查看日志和指标

Cloud VPN 网关会将日志信息发送给 Cloud Logging,Cloud VPN 隧道会将监控指标发送给 Cloud Monitoring。本页面介绍日志和指标及其查看方式。

如需监控 VPN 隧道利用率,您可以定义 VPN 隧道带宽提醒。建议将此监控方法用于生产工作负载。

查看日志

Cloud VPN 网关会将某些日志发送给 Cloud Logging。Cloud VPN 日志条目包含可用于监控和调试 VPN 隧道的实用信息,例如:

  • 大多数 Google Cloud 日志中显示的常规信息,例如严重性、项目 ID、项目编号和时间戳。
  • 其他信息(因日志条目而异)。

如需查看有用日志的列表,请参阅 VPN 日志

控制台

如需查看 Cloud VPN 的日志,请按以下步骤操作:

  • 在 Google Cloud 控制台中,转到日志浏览器页面。

    转到日志浏览器

    VPN 日志按创建这些日志的 VPN 网关编入索引:

    • 如需查看所有 VPN 日志,请在第一个下拉菜单中选择 Cloud VPN 网关,然后点击所有 gateway_id
    • 如需仅查看一个网关的日志,请从菜单中选择一个网关名称。
  • 布尔值类型的日志字段通常仅在其值为 true 时才会显示。 如果某个布尔值字段的值为 false,则日志中将不会出现该字段。

  • 日志字段强制采用 UTF-8 编码。非 UTF-8 字符将被替换为问号。

路由日志

您可以为 Cloud VPN 资源日志配置基于日志的指标的路由。

Cloud Logging 仅将 Cloud VPN 日志存储 30 天。如果要将日志保留更长时间,您必须路由日志。您可以将 Cloud VPN 日志路由到 Pub/sub 或 BigQuery 进行分析。

查看指标

如需查看指标并创建与您的 VPN 隧道相关的提醒,请使用 Cloud Monitoring

除了 Cloud Monitoring 中的预定义信息中心以外,您还可以使用 Monitoring API 或 Google Cloud 控制台创建自定义信息中心、设置提醒以及查询指标。

查看 Monitoring 信息中心

以下部分介绍了可用来查看 Cloud VPN 的 Monitoring 信息中心的其他方法。

查看 Monitoring VPN 资源中的指标

控制台

如需使用 Monitoring VPN 资源查看受监控资源的指标,请按照以下步骤操作:

  1. 在 Google Cloud 控制台中,前往监控页面。

    转到“监控”

  2. 如果 Monitoring 导航窗格显示 Resources,请选择 Resources,然后选择 VPN。如需查看特定网关的信息中心,请在列表中找到它,然后点击其名称。

  3. 否则,请选择 Dashboards,然后选择名为 VPN 的信息中心。Inventory 卡片中有一列 VPN。如需查看特定网关的信息中心,请在列表中找到它,然后点击其名称。

在 Metrics Explorer 中查看指标

控制台

如需使用 Metrics Explorer 查看受监控资源的指标,请执行以下操作:

  1. 在 Google Cloud 控制台的导航面板中,选择 Monitoring,然后选择  Metrics Explorer

    进入 Metrics Explorer

  2. 指标元素中,展开选择指标菜单,在过滤栏中输入 Cloud VPN,然后使用子菜单选择一个特定资源类型和指标:
    1. 活跃资源菜单中,选择 Cloud VPN。此资源类型适用于传统 VPN 网关或高可用性 VPN 网关。
    2. 如需选择指标,请使用活跃指标类别活跃指标菜单。如需查看指标的完整列表,请参阅 Cloud VPN 指标列表
    3. 点击应用
  3. 如需从显示结果中移除时序,请使用过滤条件元素

