Cloud VPN 閘道會將記錄資訊傳送給 Cloud Logging,而 Cloud VPN 通道則會將監控指標傳送給 Cloud Monitoring。本頁面說明記錄和指標,以及如何查看這些資料。
如要監控 VPN 通道使用率,可以為 VPN 通道頻寬定義快訊。建議您對正式環境工作負載採用這項監控方法。
查看記錄
Cloud VPN 閘道會將特定記錄傳送給 Cloud Logging。Cloud VPN 記錄項目包含的資訊適合用於監控 VPN 通道及對通道進行偵錯,例如:
- 多數 Google Cloud 記錄檔所示的一般資訊,如嚴重性、專案 ID、專案編號和時間戳記。
- 因記錄項目而異的其他資訊。
如需實用記錄清單,請參閱「VPN 記錄」。
主控台
如要查看 Cloud VPN 的記錄,請按照下列步驟操作:
路線記錄
您可以為 Cloud VPN 資源記錄設定記錄指標的轉送方式。
Cloud Logging 只會儲存 Cloud VPN 記錄 30 天。 如要將記錄保留較長的時間,請務必將記錄檔傳送至其他位置。您可以將 Cloud VPN 記錄傳送至 Pub/Sub 或 BigQuery 進行分析。
查看指標
如要查看指標並建立與 VPN 通道相關的快訊,請使用 Cloud Monitoring。
除了 Cloud Monitoring 中預先定義的資訊主頁,您還可以使用 Monitoring API 或 Google Cloud 控制台建立自訂資訊主頁、設定快訊及查詢指標。
查看 Monitoring 資訊主頁
以下各節說明如何查看 Cloud VPN 的監控資訊主頁。
在 Monitoring VPN 資源中查看指標
主控台
如要使用 Monitoring VPN 資源查看受監控資源的指標,請按照下列步驟操作:
前往 Google Cloud 控制台的「Monitoring」頁面。
如果「Monitoring」導覽窗格顯示「Resources」,請依序選取「Resources」和「VPN」。如要查看特定閘道的資訊主頁,請在清單中找出該閘道,然後按一下其名稱。
否則,請選取「資訊主頁」,然後選取名為「VPN」的資訊主頁。「Inventory」(目錄) 資訊卡會列出 VPN。如要查看特定閘道的資訊主頁,請在清單中找出該閘道,然後按一下其名稱。
在 Metrics Explorer 中查看指標
主控台
如要使用 Metrics Explorer 查看受監控資源的指標,請按照下列步驟操作:
-
前往 Google Cloud 控制台的 leaderboard「Metrics Explorer」頁面:
如果您是使用搜尋列尋找這個頁面,請選取子標題為「Monitoring」的結果。
- 在 Google Cloud 控制台的工具列中,選取您的 Google Cloud 專案。 如要進行 App Hub 設定,請選取 App Hub 主專案或已啟用應用程式的資料夾管理專案。
- 在「指標」元素中,展開「選取指標」選單,
在篩選列中輸入
Cloud VPN, 然後使用子選單選取特定資源類型和指標:- 在「Active resources」(有效資源) 選單中,選取「Cloud VPN」。這個資源類型適用於傳統版 VPN 閘道或高可用性 VPN 閘道。
- 如要選取指標,請使用「使用中的指標類別」和「使用中的指標」選單。 如需完整指標清單,請參閱 Cloud VPN 指標清單。
- 按一下「套用」。
如要新增篩選器,從查詢結果中移除時間序列,請使用「Filter」元素。
如要合併時間序列,請使用「Aggregation」(匯總) 元素上的選單。舉例來說,如要依據 VM 的所在區域顯示 CPU 使用率,請將第一個選單設為「平均值」,第二個選單設為「區域」。
將「Aggregation」(匯總) 元素的第一個選單設為「Unaggregated」(未匯總) 時,系統會顯示所有時間序列。「匯總」元素的預設設定取決於您選取的指標類型。
- 如要查看每日回報一個樣本的配額和其他指標,請按照下列步驟操作:
- 在「顯示」窗格中,將「小工具類型」設為「堆疊長條圖」。
- 將時間範圍設為至少一週。
在 VPN 通道中查看指標
您也可以在 Google Cloud 控制台中,按一下任一通道的「Monitoring」分頁,這樣就能查看該通道的指標。這個分頁會顯示各種時間序列圖表。
定義 Monitoring 快訊
主控台
您可以建立快訊政策來監控指標值,並在指標違反條件時收到通知。
-
前往 Google Cloud 控制台的 notifications「Alerting」(警告) 頁面:
如果您是使用搜尋列尋找這個頁面,請選取子標題為「Monitoring」的結果。
