ログと指標の表示

Cloud VPN ゲートウェイはログ情報を Cloud Logging に送信し、Cloud VPN トンネルはモニタリング指標を Cloud Monitoring に送信します。このページでは、ログと指標、およびログと指標の表示方法について説明します。

VPN トンネルの使用率をモニタリングするには、VPN トンネル帯域幅にアラートを定義します。これは、本番環境のワークロードに推奨のモニタリング方法です。

ログを表示する

Cloud VPN ゲートウェイは特定のログを Cloud Logging に送信します。Cloud VPN ログエントリには、VPN トンネルのモニタリングとデバッグに有用な次のような情報が含まれています。

  • 重大度、プロジェクト ID、プロジェクト番号、タイムスタンプなど、ほとんどの Google Cloud ログで表示される一般情報。
  • ログエントリによって異なるその他の情報。

有用なログの一覧については、VPN ログをご覧ください。

コンソール

Cloud VPN のログを表示する手順は次のとおりです。

  • Google Cloud Console で、[ログ エクスプローラ] ページに移動します。

    [ログ エクスプローラ] に移動

    VPN ログは、作成元である VPN ゲートウェイによってインデックスに登録されます。

    • VPN のすべてのログを表示するには、最初のプルダウン メニューで [Cloud VPN ゲートウェイ] を選択し、[All gateway_id] をクリックします。
    • 1 つのゲートウェイのログのみを表示するには、メニューから 1 つのゲートウェイの名前を選択します。
  • ブール型のログフィールドは、通常、フィールド値が true の場合にのみ表示されます。ブール値のフィールドが false の場合、そのフィールドはログに表示されません。

  • ログフィールドには UTF-8 文字エンコードが適用されます。UTF-8 以外の文字列は、疑問符に置き換えられます。

ログを転送する

Cloud VPN リソースログのログベースの指標のルーティングを構成できます。

Cloud Logging では、Cloud VPN ログは 30 日間のみ保存されます。それよりも長い期間ログを保持するには、ログを転送する必要があります。Cloud VPN ログは、Cloud Pub/Sub または BigQuery に転送して分析できます。

指標を表示する

VPN トンネルに関連する指標を表示し、アラートを作成するには、Cloud Monitoring を使用します。

Cloud Monitoring の事前定義されたダッシュボードに加えて、カスタム ダッシュボードを作成して、アラートを設定し、Monitoring API または Google Cloud コンソールを使用して指標に対するクエリを行うことができます。

Monitoring ダッシュボードを表示する

以降のセクションでは、Cloud VPN のモニタリング ダッシュボードを表示する他の方法を説明します。

モニタリング VPN リソースで指標を表示する

コンソール

Monitoring VPN リソースを使用してモニタリング対象リソースの指標を表示するには、次の手順を行います。

  1. Google Cloud コンソールで [Monitoring] ページに移動します。

    [Monitoring] に移動

  2. Monitoring のナビゲーション パネルに [リソース] が表示されている場合は [リソース] を選択し、次に [VPN] を選択します。特定のゲートウェイのダッシュボードを表示するには、リストでダッシュボードを見つけて、ダッシュボード名をクリックします。

  3. それ以外の場合は、[ダッシュボード] を選択し、[VPN] という名前のダッシュボードを選択します。[Inventory] カードには、VPN のリストが含まれています。特定のゲートウェイのダッシュボードを表示するには、リストでダッシュボードを見つけて、ダッシュボード名をクリックします。

