Cloud VPN 网关会将日志信息发送给 Cloud Logging,Cloud VPN 隧道会将监控指标发送给 Cloud Monitoring。本页面介绍日志和指标及其查看方式。
如需监控 VPN 隧道利用率,您可以定义 VPN 隧道带宽提醒。建议将此监控方法用于生产工作负载。
查看日志
Cloud VPN 网关会将某些日志发送给 Cloud Logging。Cloud VPN 日志条目包含可用于监控和调试 VPN 隧道的实用信息,例如:
- 大多数 Google Cloud 日志中显示的常规信息,例如严重性、项目 ID、项目编号和时间戳。
- 其他信息(因日志条目而异)。
如需查看有用日志的列表,请参阅 VPN 日志。
控制台
如需查看 Cloud VPN 的日志,请按以下步骤操作:
在 Google Cloud 控制台中,转到 Logs Explorer 页面。
VPN 日志按创建这些日志的 VPN 网关编入索引:
- 如需查看所有 VPN 日志,请在第一个下拉菜单中选择 Cloud VPN 网关,然后点击所有 gateway_id。
- 如需仅查看一个网关的日志,请从菜单中选择一个网关名称。
布尔值类型的日志字段通常仅在其值为
true时才会显示。 如果某个布尔值字段的值为false,则日志中将不会出现该字段。日志字段强制采用 UTF-8 编码。非 UTF-8 字符将被替换为问号。
路由日志
您可以为 Cloud VPN 资源日志配置基于日志的指标的路由。
Cloud Logging 仅将 Cloud VPN 日志存储 30 天。如果要将日志保留更长时间,您必须路由日志。您可以将 Cloud VPN 日志路由到 Pub/sub 或 BigQuery 进行分析。
查看指标
如需查看指标并创建与您的 VPN 隧道相关的提醒,请使用 Cloud Monitoring。
除了 Cloud Monitoring 中的预定义信息中心以外,您还可以使用 Monitoring API 或 Google Cloud 控制台创建自定义信息中心、设置提醒以及查询指标。
查看 Monitoring 信息中心
以下部分介绍了可用来查看 Cloud VPN 的 Monitoring 信息中心的其他方法。
查看 Monitoring VPN 资源中的指标
控制台
如需使用 Monitoring VPN 资源查看受监控资源的指标,请按照以下步骤操作:
在 Google Cloud 控制台中,前往监控页面。
如果 Monitoring 导航窗格显示 Resources,请选择 Resources,然后选择 VPN。如需查看特定网关的信息中心,请在列表中找到它,然后点击其名称。
否则,请选择 Dashboards,然后选择名为 VPN 的信息中心。Inventory 卡片中有一列 VPN。如需查看特定网关的信息中心,请在列表中找到它,然后点击其名称。
在 Metrics Explorer 中查看指标
控制台
如需使用 Metrics Explorer 查看受监控资源的指标,请执行以下操作:
-
在 Google Cloud 控制台中,转到 leaderboard Metrics Explorer 页面:
如果您使用搜索栏查找此页面,请选择子标题为监控的结果。
- 在指标元素中,展开选择指标菜单,在过滤栏中输入
Cloud VPN,然后使用子菜单选择一个特定资源类型和指标:- 在活跃资源菜单中,选择 Cloud VPN。此资源类型适用于传统 VPN 网关或高可用性 VPN 网关。
- 如需选择指标,请使用活跃指标类别和活跃指标菜单。 如需查看指标的完整列表,请参阅 Cloud VPN 指标列表。
- 点击应用。
如需从显示结果中移除时序,请使用过滤条件元素。
如需组合时序,请使用聚合元素上的菜单。例如,如需根据虚拟机所在的可用区显示虚拟机的 CPU 利用率,请将第一个菜单设置为平均值,并将第二个菜单设置为可用区。
当聚合元素的第一个菜单设置为未聚合时,系统会显示所有时序。聚合元素的默认设置由您选择的指标类型决定。
- 对于配额和每天报告一个样本的其他指标,请执行以下操作:
- 在显示窗格中,将微件类型设置为堆叠条形图。
- 将时间段设置为至少一周。
在 VPN 隧道中查看指标
您还可以通过在 Google Cloud 控制台中点击隧道的 Monitoring 标签页来查看指标。此标签会显示各种时间序列图表。
定义 Monitoring 提醒
控制台
您可以创建提醒政策来监控指标的值,当这些指标违反条件时便会通知您。
-
在 Google Cloud 控制台中,转到 notifications 提醒页面:
如果您使用搜索栏查找此页面,请选择子标题为监控的结果。
