ログと指標の表示

Cloud VPN ゲートウェイはログ情報を Cloud Logging に送信し、Cloud VPN トンネルはモニタリング指標を Cloud Monitoring に送信します。このページでは、ログと指標、およびログと指標の表示方法について説明します。

VPN トンネルの使用率の超過を確認するには、VPN トンネル使用率の Recommender を使用します。

ログの表示

Cloud VPN ゲートウェイは特定のログを Cloud Logging に送信します。Cloud VPN ログエントリには、VPN トンネルのモニタリングとデバッグに有用な次のような情報が含まれています。

  • 重大度、プロジェクト ID、プロジェクト番号、タイムスタンプなど、ほとんどの Google Cloud ログで表示される一般情報。
  • ログエントリによって異なるその他の情報。

有用なログの一覧については、VPN ログをご覧ください。

Console

Cloud VPN のログを表示する手順は次のとおりです。

  • Google Cloud Console で、[ログ エクスプローラ] ページに移動します。

    [ログ エクスプローラ] に移動

    VPN ログは、作成元である VPN ゲートウェイによってインデックスに登録されます。

    • VPN のすべてのログを表示するには、最初のプルダウン メニューで [Cloud VPN ゲートウェイ] を選択し、[All gateway_id] をクリックします。
    • 1 つのゲートウェイのログのみを表示するには、メニューから 1 つのゲートウェイの名前を選択します。
  • ブール型のログフィールドは、通常、フィールド値が true の場合にのみ表示されます。ブール値のフィールドが false の場合、そのフィールドはログに表示されません。

  • ログフィールドには UTF-8 文字エンコードが適用されます。UTF-8 以外の文字列は、疑問符に置き換えられます。

ログのエクスポート

Cloud VPN リソースログのログベースの指標のエクスポートを構成できます。

Cloud Logging では、Cloud VPN ログは 30 日間のみ保存されます。それよりも長い期間ログを保持するには、ログをエクスポートする必要があります。Cloud VPN ログは、Cloud Pub/Sub または BigQuery にエクスポートして分析できます。

指標の表示

VPN トンネルに関連する指標を表示し、アラートを作成するには、Cloud Monitoring を使用します。

Cloud Monitoring の事前定義されたダッシュボードに加えて、カスタム ダッシュボードを作成して、アラートを設定し、Monitoring API または Cloud Console を使用して指標に対するクエリを行うことができます。

モニタリング ダッシュボードの表示

以降のセクションでは、Cloud VPN のモニタリング ダッシュボードを表示する他の方法を説明します。

モニタリング VPN リソースで指標を表示する

Console

Monitoring VPN リソースを使用してモニタリング対象リソースの指標を表示するには、次の手順を行います。

  1. Google Cloud Console で、[Monitoring] ページに移動します。

    [Monitoring] に移動

  2. Monitoring のナビゲーション パネルに [リソース] が表示されている場合は [リソース] を選択し、次に [VPN] を選択します。特定のゲートウェイのダッシュボードを表示するには、リストでダッシュボードを見つけて、ダッシュボード名をクリックします。

  3. それ以外の場合は、[ダッシュボード] を選択し、[VPN] という名前のダッシュボードを選択します。[Inventory] カードには、VPN のリストが含まれています。特定のゲートウェイのダッシュボードを表示するには、リストでダッシュボードを見つけて、ダッシュボード名をクリックします。

Metrics Explorer で指標を表示する

Console

Metrics Explorer を使用してモニタリング対象リソースの指標を表示する手順は次のとおりです。

  1. Google Cloud Console で、[Monitoring] ページに移動します。

    [Monitoring] に移動

  2. [Monitoring] のナビゲーション パネルで、 [Metrics Explorer] をクリックします。
  3. [Configuration] タブを選択して、[Resource type] と [Metric] を入力または選択します。次の情報を使用して、フィールドに入力します。
    1. [Resource] で「Cloud VPN」と入力するか、選択します。このリソースタイプは、Classic VPN ゲートウェイまたは HA VPN ゲートウェイで有効です。
    2. Cloud VPN の指標リストから指標名を入力するか、メニューに表示される指標を選択します。
  4. (省略可)データの表示方法を構成するには、[Filter]、[Group By]、[Aggregator] の各メニューを使用します。たとえば、リソースラベルや指標ラベルごとにグループ化できます。詳しくは、指標の選択をご覧ください。

VPN トンネル内からの指標を表示する

トンネルの [Monitoring] タブをクリックして、Cloud Console で指標を表示することもできます。このタブにはさまざまな時系列のグラフが表示されます。

