bestimmten VPN-Tunnel überschreitet.

    fetch vpn_gateway
| { metric vpn.googleapis.com/network/sent_packets_count
; metric vpn.googleapis.com/network/received_packets_count }
| align rate (1m)
| filter (metric.tunnel_name == 'TUNNEL_NAME')
| outer_join 0,0
| value val(0) + val(1)
| condition val() > 125000 "{packets}/s"

Weitere Informationen zu MQL finden Sie unter Einführung in Monitoring Query Language.

Benutzerdefinierte Monitoring-Dashboards definieren

Console

So erstellen Sie benutzerdefinierte Monitoring-Dashboards über Cloud VPN-Messwerte:

  1. Rufen Sie in der Google Cloud Console die Seite Monitoring auf.

    Zu Monitoring

  2. Klicken Sie im Monitoring-Navigationsbereich auf Dashboards und dann auf Dashboard erstellen.

  3. Der Schieberegler für Bearbeiten muss sich in der Position Ein befinden.

  4. Klicken Sie in der Diagrammbibliothek auf das Widget, das Sie dem Dashboard hinzufügen möchten. Sie können das Widget auch aus der Bibliothek in den Grafikbereich ziehen.

  5. Konfigurieren Sie das Widget in dessen Konfigurationsbereich. Dieser wird angezeigt, wenn das Dashboard bearbeitet werden kann und das Widget ausgewählt ist.

  6. Klicken Sie zum Aktivieren der Diagrammbibliothek in der Symbolleiste des Dashboards auf Diagramm hinzufügen. Wiederholen Sie die vorherigen Schritte für jedes Widget, das Sie dem Dashboard hinzufügen möchten.

  7. Wählen Sie Messwerte und Filter aus. Bei Messwerten lautet der Ressourcentyp Cloud VPN-Gateway.

Weitere Informationen zum Konfigurieren des Widgets finden Sie unter Dashboard-Widget hinzufügen.

Weitere Informationen zum Einrichten benutzerdefinierter Dashboards erhalten Sie unter Benutzerdefinierte Dashboards verwalten.

Monitoring-Messwerte für Cloud VPN ansehen

Die folgenden Messwerte für Cloud VPN werden an Monitoring gemeldet. Messwerte, die keine einzelnen Ereignisse sind, beziehen sich auf das Zeitintervall.

Den Strings vom Typ "metric type" in dieser Tabelle muss vpn.googleapis.com/ vorangestellt werden. Dieses Präfix wurde in den Einträgen der Tabelle weggelassen. Verwenden Sie beim Abfragen eines Labels das Präfix metric.labels.. Beispiel: metric.labels.LABEL="VALUE".