- 如果您尚未创建通知渠道并希望收到通知,请点击修改通知渠道并添加通知渠道。添加渠道后,返回到提醒页面。
- 在提醒页面中,点击创建政策。
- 如需选择指标,请展开选择指标菜单,然后执行以下操作:
- 如需将菜单限制为相关条目,请在过滤栏中输入
Cloud VPN gateway。如果过滤菜单后没有显示任何结果,请停用仅显示活跃的资源和指标切换开关。 - 对于资源类型,请选择 Cloud VPN 网关。
- 选择指标类别和指标,然后选择应用。
- 如需将菜单限制为相关条目,请在过滤栏中输入
- 点击下一步。
- 配置提醒触发器页面中的设置决定了何时触发提醒。 选择条件类型,并在必要时指定阈值。如需了解详情,请参阅创建指标阈值提醒政策。
- 点击下一步。
- 可选:如需将通知添加到您的提醒政策中,请点击通知渠道。在对话框中,从菜单中选择一个或多个通知渠道,然后点击确定。
- 可选:更新突发事件自动关闭持续时间。此字段用于确定在缺少指标数据的情况下 Monitoring 何时关闭突发事件。
- 可选:点击文档,然后添加您希望包含在通知消息中的任何信息。
- 点击提醒名称,然后输入提醒政策的名称。
- 点击 Create Policy(创建政策)。
定义 VPN 隧道带宽的提醒
如需为网络带宽中所述的每秒字节数 (bps) 和每秒数据包数 (pps) 限制创建提醒政策,您必须使用 Monitoring 查询语言 (MQL)。
输入查询时,请按照创建 MQL 提醒政策(控制台)中的说明操作,并查看以下示例。
对于主动/主动隧道配置(默认),Google 建议您为 VPN 隧道设置 50% 的使用阈值。针对 VPN 隧道带宽用量设置 50% 的提醒政策可确保在发生隧道故障切换时您有足够的容量。
查询 bps:此示例查询会在给定 VPN 隧道的
sent_bytes_count和received_bytes_count总和超过 3 Gbps (375 MBps) 限制的 50% 时通知您。"MBy"指定兆字节作为测量单位。187.5 "MBy"的值会自动按比例调整,以符合单位为"Bytes"的val()。 应适当调整校准速率以捕获必要的数据。可以设置为最低 1 秒 (1s),如果在更长的一段时间内需要更多数据采样点,则可以调高比例。fetch vpn_gateway | { metric vpn.googleapis.com/network/sent_bytes_count ; metric vpn.googleapis.com/network/received_bytes_count } | align rate (1m) | filter (metric.tunnel_name == 'TUNNEL_NAME') | outer_join 0,0 | value val(0) + val(1) | condition val() > 187.5 "MBy/s"查询 pps:此示例查询会在给定 VPN 隧道的
sent_packets_count和received_packets_count总和超过建议数据包速率 (250,000 pps) 的 50% 时通知您。fetch vpn_gateway | { metric vpn.googleapis.com/network/sent_packets_count ; metric vpn.googleapis.com/network/received_packets_count } | align rate (1m) | filter (metric.tunnel_name == 'TUNNEL_NAME') | outer_join 0,0 | value val(0) + val(1) | condition val() > 125000 "{packets}/s"
如需详细了解 MQL,请参阅 Monitoring 查询语言简介。
定义 Monitoring 自定义信息中心
控制台
如需基于 Cloud VPN 指标创建自定义 Monitoring 信息中心,请按以下步骤操作:
在 Google Cloud 控制台中,前往监控页面。
在 Monitoring 导航窗格中,点击信息中心,然后点击创建信息中心。
确保修改开关处于开启位置。
点击图表库中要添加到信息中心的微件。您也可以将微件从库中拖动到图表区域。
使用信息中心可修改且微件选定时显示的微件配置窗格来配置微件。
在信息中心工具栏中,要激活图表库,请点击添加图表。对每个要添加到信息中心的微件重复执行上述步骤。
选择指标和过滤条件。对于指标,资源类型为 Cloud VPN 网关。
如需详细了解如何配置微件,请参阅添加信息中心微件。
如需详细了解如何设置自定义信息中心,请参阅自定义信息中心。