モニタリング アラートの定義

Console

アラート ポリシーを作成して指標の値をモニタリングすると、条件に違反した場合に通知できます。

1 つ以上の Cloud VPN ゲートウェイ リソースをモニタリングするアラート ポリシーを作成するには、次の操作を行います。

  1. Google Cloud Console で、[Monitoring] ページに移動します。

    [Monitoring] に移動

  2. Monitoring のナビゲーション パネルで [アラート] を選択し、次に [CREATE POLICY] を選択します。
  3. [Add Condition] をクリックします。
    1. [Target] ペインの設定で、モニタリングするリソースと指標を指定します。[Find resource type and metric] フィールドで、Cloud VPN ゲートウェイのリソースを選択します。次に、指標リストから指標を選択します。
    2. アラート ポリシーの [Configuration] ペインの設定で、アラートがトリガーされるタイミングを決定します。このペインのほとんどのフィールドにはデフォルト値が入力されています。ペインのフィールドの詳細については、アラート ポリシーのドキュメントの構成をご覧ください。
    3. [追加] をクリックします。
  4. 通知セクションに移動するには、[次へ] をクリックします。
  5. (省略可)アラート ポリシーに通知を追加するには、[通知チャネル] をクリックします。ダイアログで、メニューから 1 つ以上の通知チャネルを選択し、[OK] をクリックします。

    追加する通知チャネルが一覧にない場合は、[通知チャネルを管理] をクリックします。新しいブラウザタブの [通知チャンネル] ページが表示されます。このページで、構成された通知チャンネルを更新できます。更新が完了したら、元のタブに戻って [更新] アイコンをクリックし、アラート ポリシーに追加する通知チャンネルを選択します。

  6. ドキュメントのセクションに移動するには、[次へ] をクリックします。
  7. [名前] をクリックし、アラート ポリシーの名前を入力します。
  8. (省略可)[Documentation] をクリックして、通知メッセージに追加する情報を入力します。
  9. [保存] をクリックします。
詳細については、アラート ポリシーをご覧ください。

VPN トンネル帯域幅アラートの定義

ネットワーク帯域幅で説明している 1 秒あたりのバイト数(bps)と 1 秒あたりのパケット数(pps)に関するアラート ポリシーを作成するには、Monitoring Query Language(MQL)を使用します。

クエリを入力する場合は、MQL アラート ポリシー(コンソール)の作成の手順に沿って操作し、以下の例を参照してください。

  • bps のクエリ: 次のサンプルクエリでは、特定の VPN トンネルで sent_bytes_countreceived_bytes_count の合計が、3 Gbps(375 MBps)の上限の 80% を超えると通知します。"MBy" には、測定単位として MB を指定します。300 "MBy" の値は、単位 "Bytes"val() に合わせて自動的にスケーリングされます。必要なデータを取り込むには、割合が適切に調整されます。最小値(1 秒)に設定しても、より多くの日数で多くのデータ サンプリング ポイントが必要になった場合はスケーリングされます。

    fetch vpn_gateway
    | { metric vpn.googleapis.com/network/sent_bytes_count
    ; metric vpn.googleapis.com/network/received_bytes_count }
    | align rate (1m)
    | filter (metric.tunnel_name == 'TUNNEL_NAME')
    | outer_join 0,0
    | value val(0) + val(1)
    | condition val() > 300 "MBy/s"
    
  • pps のクエリ: 次のサンプルクエリでは、特定の VPN トンネルで sent_packets_countreceived_packets_count の合計が、推奨の最大パケットレート(250,000 pps)の 80% を超えると通知します。

    fetch vpn_gateway
    | { metric vpn.googleapis.com/network/sent_packets_count
    ; metric vpn.googleapis.com/network/received_packets_count }
    | filter (metric.tunnel_name == 'TUNNEL_NAME')
    | outer_join 0,0
    | value val(0) + val(1)
    | condition val() > 200000
    

MQL の詳細については、Monitoring クエリ言語の概要をご覧ください。

カスタム モニタリング ダッシュボードの定義

Console

Cloud VPN の指標にカスタムの Monitoring ダッシュボードを作成する手順は次のとおりです。

  1. Google Cloud Console で、[Monitoring] ページに移動します。

    [Monitoring] に移動

  2. Monitoring のナビゲーション パネルで、[ダッシュボード] をクリックし、[CREATE DASHBOARD] をクリックします。

  3. [編集] 切り替えボタンが [オン] の位置にあることを確認します。

  4. ダッシュボードに追加するグラフ ライブラリのウィジェットをクリックします。ライブラリからグラフ領域にウィジェットをドラッグすることもできます。

  5. ウィジェットの構成ペインでウィジェットを構成します。これは、ダッシュボードが編集可能で、ウィジェットが選択された場合に表示されます。

  6. ダッシュボードのツールバーで、グラフ ライブラリをアクティブにするには、[グラフを追加] をクリックします。ダッシュボードに追加するウィジェットごとに、前の手順を繰り返します。