- 如果您尚未建立通知管道,但想收到通知,請按一下「編輯通知管道」,然後新增通知管道。新增管道後,返回「快訊」頁面。
- 在「Alerting」(快訊) 頁面中,選取「Create policy」(建立政策)。
- 如要選取指標,請展開「選取指標」選單,然後執行下列操作:
- 點選「下一步」。
- 「設定快訊觸發條件」頁面中的設定會決定快訊的觸發時機。 選取條件類型,並視需要指定門檻。詳情請參閱建立指標閾值快訊政策。
- 點選「下一步」。
- 選用:如要新增通知至您的快訊政策,請按一下「通知管道」。在對話方塊中,從選單選取一或多個通知管道,然後按一下「確定」。
- 選用:更新「事件自動關閉期限」。這個欄位會決定 Monitoring 何時會在沒有指標資料的情況下關閉事件。
- 選用:按一下「說明文件」,然後在通知訊息中新增任何資訊。
- 按一下「快訊名稱」,然後輸入快訊政策的名稱。
- 點選「建立政策」。
定義 VPN 通道頻寬的快訊
如要為「網路頻寬」一文所述的每秒位元組數 (bps) 和每秒封包數 (pps) 限制建立快訊政策,請使用 Prometheus 查詢語言 (PromQL)。
輸入查詢時,請按照「建立以 PromQL 為基礎的快訊政策 (控制台)」一文中的操作說明,並參閱下列範例。
對於預設的主動/主動通道設定,Google 建議在 VPN 通道上設定 50% 的用量門檻。在 VPN 通道頻寬用量上設定 50% 的快訊政策,可確保通道容錯移轉時有足夠的容量。
查詢 bps:如果特定 VPN 通道的
sent_bytes_count和received_bytes_count總和超過 3 Gbps (375 MBps) 限制的 50%,這項範例查詢就會通知您。請適當調整對齊率,以擷取必要資料。可設為最低一秒 (1s),如果需要較長天數的更多資料取樣點,則可調高。( rate({"vpn.googleapis.com/network/sent_bytes_count", monitored_resource="vpn_gateway", tunnel_name="TUNNEL_NAME"}[1m]) + rate({"vpn.googleapis.com/network/received_bytes_count", monitored_resource="vpn_gateway", tunnel_name="TUNNEL_NAME"}[1m]) ) > 187500000 # 187.5 MBy/s * 1000000查詢 pps:如果
sent_packets_count和received_packets_count的總和超過建議封包速率上限 (250,000 pps) 的 50%,系統就會傳送通知。( rate({"vpn.googleapis.com/network/sent_packets_count", monitored_resource="vpn_gateway", tunnel_name="TUNNEL_NAME"}[1m]) + rate({"vpn.googleapis.com/network/received_packets_count", monitored_resource="vpn_gateway", tunnel_name="TUNNEL_NAME"}[1m]) ) > 125000
如要進一步瞭解 PromQL,請參閱 Cloud Monitoring 適用的 PromQL。
定義 Monitoring 自訂資訊主頁
主控台
如要透過 Cloud VPN 指標建立自訂 Monitoring 資訊主頁,請按照下列步驟操作:
前往 Google Cloud 控制台的「Monitoring」頁面。
在「監控」導覽窗格中,依序點選「資訊主頁」和「建立資訊主頁」。
確認「編輯」切換按鈕已設為「開啟」。
在「圖表庫」中,按一下要新增至資訊主頁的小工具。你也可以將小工具從程式庫拖曳到圖表區域。
使用小工具的設定窗格設定小工具。可編輯資訊主頁並選取小工具時,系統會顯示設定窗格。
在資訊主頁工具列中,按一下「新增圖表」,啟用「圖表庫」。針對要新增至資訊主頁的每個小工具,重複上述步驟。
選取指標與篩選器。指標的資源類型是 Cloud VPN 閘道。
如要進一步瞭解如何設定小工具,請參閱「新增資訊主頁小工具」。
如要進一步瞭解如何設定自訂資訊主頁,請參閱「管理自訂資訊主頁」一文。
查看 Cloud VPN 的監控指標
下列 Cloud VPN 指標會回報給 Monitoring。非個別事件的指標則用於時間間隔。
