AWS VPC Transit Gateway 可观测最佳实践
AWS VPC Transit Gateway 介绍
Amazon VPC Transit Gateway 是一个网络传输中心,用于互连虚拟私有云 (VPCs) 和本地网络。随着您的云基础设施在全球扩展,区域间对等互连使用 AWS 全球基础设施将中转网关连接在一起。 AWS 数据中心之间的所有网络流量都在物理层自动加密。
该产品通过集中化网络枢纽,用户可快速构建灵活、安全且易于扩展的全球云网络,其核心价值为:
- 取代复杂的网状连接架构
- 提供跨 VPC、跨区域、混合云的统一网关
- 通过路由策略实现流量精细管控
- 降低大规模组网的成本和运维复杂度
监控 VPC Transit Gateway(以下简称 TGW )的必要性在于网络管理员通常需要了解 TGW 本身和 TGW 连接(Transit Gateway Attachment)的运行状况和性能,从而能够快速排查任何问题。
观测云
观测云是一款专为 IT 工程师打造的全链路可观测产品,它集成了基础设施监控、应用程序性能监控和日志管理,为整个技术栈提供实时可观察性。这款产品能够帮助工程师全面了解端到端的用户体验追踪,了解应用内函数的每一次调用,以及全面监控云时代的基础设施。此外,观测云还具备快速发现系统安全风险的能力,为数字化时代提供安全保障。
采集器配置
- 登录观测云控制台
- 点击【集成】菜单,选择【云账号管理】
- 点击【添加云账号】,选择【AWS】,填写界面所需的信息,如之前已配置过云账号信息,则忽略此步骤
- 点击【测试】,测试成功后点击【保存】,如果测试失败,请检查相关配置信息是否正确,并重新测试
- 点击【云账号管理】列表上可以看到已添加的云账号,点击相应的账号号,进入详情页
- 点击云账号详情页的【集成】按钮,在未安装列表下,找到 AWS VPC Transit Gateway,点击【安装】按钮,弹出安装界面安装即可,点击【安装】按钮,弹出安装界面安装即可。
关键指标
| 指标 | 描述 | 单位 |
|---|---|---|
| BytesDropCountBlackhole | 由于与 blackhole 路由匹配而被丢弃的字节数量。 统计数据:唯一有意义的统计数据是 Sum。 | Byte |
| BytesDropCountNoRoute | 由于与路由不匹配而被丢弃的字节数量。 统计数据:唯一有意义的统计数据是 Sum。 | Byte |
| BytesIn | 中转网关接收的字节数。 统计数据:唯一有意义的统计数据是 Sum。 | Byte |
| BytesOut | 从中转网关发送的字节数。 统计数据:唯一有意义的统计数据是 Sum。 | Byte |
| PacketsIn | 中转网关接收的数据包数。 统计数据:唯一有意义的统计数据是 Sum。 | Count |
| PacketsOut | 中转网关发送的数据包数。 统计数据:唯一有意义的统计数据是 Sum。 | Count |
| PacketDropCountBlackhole | 由于与 blackhole 路由匹配而被丢弃的数据包的数量。 统计数据:唯一有意义的统计数据是 Sum。 | Count |
| PacketDropCountNoRoute | 由于与路由不匹配而被丢弃的数据包的数量。 统计数据:唯一有意义的统计数据是 Sum。 | Count |
| PacketDropCountTTLExpired | 由于 TTL 过期而丢弃的数据包数。 统计数据:唯一有意义的统计数据是 Sum。 | Count |
场景视图
登录观测云控制台,点击「场景」 -「新建仪表板」,输入 “AWS VPC Transit Gateway”, 选择 “AWS VPC Transit GATEWAY”,点击 “确定” 即可添加视图。
监控器(告警)
TGW 连接发送流量过高
效果展示
若监控器中配置了关联仪表板,事件的“关联仪表板”标签页将会显示把 TGW 仪表板展示出来,让您无需登录 AWS 控制台即可了解 TGW 的运行情况。
TGW 出现连接数异常,产生丢包
在 TGW 中,若出现 NoRoute、TTL过期、Blackhole 路由这三种情况都会引起丢包情况,因此可对这三种情况分别配置监控器。以 TTL 过期的情况为例,监控器配置如下,其他两种情况的配置与之相似。
效果展示
总结
AWS VPC Transit Gateway 提供了一种高效、可靠的网络连接方案。观测云通过采集该服务的监控指标,以便网络管理员人员可以全面了解该服务的运行状态并快速排查任何问题。