查看 Cloud VPN 的 Monitoring 指标
系统会将 Cloud VPN 的以下指标报告给 Monitoring。非个别事件的指标为时间间隔。
此表中的“指标类型”字符串必须以 vpn.googleapis.com/ 为前缀。表中的条目已省略该前缀。
查询标签时,请使用 metric.labels. 前缀;例如 metric.labels.LABEL="VALUE"。
| 指标类型发布阶段 (资源层次结构级别 显示名称 |
|
|---|---|
| 种类、类型、单位 受监控的资源 |
说明 标签 |
gateway/connections
GA
(项目)
连接数 |
|
GAUGE、INT64、1
vpn_gateway |
指示每个 VPN 网关的高可用性连接数。每 60 秒采样一次。采样后,数据在最长 60 秒的时间内不会显示。configured_for_sla(布尔值):是否为服务等级协议 (SLA) 完整配置了高可用性连接。gcp_service_health:
(布尔值)
高可用性连接的 Google Cloud 端是否完全正常。end_to_end_health(布尔值):端到端的高可用性连接是否正常。
|
network/dropped_received_packets_count
GA
(项目)
丢弃的传入数据包数 |
|
DELTA、INT64、1
vpn_gateway |
隧道丢弃的入站流量(从对等 VPN 接收)数据包数。每 60 秒采样一次。采样后,数据在最长 180 秒的时间内不会显示。tunnel_name:隧道的名称。gateway_name:管理隧道的网关的名称。
|
network/dropped_sent_packets_count
GA
(项目)
丢弃的传出数据包数 |
|
DELTA、INT64、1
vpn_gateway |
隧道丢弃的出站流量(定向到对等 VPN)数据包数。每 60 秒采样一次。采样后,数据在最长 180 秒的时间内不会显示。tunnel_name:隧道的名称。gateway_name:管理隧道的网关的名称。
|
network/received_bytes_count
GA
(项目)
收到的字节数 |
|
DELTA、INT64、By
vpn_gateway |
隧道的入站流量(从对等 VPN 接收)的字节数。每 60 秒采样一次。采样后,数据在最长 180 秒的时间内不会显示。tunnel_name:隧道的名称。gateway_name:管理隧道的网关的名称。
|
network/received_packets_count
GA
(项目)
收到的数据包数 |
|
DELTA、INT64、{packets}
vpn_gateway |
隧道的入站流量(从对等 VPN 接收)数据包数。每 60 秒采样一次。采样后,数据在最长 60 秒的时间内不会显示。status:传递状态,例如 [successful、exceed_mtu、throttled]。
tunnel_name:隧道的名称。
|
network/sent_bytes_count
GA
(项目)
已发送的字节数 |
|
DELTA、INT64、By
vpn_gateway |
隧道的出站流量(定向到对等 VPN)字节数。每 60 秒采样一次。采样后,数据在最长 180 秒的时间内不会显示。tunnel_name:隧道的名称。gateway_name:管理隧道的网关的名称。
|
network/sent_packets_count
GA
(项目)
发送的数据包数 |
|
DELTA、INT64、{packets}
vpn_gateway |
隧道的出站流量(定向到对等 VPN)数据包数。每 60 秒采样一次。采样后,数据在最长 60 秒的时间内不会显示。status:传递状态,例如 [successful、exceed_mtu、throttled]。
tunnel_name:隧道的名称。
|
tunnel_established
GA
(项目)
隧道已建立 |
|
GAUGE、DOUBLE、1
vpn_gateway |
如果大于 0,则表示成功建立隧道。每 60 秒采样一次。采样后,数据在最长 180 秒的时间内不会显示。tunnel_name:隧道的名称。gateway_name:管理隧道的网关的名称。
|
vpn_tunnel/gateway_ip_version
GA
(项目)
网关 IP 版本 |
|
GAUGE、BOOL、vpn_tunnel |
高可用性 VPN 网关的 IP 版本。每 60 秒采样一次。采样后,数据在最长 60 秒的时间内不会显示。gateway_ip_version:高可用性 VPN 网关的 IP 版本。