Metrics Explorer で指標を表示する

コンソール

Metrics Explorer を使用してモニタリング対象リソースの指標を表示する方法は次のとおりです。

  1. Google Cloud コンソールのナビゲーション パネルで [Monitoring] を選択し、次に [ Metrics Explorer] を選択します。

    Metrics Explorer に移動

  2. [指標] 要素の [指標を選択] メニューを開いてフィルタバーに「Cloud VPN」と入力し、サブメニューを使用して特定のリソースタイプと指標を選択します。
    1. [有効なリソース] メニューで、[Cloud VPN] を選択します。このリソースタイプは、Classic VPN ゲートウェイまたは HA VPN ゲートウェイで有効です。
    2. 指標を選択するには、[ACTIVE METRIC CATEGORIES] メニューと [ACTIVE METRICS] メニューを使用します。指標の一覧については、Cloud VPN の指標一覧をご覧ください。
    3. [適用] をクリックします。
  3. 表示から時系列を削除するには、[フィルタ] 要素を使用します。

  4. 時系列を結合するには、[集計] 要素のメニューを使用します。たとえば、ゾーンに基づいて VM の CPU 使用率を表示するには、最初のメニューを [平均] に設定し、2 番目のメニューを [ゾーン] に設定します。

    [集計] 要素の最初のメニューが [未集計] に設定されている場合は、すべての時系列が表示されます。[集計] 要素のデフォルト設定は、選択した指標タイプによって決まります。

  5. 割り当てと、1 日に 1 つのサンプルを報告するその他の指標については、次の操作を行います。
    1. [表示] ペインで、[ウィジェット タイプ] を [積み上げ棒グラフ] に設定します。
    2. 期間は少なくとも 1 週間に設定します。

VPN トンネル内からの指標を表示する

Google Cloud コンソールでトンネルの [モニタリング] タブをクリックして、指標を表示することもできます。このタブにはさまざまな時系列のグラフが表示されます。

Monitoring アラートを定義する

コンソール

アラート ポリシーを作成して指標の値をモニタリングすると、指標が条件に違反した場合に通知できます。

  1. Google Cloud コンソールのナビゲーション パネルで、[Monitoring] を選択してから、[アラート] を選択します。

    アラートに移動

  2. 通知チャンネルを作成せずに通知を受け取る場合は、[EDIT NOTIFICATION CHANNELS] をクリックして、通知チャンネルを追加します。チャンネルを追加したら、[アラート] ページに戻ります。
  3. [アラート] ページで、[CREATE POLICY] をクリックします。
  4. 指標を選択するには、[指標の選択] メニューを開き、次の操作を行います。
    1. メニューを関連するエントリに限定するには、フィルタバーに「Cloud VPN gateway」と入力します。結果が表示されない場合は、[有効なリソースと指標のみを表示] をオフに切り替えます。
    2. [リソースの種類] で [Cloud VPN ゲートウェイ] を選択します。
    3. 指標カテゴリ指標を選択して、[適用] を選択します。
  5. [次へ] をクリックします。
  6. [Configure alert trigger] ページの設定によって、アラートがトリガーされるタイミングが決まります。条件タイプを選択し、必要に応じてしきい値を指定します。詳細については、指標しきい値のアラート ポリシーを作成するをご覧ください。
  7. [次へ] をクリックします。
  8. (省略可)アラート ポリシーに通知を追加するには、[通知チャネル] をクリックします。ダイアログで、メニューから 1 つ以上の通知チャンネルを選択し、[OK] をクリックします。
  9. (省略可)インシデントの自動クローズ期間を更新します。このフィールドは、指標データがない場合に Monitoring がインシデントを閉じるタイミングを決定します。
  10. (省略可)[Documentation] をクリックして、通知メッセージに追加する情報を入力します。
  11. [アラート名] をクリックして、アラート ポリシーの名前を入力します。
  12. [Create Policy] をクリックします。
詳細については、アラート ポリシーをご覧ください。

VPN トンネル帯域幅のアラートを定義する

ネットワーク帯域幅で説明している 1 秒あたりのバイト数(bps)と 1 秒あたりのパケット数(pps)に関するアラート ポリシーを作成するには、Monitoring Query Language(MQL)を使用します。