  7. 指標とフィルタを選択します。指標のリソースタイプは Cloud VPN Gateway です。

ウィジェットの構成の詳細については、ダッシュボードにウィジェットを追加するをご覧ください。

カスタム ダッシュボードの設定の詳細については、カスタム ダッシュボードをご覧ください。

Cloud VPN のモニタリング指標を表示する

Cloud VPN の次の指標が Monitoring に報告されます。個別のイベントではない指標は、期間に関する指標です。

次の表の指標タイプの文字列には、vpn.googleapis.com/ という接頭辞を付ける必要があります。この接頭辞は表内で省略されています。

指標タイプリリース ステージ
表示名
種類、タイプ、単位
モニタリング対象リソース
説明
ラベル
gateway/connections 一般提供
接続数
GAUGEINT641
vpn_gateway
VPN ゲートウェイあたりの HA 接続の数を示します。60 秒ごとにサンプリングされます。サンプリング後、データは最長 60 秒間表示されません。
configured_for_sla: (BOOL) HA 接続が完全に SLA 用に構成されているかどうか。
gcp_service_health: (BOOL) HA 接続の Google Cloud 側が完全に機能しているかどうか。
end_to_end_health: (BOOL) HA 接続が機能しているかどうか。
network/dropped_received_packets_count 一般提供
破棄された受信パケット
DELTAINT641
vpn_gateway
トンネルで破棄された上り(内向き、ピア VPN からの受信)パケット。60 秒ごとにサンプリングされます。サンプリング後、データは最長 180 秒間表示されません。
tunnel_name: トンネルの名前
gateway_name: トンネルを管理するゲートウェイの名前。
network/dropped_sent_packets_count 一般提供
破棄された送信パケット
DELTAINT641
vpn_gateway
トンネルで破棄された下り(外向き、ピア VPN への転送)パケット。60 秒ごとにサンプリングされます。サンプリング後、データは最長 180 秒間表示されません。
tunnel_name: トンネルの名前
gateway_name: トンネルを管理するゲートウェイの名前。
network/received_bytes_count 一般提供
受信バイト数
DELTAINT64By
vpn_gateway
トンネルの上り(内向き、ピア VPN からの受信)バイト。60 秒ごとにサンプリングされます。サンプリング後、データは最長 180 秒間表示されません。
tunnel_name: トンネルの名前
gateway_name: トンネルを管理するゲートウェイの名前。
network/received_packets_count 一般提供
受信パケット数
DELTAINT64{packets}
vpn_gateway
トンネルの上り(内向き、ピア VPN からの受信)パケット。60 秒ごとにサンプリングされます。サンプリング後、データは最長 60 秒間表示されません。
status: 配信ステータス。たとえば、[successful, exceed_mtu, throttled]。
tunnel_name: トンネルの名前。
network/sent_bytes_count 一般提供
送信バイト数
DELTAINT64By
vpn_gateway
トンネルの下り(外向き、ピア VPN への転送)バイト。60 秒ごとにサンプリングされます。サンプリング後、データは最長 180 秒間表示されません。
tunnel_name: トンネルの名前
gateway_name: トンネルを管理するゲートウェイの名前。
network/sent_packets_count 一般提供
送信パケット
DELTAINT64{packets}
vpn_gateway
トンネルの下り(外向き、ピア VPN への転送)パケット。60 秒ごとにサンプリングされます。サンプリング後、データは最長 60 秒間表示されません。
status: 配信ステータス。たとえば、[successful, exceed_mtu, throttled]。
tunnel_name: トンネルの名前。
tunnel_established 一般提供
確立したトンネル
GAUGEDOUBLE1
vpn_gateway
> 0 の場合、成功したトンネル確立を示しています。60 秒ごとにサンプリングされます。サンプリング後、データは最長 180 秒間表示されません。
tunnel_name: トンネルの名前
gateway_name: トンネルを管理するゲートウェイの名前。

表の生成時間: 2021-07-08 19:35:05 UTC

HA 接続の状態指標を表示する

次の指標は、HA VPN ゲートウェイの接続が正常で、構成が 99.99% の SLA を満たしているかどうかを示します。

グラフを作成する際に、リソースタイプと指標を Cloud VPN ゲートウェイ接続数として指定した場合は、これらのラベルを [フィルタ] フィールドで確認できます。詳細については、グラフ化するデータの選択をご覧ください。