  4. 如需组合时序,请使用聚合元素上的菜单。例如,如需根据虚拟机所在的可用区显示虚拟机的 CPU 利用率,请将第一个菜单设置为平均值,并将第二个菜单设置为可用区

    聚合元素的第一个菜单设置为未聚合时,系统会显示所有时序。聚合元素的默认设置由您选择的指标类型决定。

  5. 对于配额和每天报告一个样本的其他指标,请执行以下操作:
    1. 显示窗格中,将微件类型设置为堆叠条形图
    2. 将时间段设置为至少一周。

在 VPN 隧道中查看指标

您还可以通过在 Google Cloud 控制台中点击隧道的 Monitoring 标签页来查看指标。此标签会显示各种时间序列图表。

定义 Monitoring 提醒

控制台

您可以创建提醒政策来监控指标的值,当这些指标违反条件时便会通知您。

  1. 在 Google Cloud 控制台的导航面板中,选择 Monitoring,然后选择  提醒

    进入提醒

  2. 如果您尚未创建通知渠道并希望收到通知,请点击修改通知渠道并添加通知渠道。添加渠道后,返回到提醒页面。
  3. 提醒页面中,点击创建政策
  4. 如需选择指标,请展开选择指标菜单,然后执行以下操作:
    1. 如需将菜单限制为相关条目,请在过滤栏中输入 Cloud VPN gateway。如果过滤菜单后没有显示任何结果,请停用仅显示活跃的资源和指标切换开关。
    2. 对于资源类型,请选择 Cloud VPN 网关
    3. 选择指标类别指标,然后选择应用
  5. 点击下一步
  6. 配置提醒触发器页面中的设置决定了何时触发提醒。选择条件类型,并在必要时指定阈值。如需了解详情,请参阅创建指标阈值提醒政策
  7. 点击下一步
  8. 可选:如需将通知添加到您的提醒政策中,请点击通知渠道。在对话框中,从菜单中选择一个或多个通知渠道,然后点击确定
  9. 可选:更新突发事件自动关闭持续时间。此字段用于确定在缺少指标数据的情况下 Monitoring 何时关闭突发事件。
  10. 可选:点击文档,然后添加您希望包含在通知消息中的任何信息。
  11. 点击提醒名称,然后输入提醒政策的名称。
  12. 点击 Create Policy(创建政策)。
如需了解详情,请参阅提醒政策

定义 VPN 隧道带宽的提醒

如需为网络带宽中所述的每秒字节数 (bps) 和每秒数据包数 (pps) 限制创建提醒政策,您必须使用 Monitoring 查询语言 (MQL)。

输入查询时,请按照创建 MQL 提醒政策(控制台)中的说明操作,并查看以下示例。

对于主动/主动隧道配置(默认),Google 建议您为 VPN 隧道设置 50% 的使用阈值。针对 VPN 隧道带宽用量设置 50% 的提醒政策可确保在发生隧道故障切换时您有足够的容量。

  • 查询 bps:此示例查询会在给定 VPN 隧道的 sent_bytes_countreceived_bytes_count 总和超过 3 Gbps (375 MBps) 限制的 50% 时通知您。"MBy" 指定兆字节作为测量单位。187.5 "MBy" 的值会自动按比例调整,以符合单位为 "Bytes"val()。 应适当调整校准速率以捕获必要的数据。可以设置为最低 1 秒 (1s),如果在更长的一段时间内需要更多数据采样点,则可以调高比例。

    fetch vpn_gateway
    | { metric vpn.googleapis.com/network/sent_bytes_count
    ; metric vpn.googleapis.com/network/received_bytes_count }
    | align rate (1m)
    | filter (metric.tunnel_name == 'TUNNEL_NAME')
    | outer_join 0,0
    | value val(0) + val(1)
    | condition val() > 187.5 "MBy/s"
    
  • 查询 pps:此示例查询会在给定 VPN 隧道的 sent_packets_countreceived_packets_count 总和超过建议数据包速率 (250,000 pps) 的 50% 时通知您。

    fetch vpn_gateway
    | { metric vpn.googleapis.com/network/sent_packets_count
    ; metric vpn.googleapis.com/network/received_packets_count }
    | align rate (1m)
    | filter (metric.tunnel_name == 'TUNNEL_NAME')
    | outer_join 0,0
    | value val(0) + val(1)
    | condition val() > 125000 "{packets}/s"
    

如需详细了解 MQL,请参阅 Monitoring 查询语言简介

定义 Monitoring 自定义信息中心

控制台

如需基于 Cloud VPN 指标创建自定义 Monitoring 信息中心,请按以下步骤操作:

  1. 在 Google Cloud 控制台中,前往监控页面。

    转到“监控”

  2. 在 Monitoring 导航窗格中,点击信息中心,然后点击创建信息中心

  3. 确保修改开关处于开启位置。

  4. 点击图表库中要添加到信息中心的微件。您也可以将微件从库中拖动到图表区域。

  5. 使用信息中心可修改且微件选定时显示的微件配置窗格来配置微件。

  6. 在信息中心工具栏中,要激活图表库,请点击添加图表。对每个要添加到信息中心的微件重复执行上述步骤。

  7. 选择指标和过滤条件。对于指标,资源类型为 Cloud VPN 网关

如需详细了解如何配置微件,请参阅添加信息中心微件

如需详细了解如何设置自定义信息中心,请参阅自定义信息中心

查看 Cloud VPN 的 Monitoring 指标

系统会将 Cloud VPN 的以下指标报告给 Monitoring。非个别事件的指标为时间间隔。

此表中的“指标类型”字符串必须以 vpn.googleapis.com/ 为前缀。表中的条目已省略该前缀。 查询标签时,请使用 metric.labels. 前缀;例如 metric.labels.LABEL="VALUE"

指标类型发布阶段
显示名
种类、类型、单位
受监控的资源
说明
标签
gateway/connections GA
连接数
GAUGEINT641
vpn_gateway
指示每个 VPN 网关的高可用性连接数。每 60 秒采样一次。采样后,数据在最长 60 秒的时间内不会显示。
configured_for_sla(布尔值):是否为服务等级协议 (SLA) 完整配置了高可用性连接。
gcp_service_health: (布尔值) 高可用性连接的 Google Cloud 端是否完全正常。
end_to_end_health(布尔值):端到端的高可用性连接是否正常。
network/dropped_received_packets_count GA
丢弃的传入数据包数
DELTAINT641
vpn_gateway
隧道丢弃的入站流量(从对等 VPN 接收)数据包数。每 60 秒采样一次。采样后,数据在最长 180 秒的时间内不会显示。
tunnel_name:隧道的名称。
gateway_name: :管理隧道的网关的名称。
network/dropped_sent_packets_count GA
丢弃的传出数据包数
DELTAINT641
vpn_gateway
隧道丢弃的出站流量(定向到对等 VPN)数据包数。每 60 秒采样一次。采样后,数据在最长 180 秒的时间内不会显示。
tunnel_name:隧道的名称。
gateway_name: :管理隧道的网关的名称。
network/received_bytes_count GA
接收的字节数
DELTAINT64By
vpn_gateway
隧道的入站流量(从对等 VPN 接收)的字节数。每 60 秒采样一次。采样后,数据在最长 180 秒的时间内不会显示。
tunnel_name:隧道的名称。
gateway_name: :管理隧道的网关的名称。
network/received_packets_count GA
接收的数据包数
DELTAINT64{packets}
vpn_gateway
隧道的入站流量(从对等 VPN 接收)数据包数。每 60 秒采样一次。采样后,数据在最长 60 秒的时间内不会显示。
status:传递状态,例如 [successful、exceed_mtu、throttled]。
tunnel_name:隧道的名称。
network/sent_bytes_count GA
已发送的字节数
DELTAINT64By
vpn_gateway
隧道的出站流量(定向到对等 VPN)字节数。每 60 秒采样一次。采样后,数据在最长 180 秒的时间内不会显示。
tunnel_name:隧道的名称。
gateway_name: :管理隧道的网关的名称。
network/sent_packets_count GA
发送的数据包数
DELTAINT64{packets}
vpn_gateway
隧道的出站流量(定向到对等 VPN)数据包数。每 60 秒采样一次。采样后,数据在最长 60 秒的时间内不会显示。
status:传递状态,例如 [successful、exceed_mtu、throttled]。
tunnel_name:隧道的名称。
tunnel_established GA
隧道已建立
GAUGEDOUBLE1
vpn_gateway
如果大于 0,则表示成功建立隧道。每 60 秒采样一次。采样后,数据在最长 180 秒的时间内不会显示。
tunnel_name:隧道的名称。
gateway_name: :管理隧道的网关的名称。

