查看日志和指标

Cloud VPN 网关会将日志信息发送给 Cloud Logging,Cloud VPN 隧道会将监控指标发送给 Cloud Monitoring。本页面介绍日志和指标及其查看方式。

如需检查 VPN 隧道利用率是否过高,请使用 VPN 隧道利用率 Recommender

查看日志

Cloud VPN 网关会将某些日志发送给 Cloud Logging。Cloud VPN 日志条目包含可用于监控和调试 VPN 隧道的实用信息,例如:

  • 大多数 Google Cloud 日志中显示的常规信息,例如严重性、项目 ID、项目编号和时间戳。
  • 其他信息(因日志条目而异)。

如需查看有用日志的列表,请参阅 VPN 日志

控制台

如需查看 Cloud VPN 的日志,请按以下步骤操作:

  • 在 Google Cloud Console 中,转到日志浏览器页面。

    转到日志浏览器

    VPN 日志按创建这些日志的 VPN 网关编入索引:

    • 如需查看所有 VPN 日志,请在第一个下拉菜单中选择 Cloud VPN 网关,然后点击所有 gateway_id
    • 如需仅查看一个网关的日志,请从菜单中选择一个网关名称。
  • 布尔值类型的日志字段通常仅在其值为 true 时才会显示。 如果某个布尔值字段的值为 false,则日志中将不会出现该字段。

  • 日志字段强制采用 UTF-8 编码。非 UTF-8 字符将被替换为问号。

导出日志

您可以为 Cloud VPN 资源日志配置导出基于日志的指标

Cloud Logging 仅将 Cloud VPN 日志存储 30 天。如果要将日志保留更长时间,您必须将日志导出。 您可以将 Cloud VPN 日志导出到 Pub/sub 或 BigQuery 进行分析。

查看指标

如需查看指标并创建与您的 VPN 隧道相关的提醒,请使用 Cloud Monitoring

除了 Cloud Monitoring 中的预定义信息中心以外,您还可以使用 Monitoring API 或 Cloud Console 创建自定义信息中心、设置提醒以及查询指标。

查看 Monitoring 信息中心

以下部分介绍了可用来查看 Cloud VPN 的 Monitoring 信息中心的其他方法。

查看 Monitoring VPN 资源中的指标

控制台

如需使用 Monitoring VPN 资源查看受监控资源的指标,请按照以下步骤操作:

  1. 在 Google Cloud Console 中,转到 Monitoring 页面。

    转到 Monitoring

  2. 如果 Monitoring 导航窗格显示 Resources,请选择 Resources,然后选择 VPN。如需查看特定网关的信息中心,请在列表中找到它,然后点击其名称。

  3. 否则,请选择 Dashboards,然后选择名为 VPN 的信息中心。Inventory 卡片中有一列 VPN。如需查看特定网关的信息中心,请在列表中找到它,然后点击其名称。

在 Metrics Explorer 中查看指标

控制台

如需使用 Metrics Explorer 查看受监控资源的指标,请按照以下步骤操作:

  1. 在 Google Cloud Console 中,转到 Monitoring 页面。

    转至 Resources

  2. 在 Monitoring 导航窗格中,点击 Metrics Explorer
  3. 确保所选标签页为指标
  4. 查找资源类型和指标字段中,从菜单中选择或者输入资源和指标的名称。在各字段中填写以下信息:
    1. 输入或选择 Cloud VPN 作为资源。此资源类型适用于传统 VPN 网关或高可用性 VPN 网关。
    2. Cloud VPN 指标列表中输入一个指标名称,或者选择菜单中显示的指标。
  5. 如需修改数据的显示方式,请使用过滤条件分组依据聚合器菜单。例如,您可以按资源或指标标签进行分组。如需了解详情,请参阅选择指标

在 VPN 隧道中查看指标

您还可以通过点击隧道的 Monitoring 标签页在 Cloud Console 中查看指标。此标签会显示各种时间序列图表。

定义 Monitoring 提醒

控制台

您可以创建提醒政策来监控指标的值,当这些指标违反条件时便会通知您。

如需创建用于监控一个或多个 Cloud VPN 网关资源的提醒政策,请按以下步骤操作:

  1. 在 Google Cloud Console 中,转到 Monitoring 页面。

    转至 Resources

  2. 在 Monitoring 导航窗格中,选择 提醒,然后选择创建政策
  3. 点击添加条件
    1. 目标窗格中的设置指定了要监控的资源和指标。在查找资源类型和指标字段中,选择资源 Cloud VPN 网关。接下来,从指标列表中选择一个指标。
    2. 提醒政策的配置窗格中的设置决定了何时触发提醒。 此窗格中的大多数字段已填充默认值。 如需详细了解此窗格中的字段,请参阅提醒政策文档中的配置
    3. 点击添加
  4. 如需前进到通知部分,请点击下一步
  5. 可选:如需将通知添加到您的提醒政策中,请点击通知渠道。在对话框中,从菜单中选择一个或多个通知渠道,然后点击确定