ステータス 説明
configured_for_sla HA 接続が完全に構成されているかどうか、つまり、接続に必要な数のトンネルが含まれ、Cloud Router に正しく接続されているかどうかを示します。
gcp_service_health HA 接続が Google Cloud 側で正常に機能しているかどうかを示します。たとえば、トンネルの割り当てです。
end_to_end_health HA 接続内でパケットが正常に送受信されたかどうかを示します。

ネットワーク トポロジで指標を表示する

ネットワークト ポロジを使用すると、ネットワーク構成を監査したり、ネットワークの問題をトラブルシューティングしたりできるようになります。

ネットワーク トポロジが、各接続のスループット値をオーバーレイします。この機能を使用すると、Google Cloud とオンプレミス ネットワーク間の VPN トンネルを通過するトラフィックなど、エンティティ間で移動するトラフィックの量をすばやく確認できます。

各接続でサポートされる指標については、指標のリファレンスをご覧ください。

指標の値は、現在選択されている時刻の最後の 5 分間に基づいています。いずれかのエッジをクリックすると、6 週間の指標の履歴を表示することもできます。

詳しくは、データの収集と鮮度をご覧ください。

Console

  1. Cloud Console で、[ネットワーク トポロジ] ページに移動します。

    [ネットワーク トポロジ] に移動

  2. エンティティ選択ペインで、[エッジ指標] プルダウン メニューから指標を選択します。

  3. 特定のエンティティ階層に移動し、そのエンティティに関連するトラフィックを表示します。

    たとえば、Google Cloud とオンプレミス ネットワーク間の VPN トンネルを通過するトラフィック帯域幅を表示する場合は、VPN トンネル接続が表示されるまでエンティティを展開します。

  4. エンティティをクリックして、すべてのトラフィック パスを強調表示します。

    ネットワーク トポロジは、現在選択されている指標をサポートする各接続の指標値を表示します。

破棄の理由を確認する

Cloud VPN ゲートウェイがパケットを破棄した場合、ゲートウェイは破棄の理由を提供します。

理由 説明 トラフィックのソース
dont_fragment_icmp 破棄されたパケットが、do not fragment ビットが設定されている MTU より大きいサイズの ICMP パケットだった。このようなパケットは path-mtu-discovery に使用されます。 Google Cloud VM
exceeds_mtu UDP または ESP の下り(外向き)パケットの最初のフラグメントが、MTU よりも大きく、do not fragment ビットが設定されている。 Google Cloud VM
dont_fragment_nonfirst_fragment UDP または ESP 下り(外向き)パケットのフラグメントが存在するものの、これは最初のフラグメントではなく、MTU よりも大きく、do not fragment ビットが設定されている。 Google Cloud VM
Sent packets::invalid なんらかの点でパケットが無効であったか、破損していた(パケットに無効な IP ヘッダーが含まれていた場合など)。 Google Cloud VM
Sent packets::throttled Cloud VPN ゲートウェイへの過度の負荷が原因でパケットが破棄された。 Google Cloud VM
fragment_received ピアから断片化されたパケットを受信した。 ピア VPN ゲートウェイ
sequence_number_lost 想定されるシーケンス番号より大きな数値のパケットがゲートウェイに着信した。これは、このシーケンス番号より前のシーケンス番号のパケットがドロップされた可能性があることを示しています。 ピア VPN ゲートウェイ
suspected_replay ESP パケットのシーケンス番号と同じ数値のパケットが存在する。 ピア VPN ゲートウェイ
Received packets::invalid なんらかの点でパケットが無効であったか、破損していた(パケットに無効な IP ヘッダーが含まれていた場合など)。 ピア VPN ゲートウェイ
Received packets::throttled Cloud VPN ゲートウェイへの過度の負荷が原因でパケットがドロップされた。 ピア VPN ゲートウェイ
sa_expired セキュリティ アソシエーション(SA)が不明であるパケットを受信した。すでに期限切れになっている SA、またはネゴシエートされていない SA を使用した結果であることが考えられます。 ピア VPN ゲートウェイ
unknown ゲートウェイで分類方法が認識できなかったため、パケットが破棄された。 任意

次のステップ

  • モニタリングの詳細について、Cloud Monitoring で確認する。
  • ログの収集と Cloud VPN のエクスポートの構成の詳細について、Cloud Logging で確認する。
  • Google Cloud 内およびオンプレミスまたはサードパーティのクラウド ロケーションへのネットワーク スループットの計算について、ネットワーク スループットの計算で確認する。
  • トラブルシューティングを参照して、Cloud VPN の使用時に発生する可能性のある一般的な問題を解決する。