クエリを入力する場合は、MQL アラート ポリシー(コンソール)の作成の手順に沿って操作し、以下の例を参照してください。

アクティブ / アクティブのトンネル構成(デフォルト)では、VPN トンネルの使用しきい値を 50% に設定することをおすすめします。VPN トンネルの帯域幅使用量に 50% のアラート ポリシーを設定すると、トンネルのフェイルオーバーが発生した場合に、十分な容量を確保できます。

  • bps のクエリ: 次のサンプルクエリでは、特定の VPN トンネルで sent_bytes_countreceived_bytes_count の合計が、3 Gbps(375 MBps)の上限の 50% を超えると通知します。"MBy" には、測定単位として MB を指定します。187.5 "MBy" の値は、単位 "Bytes"val() に合わせて自動的にスケーリングされます。必要なデータを取得できるように、割合を適切にスケーリングする必要があります。1 秒に設定しても、より多くの日数で多くのデータ サンプリング ポイントが必要になった場合はスケーリングされます。

    fetch vpn_gateway
    | { metric vpn.googleapis.com/network/sent_bytes_count
    ; metric vpn.googleapis.com/network/received_bytes_count }
    | align rate (1m)
    | filter (metric.tunnel_name == 'TUNNEL_NAME')
    | outer_join 0,0
    | value val(0) + val(1)
    | condition val() > 187.5 "MBy/s"
    
  • pps のクエリ: 次のサンプルクエリでは、特定の VPN トンネルで sent_packets_countreceived_packets_count の合計が、推奨の最大パケットレート(250,000 pps)の 50% を超えると通知します。

    fetch vpn_gateway
    | { metric vpn.googleapis.com/network/sent_packets_count
    ; metric vpn.googleapis.com/network/received_packets_count }
    | align rate (1m)
    | filter (metric.tunnel_name == 'TUNNEL_NAME')
    | outer_join 0,0
    | value val(0) + val(1)
    | condition val() > 125000 "{packets}/s"
    

MQL の詳細については、Monitoring クエリ言語の概要をご覧ください。

Monitoring カスタム ダッシュボードを定義する

コンソール

Cloud VPN の指標にカスタムの Monitoring ダッシュボードを作成する手順は次のとおりです。

  1. Google Cloud コンソールで [Monitoring] ページに移動します。

    [Monitoring] に移動

  2. Monitoring のナビゲーション パネルで、[ダッシュボード] をクリックし、[CREATE DASHBOARD] をクリックします。

  3. [編集] 切り替えボタンが [オン] の位置にあることを確認します。

  4. ダッシュボードに追加するグラフ ライブラリのウィジェットをクリックします。ライブラリからグラフ領域にウィジェットをドラッグすることもできます。

  5. ウィジェットの構成ペインでウィジェットを構成します。これは、ダッシュボードが編集可能で、ウィジェットが選択された場合に表示されます。

  6. ダッシュボードのツールバーで、グラフ ライブラリをアクティブにするには、[グラフを追加] をクリックします。ダッシュボードに追加するウィジェットごとに、前の手順を繰り返します。

  7. 指標とフィルタを選択します。指標のリソースタイプは Cloud VPN Gateway です。

ウィジェットの構成の詳細については、ダッシュボード ウィジェットを追加するをご覧ください。

カスタム ダッシュボードの設定の詳細については、カスタム ダッシュボードを管理するをご覧ください。

Cloud VPN のモニタリング指標を表示する

Cloud VPN の次の指標が Monitoring に報告されます。個別のイベントではない指標は、期間に関する指標です。

次の表の指標タイプの文字列には、vpn.googleapis.com/ という接頭辞を付ける必要があります。この接頭辞は表内で省略されています。 ラベルをクエリする場合は、metric.labels. 接頭辞を使用します(例: metric.labels.LABEL="VALUE")。

