Mục lục bài viết
- AWS Site-to-Site-VPN là gì?
- Các thông tin được xuất từ log
- Lợi ích của bản cập nhật
- Kiểm tra cấu hình thực tế
- Kích hoạt
- Khu vực áp dụng
- Chi phí
Nhật ký AWS Site-to-Site VPN cung cấp thông tin về việc thiết lập các đường hầm IP Security (IPsec), thương lượng trao đổi khóa Internet (IKE) và các thông điệp giao thức phát hiện đối tác không hoạt động (DPD). Bằng cách sử dụng tính năng xuất log từ Amazon CloudWatch, bạn có thể dễ dàng xác định nguyên nhân gây ra sự cố kết nối và điều chỉnh cấu hình đường hầm để đảm bảo hoạt động đáng tin cậy.
AWS Site-to-Site-VPN là gì?
Có ba mô hình VPN trên AWS.
- AWS Client VPN
- AWS Site-to-Site VPN Virtual Private Gateway (VGW connection)
- AWS Site-to-SIte VPN Transit Gateway (TGW connection)
AWS Site-to-Site VPN Virtual Private Gateway (VGW connection) hữu hiệu khi kết nối từ on-premises đến một VPC cụ thể. VGW được được nhân bản trong nội bộ.
AWS Site-to-SIte VPN Transit Gateway (TGW connection) hữu hiệu khi kết nối từ on-premises đến nhiều VPC. Linh hoạt đáp ứng các yêu cầu. TGW tự thân nhân bản trên Multi-AZ.
AWS Site-to-Site-VPN là dịch vụ được liên kết với VPC. Kết nối an toàn với thế giới bên ngoài (trung tâm dữ liệu, v.v.) có thể được thiết lập thông qua VGW và TGW. Hỗ trợ Internet Protocol Security (IPsec) VPN.
Trường hợp sử dụng dự kiến bao gồm kết nối nhanh và dễ dàng giữa các địa điểm và AWS, bắt đầu từ qui mô nhỏ với trọng tâm là chi phí, và sử dụng Direct Connect làm đường dự phòng.
Các thông tin được xuất từ log
Các thông tin sau đây sẽ được xuất trong CloudWatch log:
- VpnLogCreationTimestamp
- VpnConnectionId
- TunnelOutsideIPAddress
- TunnelDPDEnabled
- TunnelCGWNATTDetectionStatus
- TunnelIKEPhase1State
- TunnelIKEPhase2State
- VpnLogDetail
Lợi ích của bản cập nhật
Việc truy cập AWS Site-to-Site-VPN log đã trở nên nhanh chóng hơn.
Log bao gồm nội dung kiểm tra IP Security (IPsec) Tunnels có đang hoạt động đúng không, như Internet Key Exchange (IKE) negotiation và Dead Peer Detection (DPD) Protocol Messages. Điều này giúp rút ngắn thời gian giải quyết vấn đề khi xảy ra một sự cố nào đó.
Một ví dụ cụ thể về trường hợp sử dụng là khi có sự cố kết nối giữa AWS VPN endpoint và VPN gateway device.
Kiểm tra cấu hình thực tế
- Kết nối đến VPC console.
- Chọn “Site-to-Site VPN Connection” từ menu bên trái.
- Chọn kết nối bạn muốn kiểm tra và chọn tab “Tunnel Details”.
- Từ các tunnel option được hiển thị ở phía dưới, bạn có thể kiểm tra trạng thái cài đặt của “CloudWatch Log Group”. Nếu không có bất kỳ cài đặt nào, dấu “-” sẽ được hiển thị.
Kích hoạt
- Để xuất AWS Site-to-Site VPN log vào CloudWatch Logs, chọn kết nối muốn thay đổi cài đặt, sau đó chọn “Change VPN Tunnel Options” từ action.
- Trong mục “Change VPN Tunnel Options” tiếp theo, hãy chọn địa chỉ IP từ VPN tunnel outside.
- Chọn Amazon CloudWatch Log Group tương ứng và nhấp vào “Lưu thay đổi”. Với những bước này, việc cài đặt xuất log đã hoàn tất.
Khu vực áp dụng
Tính năng trong bản cập nhật này có thể được sử dụng ở tất cả các khu vực thương mại của AWS và các khu vực AWS GovCloud.
Chi phí
Không phát sinh thêm chi phí cho phía VPC khi sử dụng tính năng trong bản cập nhật này.
Chỉ phát sinh chi phí từ phía CloudWatch Logs.
Trả lời