Messwerttyp Startphase
Anzeigename
Art, Typ, Einheit
Überwachte Ressourcen		 Beschreibung
Labels
gateway/connections GA
Anzahl der Verbindungen
GAUGEINT641
vpn_gateway 		Gibt die Anzahl der HA-Verbindungen pro VPN-Gateway an. Alle 60 Sekunden wird eine Stichprobe erstellt. Nach der Stichprobe werden bis zu 60 Sekunden keine Daten angezeigt.
configured_for_sla: (BOOL) Gibt an, ob die HA-Verbindung für das SLA vollständig konfiguriert ist.
gcp_service_health: (BOOL) Gibt an, ob die Google Cloud-Seite der HA-Verbindung vollständig funktionsfähig ist.
end_to_end_health: (BOOL) Gibt an, ob die HA-Verbindung durchgehend funktionsfähig ist.
network/dropped_received_packets_count GA
Eingehende Pakete wurden verworfen
DELTAINT641
vpn_gateway 		Eingehende Pakete (von Peer-VPN empfangen), die für den Tunnel verworfen wurden. Alle 60 Sekunden wird eine Stichprobe erstellt. Nach der Stichprobe werden bis zu 180 Sekunden lang keine Daten angezeigt.
tunnel_name ist der Name des Tunnels.
gateway_name ist der Name des Gateways, das den Tunnel verwaltet.
network/dropped_sent_packets_count GA
Ausgehende Pakete wurden verworfen
DELTAINT641
vpn_gateway 		Ausgehende Pakete (an Peer-VPN-weitergeleitet), die für den Tunnel verworfen wurden. Alle 60 Sekunden wird eine Stichprobe erstellt. Nach der Stichprobe werden bis zu 180 Sekunden lang keine Daten angezeigt.
tunnel_name ist der Name des Tunnels.
gateway_name ist der Name des Gateways, das den Tunnel verwaltet.
network/received_bytes_count GA
Eingehende Byte
DELTAINT64By
vpn_gateway 		Eingehende Byte (von Peer-VPN empfangen) für den Tunnel. Alle 60 Sekunden wird eine Stichprobe erstellt. Nach der Stichprobe werden bis zu 180 Sekunden lang keine Daten angezeigt.
tunnel_name ist der Name des Tunnels.
gateway_name ist der Name des Gateways, das den Tunnel verwaltet.
network/received_packets_count GA
Empfangene Pakete
DELTAINT64{packets}
vpn_gateway 		Eingehende Pakete (von Peer-VPN empfangen) für den Tunnel. Alle 60 Sekunden wird eine Stichprobe erstellt. Nach der Stichprobe werden bis zu 60 Sekunden keine Daten angezeigt.
status: Bereitstellungsstatus, z. B. [erfolgreich, überschritten, gedrosselt].
tunnel_name ist der Name des Tunnels.
network/sent_bytes_count GA
Gesendete Byte
DELTAINT64By
vpn_gateway 		Ausgehende Byte (zu Peer-VPN weitergeleitet) für den Tunnel. Alle 60 Sekunden wird eine Stichprobe erstellt. Nach der Stichprobe werden bis zu 180 Sekunden lang keine Daten angezeigt.
tunnel_name ist der Name des Tunnels.
gateway_name ist der Name des Gateways, das den Tunnel verwaltet.
network/sent_packets_count GA
Gesendete Pakete
DELTAINT64{packets}
vpn_gateway 		Ausgehende Pakete (zu Peer-VPN weitergeleitet) für den Tunnel. Alle 60 Sekunden wird eine Stichprobe erstellt. Nach der Stichprobe werden bis zu 60 Sekunden keine Daten angezeigt.
status: Bereitstellungsstatus, z. B. [erfolgreich, überschritten, gedrosselt].
tunnel_name ist der Name des Tunnels.
tunnel_established GA
Tunnel eingerichtet
GAUGEDOUBLE1
vpn_gateway 		Gibt an, dass die Tunneleinrichtung erfolgreich war, wenn der Wert größer als 0 ist. Alle 60 Sekunden wird eine Stichprobe erstellt. Nach der Stichprobe werden bis zu 180 Sekunden lang keine Daten angezeigt.
tunnel_name ist der Name des Tunnels.
gateway_name ist der Name des Gateways, das den Tunnel verwaltet.

Die Tabelle wurde am 11.04.2024 um 19:12:46 Uhr (UTC) erstellt.

Messwerte für HA-Verbindungsstatus ansehen

Die folgenden Messwerte geben an, ob die Verbindung für ein HA VPN-Gateway fehlerfrei ist und ob ihre Konfiguration das SLA von 99,99 % erfüllt.

Wenn Sie beim Erstellen eines Diagramms den Ressourcentyp mit Cloud VPN-Gateway und den Messwert mit Anzahl der Verbindungen angeben, sind diese Labels im Feld Filter enthalten. Weitere Informationen finden Sie unter Messwerte, Filter und Aggregation.

Status Beschreibung
configured_for_sla Gibt an, ob die HA-Verbindung vollständig konfiguriert wurde. Das bedeutet, dass die Verbindung die erforderliche Anzahl von Tunneln enthält und ordnungsgemäß mit einem Cloud Router verbunden ist.
gcp_service_health Gibt an, ob die HA-Verbindung auf der Google Cloud-Seite ordnungsgemäß funktioniert. Beispielsweise ist der Tunnel zugewiesen.
end_to_end_health Gibt an, ob Pakete innerhalb der HA-Verbindung erfolgreich gesendet und empfangen werden.

Messwerte in Netzwerktopologie ansehen

Sie können Netzwerktopologie verwenden, um Ihre Netzwerkkonfiguration zu prüfen und Netzwerkprobleme zu beheben.