這個表格中的「指標類型」字串開頭必須為 vpn.googleapis.com/。該前置字串已從表格中的項目省略。
查詢標籤時,請使用 metric.labels. 前置字串,例如 metric.labels.LABEL="VALUE"。
| 指標類型 推出階段 (資源階層層級) 顯示名稱 |
|
|---|---|
| 種類、類型、單位 受監控資源 |
說明 標籤 |
gateway/connections
GA
(project)
連線數量 |
|
GAUGE、INT64、1
vpn_gateway |
表示每個 VPN 閘道的高可用性連線數。取樣頻率為每 60 秒一次。取樣完畢後,會有多達 60 秒無法查看資料。
configured_for_sla:
(BOOL)
高可用性連線是否已完成服務水準協議設定。
gcp_service_health:
(BOOL)
高可用性連線的 Google Cloud 端是否完全正常運作。
end_to_end_health:
(BOOL)
高可用性連線是否能正常運作。
|
network/dropped_received_packets_count
GA
(專案)
已捨棄的連入封包數 |
|
DELTA、INT64、1
vpn_gateway |
通道捨棄的連入封包 (從對等 VPN 接收)。取樣頻率為每 60 秒一次。取樣完畢後,會有多達 180 秒的時間無法查看資料。
tunnel_name:
通道名稱。
gateway_name:
管理通道的閘道名稱。
|
network/dropped_sent_packets_count
GA
(專案)
已捨棄的外送封包數 |
|
DELTA、INT64、1
vpn_gateway |
通道捨棄的輸出 (導向對等互連 VPN) 封包數。取樣頻率為每 60 秒一次。取樣完畢後,會有多達 180 秒的時間無法查看資料。
tunnel_name:
通道名稱。
gateway_name:
管理通道的閘道名稱。
|
network/received_bytes_count
GA
(project)
接收的位元組數 |
|
DELTA、INT64、By
vpn_gateway |
通道的連入 (從對等 VPN 接收) 位元組數。取樣頻率為每 60 秒一次。取樣完畢後,會有多達 180 秒的時間無法查看資料。
tunnel_name:
通道名稱。
gateway_name:
管理通道的閘道名稱。
|
network/received_packets_count
GA
(project)
Received packets |
|
DELTA、INT64、{packets}
vpn_gateway |
通道的連入 (從對等互連 VPN 接收) 封包。取樣頻率為每 60 秒一次。取樣完畢後,會有多達 60 秒無法查看資料。
status:
傳送狀態,例如 [successful、exceeds_mtu、throttled]。
tunnel_name:
通道的名稱。
|
network/sent_bytes_count
GA
(project)
傳送的位元組數 |
|
DELTA、INT64、By
vpn_gateway |
通道的輸出 (導向對等互連 VPN) 位元組。取樣頻率為每 60 秒一次。取樣完畢後,會有多達 180 秒的時間無法查看資料。
tunnel_name:
通道名稱。
gateway_name:
管理通道的閘道名稱。
|
network/sent_packets_count
GA
(專案)
傳送的封包數 |
|
DELTA、INT64、{packets}
vpn_gateway |
通道的輸出 (導向對等互連 VPN) 封包。取樣頻率為每 60 秒一次。取樣完畢後,會有多達 60 秒無法查看資料。
status:
傳送狀態,例如 [successful、exceeds_mtu、throttled]。
tunnel_name:
通道的名稱。
|
tunnel_established
GA
(專案)
已建立通道 |
|
GAUGE、DOUBLE、1
vpn_gateway |
如果大於 0,表示已成功建立通道。取樣頻率為每 60 秒一次。取樣完畢後,會有多達 180 秒的時間無法查看資料。
tunnel_name:
通道名稱。
gateway_name:
管理通道的閘道名稱。
|
vpn_tunnel/gateway_ip_version
GA
(project)
閘道 IP 版本 |
|
GAUGE、BOOL、vpn_tunnel |
高可用性 VPN 閘道的 IP 版本。取樣頻率為每 60 秒一次。取樣完畢後,會有多達 60 秒無法查看資料。