指標タイプリリース ステージ
表示名
種類、タイプ、単位
モニタリング対象リソース
説明
ラベル
gateway/connections 一般提供
接続数
GAUGEINT641
vpn_gateway
VPN ゲートウェイあたりの HA 接続の数を示します。60 秒ごとにサンプリングされます。サンプリング後、データは最長 60 秒間表示されません。
configured_for_sla: (BOOL) HA 接続が完全に SLA 用に構成されているかどうか。
gcp_service_health: (BOOL) HA 接続の Google Cloud 側が完全に機能しているかどうか。
end_to_end_health: (BOOL) HA 接続が機能しているかどうか。
network/dropped_received_packets_count 一般提供
破棄された受信パケット
DELTAINT641
vpn_gateway
トンネルで破棄された上り(内向き、ピア VPN からの受信)パケット。60 秒ごとにサンプリングされます。サンプリング後、データは最長 180 秒間表示されません。
tunnel_name: トンネルの名前
gateway_name: トンネルを管理するゲートウェイの名前。
network/dropped_sent_packets_count 一般提供
破棄された送信パケット
DELTAINT641
vpn_gateway
トンネルで破棄された下り(外向き、ピア VPN への転送)パケット。60 秒ごとにサンプリングされます。サンプリング後、データは最長 180 秒間表示されません。
tunnel_name: トンネルの名前
gateway_name: トンネルを管理するゲートウェイの名前。
network/received_bytes_count 一般提供
受信バイト数
DELTAINT64By
vpn_gateway
トンネルの上り(内向き、ピア VPN からの受信)バイト。60 秒ごとにサンプリングされます。サンプリング後、データは最長 180 秒間表示されません。
tunnel_name: トンネルの名前
gateway_name: トンネルを管理するゲートウェイの名前。
network/received_packets_count 一般提供
受信パケット数
DELTAINT64{packets}
vpn_gateway
トンネルの上り(内向き、ピア VPN からの受信)パケット。60 秒ごとにサンプリングされます。サンプリング後、データは最長 60 秒間表示されません。
status: 配信ステータス。たとえば、[successful, exceed_mtu, throttled]。
tunnel_name: トンネルの名前
network/sent_bytes_count 一般提供
送信バイト数
DELTAINT64By
vpn_gateway
トンネルの下り(外向き、ピア VPN への転送)バイト。60 秒ごとにサンプリングされます。サンプリング後、データは最長 180 秒間表示されません。
tunnel_name: トンネルの名前
gateway_name: トンネルを管理するゲートウェイの名前。
network/sent_packets_count 一般提供
送信パケット
DELTAINT64{packets}
vpn_gateway
トンネルの下り(外向き、ピア VPN への転送)パケット。60 秒ごとにサンプリングされます。サンプリング後、データは最長 60 秒間表示されません。
status: 配信ステータス。たとえば、[successful, exceed_mtu, throttled]。
tunnel_name: トンネルの名前
tunnel_established 一般提供
確立したトンネル
GAUGEDOUBLE1
vpn_gateway
> 0 の場合、成功したトンネル確立を示しています。60 秒ごとにサンプリングされます。サンプリング後、データは最長 180 秒間表示されません。
tunnel_name: トンネルの名前
gateway_name: トンネルを管理するゲートウェイの名前。

表の生成日時: 2024-03-14 21:32:40 UTC

HA 接続状態の指標を表示する

次の指標は、HA VPN ゲートウェイの接続が正常で、構成が 99.99% の SLA を満たしているかどうかを示します。

グラフを作成する際に、リソースタイプと指標を Cloud VPN ゲートウェイ接続数として指定した場合は、これらのラベルを [フィルタ] フィールドで確認できます。詳しくは、指標、フィルタ、集計をご覧ください。

ステータス 説明
configured_for_sla HA 接続が完全に構成されているかどうか、つまり、接続に必要な数のトンネルが含まれ、Cloud Router に正しく接続されているかどうかを示します。
gcp_service_health HA 接続が Google Cloud 側で正常に機能しているかどうかを示します。たとえば、トンネルの割り当てです。
end_to_end_health HA 接続内でパケットが正常に送受信されたかどうかを示します。