|
世界协调时间 (UTC) 2025-01-24 16:56:52 生成的表。
查看高可用性连接的健康指标
以下指标指示高可用性 VPN 网关的连接是否运行状况良好以及配置是否满足 SLA 承诺的 99.99% 可用性。
创建图表时,如果您将资源类型和指标指定为 Cloud VPN 网关和连接数之后,您可以在过滤条件字段中找到这些标签。如需了解详情,请参阅指标、过滤条件和聚合。
| 状态 | 说明 |
|---|---|
configured_for_sla |
指示高可用性连接是否已完全配置,即连接是否包含必要数量的隧道以及是否正确连接到 Cloud Router 路由器。 |
gcp_service_health |
指示高可用性连接在 Google Cloud 端是否正常运行。 Google Cloud 例如,已分配隧道。 |
end_to_end_health |
指示是否在高可用性连接内成功发送和接收数据包。 |
在网络拓扑中查看指标
您可以使用网络拓扑来审核网络配置和排查网络问题。
网络拓扑会在每个连接叠加吞吐量值。通过此功能,您可以快速查看实体之间的流量,例如遍历Google Cloud 与本地网络之间的 VPN 隧道的流量。
如需了解每个连接支持的指标,请参阅指标参考文档。
指标值根据所选小时的最后五分钟计算。您还可以通过点击任一边缘查看 6 周的历史指标。
如需了解详情,请参阅数据收集和数据时效性。
控制台
- 在 Google Cloud 控制台中,转到网络拓扑页面。
在实体选择窗格中的 Edge 指标下拉菜单中选择一个指标。
导航到特定实体层次结构以查看与该实体相关的流量。
例如,如果要查看遍历 Google Cloud 和本地网络之间的 VPN 隧道的流量带宽,请展开这些实体,直到看到该 VPN 隧道连接。 Google Cloud
点击实体以突出显示其所有流量路径。
网络拓扑会显示支持所选指标的每个连接的指标值。
查看丢弃的原因
如果 Cloud VPN 网关丢弃数据包,会提供丢弃的原因。
| 原因 | 说明 | 流量来源 |
|---|---|---|
dont_fragment_icmp |
丢弃的数据包是 ICMP 数据包,其大小大于 MTU,且设置有 do not fragment 位。此类数据包用于 path-mtu-discovery。 |
Google Cloud VM |
exceeds_mtu |
UDP 或 ESP 出站流量数据包的第一个片段大于 MTU,且设置有 do not fragment 位。 |
Google Cloud VM |
dont_fragment_nonfirst_fragment |
UDP 或 ESP 出站数据包的某个片段(不是第一个片段)大于 MTU,且设置有 do not fragment 位。 |
Google Cloud VM |
Sent packets::invalid |
数据包无效或在某种程度上损坏。例如,数据包可能包含无效的 IP 标头。 | Google Cloud VM |
Sent packets::throttled |
数据包由于 Cloud VPN 网关上负载过多而被丢弃。 | Google Cloud VM |
fragment_received |
收到来自对等网关的分段数据包。 | 对等 VPN 网关 |
sequence_number_lost |
数据包已到达网关,但有一个序列号大于预期序列号,这表示在该序列号之前的某个数据包可能已被丢弃。 | 对等 VPN 网关 |
suspected_replay |
收到 ESP 数据包的序列号与已收到的数据包序列号相同。 | 对等 VPN 网关 |
Received packets::invalid |
数据包无效或受到某种程度的损坏。例如,数据包可能包含无效的 IP 标头。 | 对等 VPN 网关 |
Received packets::throttled |
数据包由于 Cloud VPN 网关上负载过多而被丢弃。 | 对等 VPN 网关 |
sa_expired |
收到具有未知安全关联 (SA) 的数据包。原因可能是使用的 SA 已过期或从未进行协商。 | 对等 VPN 网关 |
unknown |
丢弃数据包的原因是网关无法分类或不知道如何分类。 | 执行任一操作 |
后续步骤
- 如需详细了解监控,请参阅 Cloud Monitoring。
- 如需详细了解如何收集日志以及如何为 Cloud VPN 配置接收器,请参阅 Cloud Logging。
- 如需帮助解决使用 Cloud VPN 时可能会遇到的常见问题,请参阅问题排查。