世界协调时间 (UTC) 2024-03-14 21:32:40 生成的表。

查看高可用性连接的健康指标

以下指标指示高可用性 VPN 网关的连接是否运行状况良好以及配置是否满足 SLA 承诺的 99.99% 可用性。

创建图表时,如果您将资源类型和指标指定为 Cloud VPN 网关连接数之后,您可以在过滤条件字段中找到这些标签。如需了解详情,请参阅指标、过滤条件和聚合

状态 说明
configured_for_sla 指示高可用性连接是否已完全配置,即连接是否包含必要数量的隧道以及是否正确连接到 Cloud Router 路由器。
gcp_service_health 指示高可用性连接在 Google Cloud 端是否正常运行。例如,已分配隧道。
end_to_end_health 指示是否在高可用性连接内成功发送和接收数据包。

在网络拓扑中查看指标

您可以使用网络拓扑来审核网络配置和排查网络问题。

网络拓扑会在每个连接叠加吞吐量值。通过此功能,您可以快速查看实体之间的流量,例如遍历 Google Cloud 与本地网络之间的 VPN 隧道的流量。

如需了解每个连接支持的指标,请参阅指标参考文档

指标值根据所选小时的最后五分钟计算。您还可以通过点击任一边缘查看 6 周的历史指标。

如需了解详情,请参阅数据收集和数据时效性

控制台

  1. 在 Google Cloud 控制台中,转到网络拓扑页面。

    转到“网络拓扑”页面

  2. 在实体选择窗格中的 Edge 指标下拉菜单中选择一个指标。

  3. 导航到特定实体层次结构以查看与该实体相关的流量。

    例如,如果要查看遍历 Google Cloud 和本地网络之间的 VPN 隧道的流量带宽,请展开这些实体,直到看到该 VPN 隧道连接。

  4. 点击实体以突出显示其所有流量路径。

    网络拓扑会显示支持所选指标的每个连接的指标值。

查看丢弃的原因

如果 Cloud VPN 网关丢弃数据包,会提供丢弃的原因。

原因 说明 流量来源
dont_fragment_icmp 丢弃的数据包是 ICMP 数据包,其大小大于 MTU,且设置有 do not fragment 位。此类数据包用于 path-mtu-discovery Google Cloud 虚拟机
exceeds_mtu UDP 或 ESP 出站流量数据包的第一个片段大于 MTU,且设置有 do not fragment 位。 Google Cloud 虚拟机
dont_fragment_nonfirst_fragment UDP 或 ESP 出站数据包的某个片段(不是第一个片段)大于 MTU,且设置有 do not fragment 位。 Google Cloud 虚拟机
Sent packets::invalid 数据包无效或受到某种程度的损坏。例如,数据包可能包含无效的 IP 标头。 Google Cloud 虚拟机
Sent packets::throttled 数据包由于 Cloud VPN 网关上负载过多而被丢弃。 Google Cloud 虚拟机
fragment_received 收到来自对等网关的分段数据包。 对等 VPN 网关
sequence_number_lost 数据包已到达网关,但有一个序列号大于预期序列号,这表示在该序列号之前的某个数据包可能已被丢弃。 对等 VPN 网关
suspected_replay 收到 ESP 数据包的序列号与已收到的数据包序列号相同。 对等 VPN 网关
Received packets::invalid 数据包无效或受到某种程度的损坏。例如,数据包可能包含无效的 IP 标头。 对等 VPN 网关
Received packets::throttled 数据包由于 Cloud VPN 网关上负载过多而被丢弃。 对等 VPN 网关
sa_expired 收到具有未知安全关联 (SA) 的数据包。原因可能是使用的 SA 已过期或从未进行协商。 对等 VPN 网关
unknown 丢弃数据包的原因是网关无法分类或不知道如何分类。 执行任一操作

后续步骤

  • 如需详细了解监控,请参阅 Cloud Monitoring
  • 如需详细了解如何收集日志以及如何为 Cloud VPN 配置接收器,请参阅 Cloud Logging
  • 如需帮助解决使用 Cloud VPN 时可能会遇到的常见问题,请参阅问题排查