ネットワーク トポロジで指標を表示する

ネットワークト ポロジを使用すると、ネットワーク構成の監査や、ネットワークのトラブルシューティングを行うことができます。

ネットワーク トポロジが、各接続のスループットの値をオーバーレイします。この機能を使用すると、Google Cloud とオンプレミス ネットワーク間の VPN トンネルを通過するトラフィックなど、エンティティ間で移動するトラフィックの量をすばやく確認できます。

各接続でサポートされる指標については、指標のリファレンスをご覧ください。

指標の値は、選択されている時刻の最後の 5 分間に基づいています。いずれかのエッジをクリックすると、6 週間の指標の履歴を表示することもできます。

詳しくは、データの収集と鮮度をご覧ください。

コンソール

  1. Google Cloud コンソールで、[ネットワーク トポロジ] ページに移動します。

    [ネットワーク トポロジ] に移動

  2. エンティティ選択ペインで、[エッジ指標] プルダウン メニューから指標を選択します。

  3. 特定のエンティティ階層に移動し、そのエンティティに関連するトラフィックを表示します。

    たとえば、Google Cloud とオンプレミス ネットワーク間の VPN トンネルを通過するトラフィック帯域幅を表示する場合、VPN トンネル接続が表示されるまでエンティティを展開します。

  4. エンティティをクリックして、すべてのトラフィック パスをハイライト表示します。

    ネットワーク トポロジは、選択されている指標をサポートする各接続の指標値を表示します。

ドロップの理由を表示する

Cloud VPN ゲートウェイがパケットを破棄した場合、ゲートウェイは破棄の理由を提供します。

理由 説明 トラフィックのソース
dont_fragment_icmp 破棄されたパケットが、do not fragment ビットが設定されている MTU より大きいサイズの ICMP パケットだった。このようなパケットは path-mtu-discovery に使用されます。 Google Cloud VM
exceeds_mtu UDP または ESP の下り(外向き)パケットの最初のフラグメントが、MTU よりも大きく、do not fragment ビットが設定されている。 Google Cloud VM
dont_fragment_nonfirst_fragment UDP または ESP 下り(外向き)パケットのフラグメントが存在するものの、これは最初のフラグメントではなく、MTU よりも大きく、do not fragment ビットが設定されている。 Google Cloud VM
Sent packets::invalid なんらかの点でパケットが無効であったか、破損していた(パケットに無効な IP ヘッダーが含まれていた場合など)。 Google Cloud VM
Sent packets::throttled Cloud VPN ゲートウェイへの過度の負荷が原因でパケットが破棄された。 Google Cloud VM
fragment_received ピアから断片化されたパケットを受信した。 ピア VPN ゲートウェイ
sequence_number_lost 想定されるシーケンス番号より大きな数値のパケットがゲートウェイに着信した。これは、このシーケンス番号より前のシーケンス番号のパケットがドロップされた可能性があることを示しています。 ピア VPN ゲートウェイ
suspected_replay ESP パケットのシーケンス番号と同じ数値のパケットが存在する。 ピア VPN ゲートウェイ
Received packets::invalid なんらかの点でパケットが無効であったか、破損していた(パケットに無効な IP ヘッダーが含まれていた場合など)。 ピア VPN ゲートウェイ
Received packets::throttled Cloud VPN ゲートウェイへの過度の負荷が原因でパケットがドロップされた。 ピア VPN ゲートウェイ
sa_expired セキュリティ アソシエーション(SA)が不明であるパケットを受信した。すでに期限切れになっている SA、またはネゴシエートされていない SA を使用した結果であることが考えられます。 ピア VPN ゲートウェイ
unknown ゲートウェイで分類方法が認識できなかったため、パケットが破棄された。 任意

次のステップ

  • モニタリングの詳細について、Cloud Monitoring で確認する。
  • ログの収集と Cloud VPN のシンクの構成の詳細について、Cloud Logging で確認する。
  • Cloud VPN の使用時に発生する可能性のある一般的な問題を解決する。トラブルシューティングをご覧ください。