    如果您要添加的通知渠道未列出,请点击管理通知渠道。系统会将您带到新浏览器标签页中的通知渠道页面。在此页面上,您可以更新已配置的通知渠道。完成更新后,返回原始标签页,点击 刷新,然后选择要添加到提醒政策中的通知渠道。

  6. 如需前进到文档部分,请点击下一步
  7. 点击名称,然后输入提醒政策的名称。
  8. 可选:点击文档,然后添加您希望包含在通知消息中的任何信息。
  9. 点击保存
如需了解详情,请参阅提醒政策

定义 VPN 隧道带宽的提醒

如需为网络带宽中所述的每秒字节数 (bps) 和每秒数据包数 (pps) 限制创建提醒政策,您必须使用 Monitoring 查询语言 (MQL)。

输入查询时,请按照创建 MQL 提醒政策(控制台)中的说明操作,并查看以下示例:

  • 查询 bps:此示例查询会在给定 VPN 隧道的 sent_bytes_countreceived_bytes_count 总和超过 3 Gbps (375 MBps) 限制的 80% 时通知您。"MBy" 指定兆字节作为测量单位。300 "MBy" 的值会自动按比例调整,以符合单位为 "Bytes"val()

    fetch vpn_gateway
    | { metric vpn.googleapis.com/network/sent_bytes_count
    ; metric vpn.googleapis.com/network/received_bytes_count }
    | filter (metric.tunnel_name == 'TUNNEL_NAME')
    | outer_join 0,0
    | value val(0) + val(1)
    | condition val() > 300 "MBy"
    
  • 查询 pps:此示例查询会在给定 VPN 隧道的 sent_packets_countreceived_packets_count 总和超过建议数据包速率 (250,000 pps) 的 80% 时通知您。

    fetch vpn_gateway
    | { metric vpn.googleapis.com/network/sent_packets_count
    ; metric vpn.googleapis.com/network/received_packets_count }
    | filter (metric.tunnel_name == 'TUNNEL_NAME')
    | outer_join 0,0
    | value val(0) + val(1)
    | condition val() > 200000
    

如需详细了解 MQL,请参阅 Monitoring 查询语言简介

定义 Monitoring 自定义信息中心

控制台

如需基于 Cloud VPN 指标创建自定义 Monitoring 信息中心,请按以下步骤操作:

  1. 在 Google Cloud Console 中,转到 Monitoring 页面。

    转到 Monitoring

  2. 在 Monitoring 导航窗格中,点击信息中心,然后点击创建信息中心

  3. 确保修改开关处于开启位置。

  4. 点击图表库中要添加到信息中心的微件。您也可以将微件从库中拖动到图表区域。

  5. 使用信息中心可修改且微件选定时显示的微件配置窗格来配置微件。

  6. 在信息中心工具栏中,要激活图表库,请点击添加图表。对每个要添加到信息中心的微件重复执行上述步骤。

  7. 选择指标和过滤条件。对于指标,资源类型为 Cloud VPN 网关

如需详细了解如何配置微件,请参阅将微件添加到信息中心

如需详细了解如何设置自定义信息中心,请参阅自定义信息中心

查看 Cloud VPN 的 Monitoring 指标

系统会将 Cloud VPN 的以下指标报告给 Monitoring。非个别事件的指标为时间间隔。

此表中的“指标类型”字符串必须以 vpn.googleapis.com/ 为前缀。表中的条目已省略该前缀。

指标类型发布阶段
显示名
种类、类型、单位
受监控的资源
说明
标签
gateway/connections GA
连接数
GAUGEINT641
vpn_gateway
指示每个 VPN 网关的高可用性连接数。每 60 秒采样一次。采样后,数据在最长 60 秒的时间内不会显示。
configured_for_sla(布尔值):是否为服务等级协议 (SLA) 完整配置了高可用性连接。
gcp_service_health: (布尔值) 高可用性连接的 Google Cloud 端是否完全正常。
end_to_end_health(布尔值):端到端的高可用性连接是否正常。
network/dropped_received_packets_count GA
丢弃的传入数据包数
DELTAINT641
vpn_gateway
隧道丢弃的入站流量(从对等 VPN 接收)数据包数。每 60 秒采样一次。采样后,数据在最长 180 秒的时间内不会显示。
tunnel_name:隧道的名称。
gateway_name:管理隧道的网关的名称。
network/dropped_sent_packets_count GA
丢弃的传出数据包数
DELTAINT641
vpn_gateway
隧道丢弃的出站流量(定向到对等 VPN)数据包数。每 60 秒采样一次。采样后,数据在最长 180 秒的时间内不会显示。
tunnel_name:隧道的名称。
gateway_name:管理隧道的网关的名称。
network/received_bytes_count GA
接收的字节数
DELTAINT64By
vpn_gateway
隧道的入站流量(从对等 VPN 接收)的字节数。每 60 秒采样一次。采样后,数据在最长 180 秒的时间内不会显示。
tunnel_name:隧道的名称。
gateway_name:管理隧道的网关的名称。
network/received_packets_count GA
接收的数据包数
DELTAINT64{packets}
vpn_gateway
隧道的入站流量(从对等 VPN 接收)数据包数。每 60 秒采样一次。采样后,数据在最长 60 秒的时间内不会显示。
status:传递状态,例如 [successful、exceed_mtu、throttled]。
tunnel_name:隧道的名称。
network/sent_bytes_count GA
已发送的字节数
DELTAINT64By
vpn_gateway
隧道的出站流量(定向到对等 VPN)字节数。每 60 秒采样一次。采样后,数据在最长 180 秒的时间内不会显示。
tunnel_name:隧道的名称。
gateway_name:管理隧道的网关的名称。
network/sent_packets_count GA
发送的数据包数
DELTAINT64{packets}
vpn_gateway
隧道的出站流量(定向到对等 VPN)数据包数。每 60 秒采样一次。采样后,数据在最长 60 秒的时间内不会显示。
status:传递状态,例如 [successful、exceed_mtu、throttled]。
tunnel_name:隧道的名称。
tunnel_established GA
隧道已建立
GAUGEDOUBLE1
vpn_gateway
如果大于 0,则表示成功建立隧道。每 60 秒采样一次。采样后,数据在最长 180 秒的时间内不会显示。
tunnel_name:隧道的名称。
gateway_name:管理隧道的网关的名称。

世界协调时间 (UTC) 2021-06-10 22:50:08 生成的表。

查看高可用性连接运行状况指标

以下指标指示高可用性 VPN 网关的连接是否运行状况良好以及配置是否满足 SLA 承诺的 99.99% 可用性。

创建图表时,如果您将资源类型和指标指定为 Cloud VPN 网关连接数之后,您可以在过滤条件字段中找到这些标签。如需了解详情,请参阅选择要用于绘制图表的数据

状态 说明
configured_for_sla 指示高可用性连接是否已完全配置,即连接是否包含必要数量的隧道以及是否正确连接到 Cloud Router 路由器。
gcp_service_health 指示高可用性连接在 Google Cloud 端是否正常运行。例如,已分配隧道。
end_to_end_health 指示是否在高可用性连接内成功发送和接收数据包。

查看丢弃的原因

如果 Cloud VPN 网关丢弃数据包,会提供丢弃的原因。

原因 说明 流量来源
dont_fragment_icmp 丢弃的数据包是 ICMP 数据包,其大小大于 MTU,且设置有 do not fragment 位。此类数据包用于 path-mtu-discovery Google Cloud 虚拟机
exceeds_mtu UDP 或 ESP 出站流量数据包的第一个片段大于 MTU,且设置有 do not fragment 位。 Google Cloud 虚拟机
dont_fragment_nonfirst_fragment UDP 或 ESP 出站数据包的某个片段(不是第一个片段)大于 MTU,且设置有 do not fragment 位。 Google Cloud 虚拟机
Sent packets::invalid 数据包无效或受到某种程度的损坏。例如,数据包可能包含无效的 IP 标头。 Google Cloud 虚拟机
Sent packets::throttled 数据包由于 Cloud VPN 网关上负载过多而被丢弃。 Google Cloud 虚拟机
fragment_received 收到来自对等网关的分段数据包。 对等 VPN 网关
sequence_number_lost 数据包已到达网关,但有一个序列号大于预期序列号,这表示在该序列号之前的某个数据包可能已被丢弃。 对等 VPN 网关
suspected_replay 收到 ESP 数据包的序列号与已收到的数据包序列号相同。 对等 VPN 网关
Received packets::invalid 数据包无效或受到某种程度的损坏。例如,数据包可能包含无效的 IP 标头。 对等 VPN 网关
Received packets::throttled 数据包由于 Cloud VPN 网关上负载过多而被丢弃。 对等 VPN 网关
sa_expired 收到具有未知安全关联 (SA) 的数据包。原因可能是使用的 SA 已过期或从未进行协商。 对等 VPN 网关
unknown 丢弃数据包的原因是网关无法分类或不知道如何分类。 执行任一操作

后续步骤

  • 如需详细了解监控,请参阅 Cloud Monitoring
  • 如需详细了解如何收集日志以及如何为 Cloud VPN 配置导出,请参阅 Cloud Logging
  • 如需计算 Google Cloud 中以及传到本地或第三方云位置的网络吞吐量,请参阅计算网络吞吐量
  • 如需帮助解决使用 Cloud VPN 时可能会遇到的常见问题,请参阅问题排查