gateway_ip_version:
高可用性 VPN 閘道的 IP 版本。
|
資料表生成時間:2025 年 10 月 16 日 16:05:51 (世界標準時間)。
查看 HA 連線健康指標
下列指標會指出高可用性 VPN 閘道的連線是否正常,以及設定是否符合 99.99% 的服務水準協議。
建立圖表時,如果將資源類型和指標指定為「Cloud VPN 閘道」和「連線數」,您可以在「篩選器」欄位中找到這些標籤。詳情請參閱「指標、篩選器和匯總資料」。
| 狀態 | 說明 |
|---|---|
configured_for_sla |
指出高可用性連線是否已完成設定,也就是連線包含必要數量的通道,且已正確連線至 Cloud Router。 |
gcp_service_health |
指出 HA 連線在 Google Cloud 端是否正常運作。例如,已分配通道。 |
end_to_end_health |
指出封包是否在 HA 連線中順利傳送及接收。 |
在 Network Topology 中查看指標
您可以使用網路拓撲稽核網路設定,並排解網路問題。
Network Topology 會在每個連線疊加處理量值。這項功能可讓您快速查看實體間的流量,例如Google Cloud 與地端部署網路之間 VPN 通道的流量。
如要瞭解各項連線支援的指標,請參閱「指標參考資料」。
指標值是根據所選小時的最後五分鐘計算。點選任一邊緣,即可查看六週的歷來指標。
詳情請參閱「資料收集和時效」。
主控台
- 在 Google Cloud 控制台中,前往「Network Topology」(網路拓撲) 頁面。
在實體選取窗格中,從「邊緣指標」 下拉式選單中選取指標。
前往特定實體階層,查看與該實體相關的流量。
舉例來說,如要查看 Google Cloud 與內部部署網路之間 VPN 通道傳輸的流量頻寬,請展開實體,直到看到該 VPN 通道連線為止。
按一下實體,即可醒目顯示所有流量路徑。
Network Topology 會顯示支援所選指標的每個連線指標值。
查看流量下滑的原因
Cloud VPN 閘道捨棄封包時,會提供捨棄的原因。
| 原因 | 說明 | 流量來源 |
|---|---|---|
dont_fragment_icmp |
已捨棄的封包是 ICMP 封包,其大小超過 MTU 且設定了 do not fragment 位元。這類封包用於
path-mtu-discovery。
|
Google Cloud VM |
exceeds_mtu |
UDP 或 ESP 輸出封包的第一個片段超過 MTU,而且設定了 do not fragment 位元。 |
Google Cloud VM |
dont_fragment_nonfirst_fragment |
UDP 或 ESP 輸出封包的某個片段不是第一個片段,不僅超過 MTU,還設定了 do not fragment 位元。 |
Google Cloud VM |
Sent packets::invalid |
封包無效或某部分損毀。舉例來說,封包的 IP 標頭可能無效。 | Google Cloud VM |
Sent packets::throttled |
封包因 Cloud VPN 閘道上的負載過多而遭到捨棄。 | Google Cloud VM |
fragment_received |
從對等互連閘道收到的分段封包。 | 對等互連 VPN 閘道 |
sequence_number_lost |
封包到達閘道時,其序號大於預期序號,表示含較早序號的封包可能已遭捨棄。 | 對等互連 VPN 閘道 |
suspected_replay |
接收到的 ESP 封包,其序號已經收到。 | 對等互連 VPN 閘道 |
Received packets::invalid |
封包無效或某部分損毀。舉例來說,封包的 IP 標頭可能無效。 | 對等互連 VPN 閘道 |
Received packets::throttled |
封包因 Cloud VPN 閘道上的負載過多而遭到捨棄。 | 對等互連 VPN 閘道 |
sa_expired |
收到 SA 不明的封包,可能是因為使用了已過期或從未交涉的 SA。 | 對等互連 VPN 閘道 |
unknown |
封包因閘道無法或不知如何分類原因而遭捨棄。 | 不一定 |
後續步驟
- 如要進一步瞭解監控功能,請參閱「Cloud Monitoring」。
- 如要進一步瞭解如何收集記錄及設定 Cloud VPN 的接收器,請參閱 Cloud Logging。
- 如要解決使用 Cloud VPN 時可能遇到的常見問題,請參閱「疑難排解」。