Netzwerktopologie blendet Durchsatzwerte zu jeder Verbindung ein. Mit diesem Feature können Sie schnell die Menge an Traffic sehen, der zwischen Entitäten übertragen wird, z. B. der Traffic, der die VPN-Tunnel zwischen Google Cloud und dem lokalen Netzwerk durchläuft.

Informationen zu den unterstützten Messwerten für jede Verbindung finden Sie in der Referenz zu Messwerten.

Die Messwerte basieren auf den letzten fünf Minuten der aktuell ausgewählten Stunde. Sie können auch bisherige Messwerte für sechs Wochen aufrufen, indem Sie auf einen der Edges klicken.

Weitere Informationen finden Sie unter Datenerfassung und -aktualität.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerktopologie auf.

    Zur Seite "Netzwerktopologie"

  2. Wählen Sie im Bereich der Entitätenauswahl einen Messwert aus dem Drop-down-Menü Edge-Messwert aus.

  3. Wechseln Sie zu einer bestimmten Entitätshierarchie, damit der mit dieser Entität verbundene Traffic angezeigt wird.

    Wenn Sie sich beispielsweise die Trafficbandbreite für den VPN-Tunnel zwischen Google Cloud und dem lokalen Netzwerk ansehen möchten, maximieren Sie die Entitäten, bis die Verbindung für den VPN-Tunnel sichtbar ist.

  4. Klicken Sie auf die Entität, um alle ihre Trafficpfade hervorzuheben.

    Netzwerktopologie zeigt Messwerte für jede Verbindung an, die den derzeit ausgewählten Messwert unterstützt.

Gründe für das Verwerfen

Wenn ein Cloud VPN-Gateway ein Paket verwirft, gibt das Gateway einen Grund dafür an.

Grund Beschreibung Trafficquelle
dont_fragment_icmp Das verworfene Paket war ein ICMP-Paket, das größer als die MTU mit dem Bit do not fragment war. Diese Pakete werden für path-mtu-discovery verwendet. Google Cloud-VM
exceeds_mtu Das erste Fragment eines ausgehenden UDP- oder ESP-Pakets ist größer als die MTU und hat das do not fragment-Bit. Google Cloud-VM
dont_fragment_nonfirst_fragment Ein Fragment eines ausgehenden UDP- oder ESP-Pakets, das nicht das erste Fragment und größer als die MTU ist und das do not fragment-Bit hat. Google Cloud-VM
Sent packets::invalid Das Paket war ungültig oder beschädigt. Das Paket hat z. B. möglicherweise einen ungültigen IP-Header. Google Cloud-VM
Sent packets::throttled Das Paket wurde aufgrund einer zu hohen Belastung auf dem Cloud VPN-Gateway verworfen. Google Cloud-VM
fragment_received Ein vom Peer gesendetes fragmentiertes Paket wurde empfangen. Peer-VPN-Gateway
sequence_number_lost Ein Paket mit einer höheren als der erwarteten Sequenznummer ist am Gateway eingegangen, was darauf hinweist, dass ein Paket mit einer früheren Sequenznummer verworfen wurde. Peer-VPN-Gateway
suspected_replay Ein ESP-Paket mit bereits empfangener Sequenznummer wurde empfangen. Peer-VPN-Gateway
Received packets::invalid Das Paket war ungültig oder beschädigt. Das Paket hat z. B. möglicherweise einen ungültigen IP-Header. Peer-VPN-Gateway
Received packets::throttled Das Paket wurde aufgrund einer zu hohen Belastung auf dem Cloud VPN-Gateway verworfen. Peer-VPN-Gateway
sa_expired Es ist ein Paket mit unbekannter Security Association (SA) eingegangen. Dies kann auf die Verwendung einer SA zurückzuführen sein, die bereits abgelaufen ist oder nie ausgehandelt wurde. Peer-VPN-Gateway
unknown Das Paket wurde verworfen, aber das Gateway kann den Fehler nicht einordnen. Beides

Nächste Schritte

  • Weitere Informationen zum Monitoring finden Sie unter Cloud Monitoring.
  • Weitere Informationen zum Erfassen von Logs und zum Konfigurieren von Senken für Cloud VPN erhalten Sie unter Cloud Logging.
  • Informationen zur Behebung häufiger Probleme bei der Verwendung von Cloud VPN finden Sie unter Fehlerbehebung.