Amazon Virtual Private Cloud
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

使用 Amazon CloudWatch 监控 NAT 网关

您可以使用 CloudWatch 监控 NAT 网关,该工具可从 NAT 网关中收集信息并创建可读的、近乎实时的指标。您可以使用该信息监控 NAT 网关并进行问题排查。NAT 网关指标数据以每分钟一次的频率提供,统计数据的记录期限为 15 个月。

有关 Amazon CloudWatch 的更多信息,请参阅 Amazon CloudWatch 用户指南。有关定价的更多信息,请参阅 Amazon CloudWatch 定价

NAT 网关指标与维度

以下指标可用于 NAT 网关。

指标 描述

ActiveConnectionCount

通过 NAT 网关激活的并发 TCP 连接的总数。

零值表示未通过 NAT 网关激活任何连接。

单位:计数

Statistics:最有用的统计工具是 Max

BytesInFromDestination

NAT 网关从目标接收的字节的数量。

如果 BytesOutToSource 的值小于 BytesInFromDestination 的值,则表示 NAT 网关处理期间可能存在数据丢失,或存在被 NAT 网关主动阻止的流量。

单位:字节

Statistics:最有用的统计工具是 Sum

BytesInFromSource

NAT 网关从 VPC 中的客户端接收的字节的数量。

如果 BytesOutToDestination 的值小于 BytesInFromSource 的值,则 NAT 网关处理期间可能有数据丢失。

单位:字节

Statistics:最有用的统计工具是 Sum

BytesOutToDestination

通过 NAT 网关发送到目标的字节的数量。

大于零的值指示有流量从 NAT 网关后面的客户端流向 Internet。如果 BytesOutToDestination 的值小于 BytesInFromSource 的值,则 NAT 网关处理期间可能有数据丢失。

单位:字节

Statistics:最有用的统计工具是 Sum

BytesOutToSource

通过 NAT 网关发送到 VPC 中客户端的字节的数量。

大于零的值指示有流量从 Internet 流向 NAT 网关后面的客户端。如果 BytesOutToSource 的值小于 BytesInFromDestination 的值,则表示 NAT 网关处理期间可能存在数据丢失,或存在被 NAT 网关主动阻止的流量。

单位:字节

Statistics:最有用的统计工具是 Sum

ConnectionAttemptCount

通过 NAT 网关尝试的连接次数。

如果 ConnectionEstablishedCount 的值小于 ConnectionAttemptCount 的值,则表示 NAT 网关后面的客户端已尝试为无响应的连接建立新连接。

单位:计数

Statistics:最有用的统计工具是 Sum

ConnectionEstablishedCount

通过 NAT 网关建立的连接的数量。

如果 ConnectionEstablishedCount 的值小于 ConnectionAttemptCount 的值,则表示 NAT 网关后面的客户端已尝试为无响应的连接建立新连接。

单位:计数

Statistics:最有用的统计工具是 Sum

ErrorPortAllocation

NAT 网关无法分配源端口的次数。

大于零的值表示通过 NAT 网关打开的并发连接太多。

单位:计数

Statistics:最有用的统计工具是 Sum

IdleTimeoutCount

从活动状态转换为空闲状态的连接的数量。如果活动连接未正常关闭并且前 350 秒内无活动,活动连接将转换为空闲状态。

大于零的值指示存在已变为空闲状态的连接。如果 IdleTimeoutCount 的值增加,则可能指示 NAT 网关后面的客户端正在重复使用过期连接。

单位:计数

Statistics:最有用的统计工具是 Sum

PacketsDropCount

NAT 网关丢弃的数据包的数量。

大于零的值可能指示 NAT 网关持续存在暂时性问题。如果此值较高,请参阅 AWS 服务运行状况控制面板

单位:计数

Statistics:最有用的统计工具是 Sum

PacketsInFromDestination

NAT 网关从目标接收的数据包的数量。

如果 PacketsOutToSource 的值小于 PacketsInFromDestination 的值,则表示 NAT 网关处理期间可能存在数据丢失,或存在被 NAT 网关主动阻止的流量。

单位:计数

Statistics:最有用的统计工具是 Sum

PacketsInFromSource

NAT 网关从 VPC 中的客户端接收的数据包的数量。

如果 PacketsOutToDestination 的值小于 PacketsInFromSource 的值,则 NAT 网关处理期间可能有数据丢失。

单位:计数

Statistics:最有用的统计工具是 Sum

PacketsOutToDestination

通过 NAT 网关发送到目标的数据包的数量。

大于零的值指示有流量从 NAT 网关后面的客户端流向 Internet。如果 PacketsOutToDestination 的值小于 PacketsInFromSource 的值,则 NAT 网关处理期间可能有数据丢失。

单位:计数

Statistics:最有用的统计工具是 Sum

PacketsOutToSource

通过 NAT 网关发送到 VPC 中客户端的数据包的数量。

大于零的值指示有流量从 Internet 流向 NAT 网关后面的客户端。如果 PacketsOutToSource 的值小于 PacketsInFromDestination 的值,则表示 NAT 网关处理期间可能存在数据丢失,或存在被 NAT 网关主动阻止的流量。

单位:计数

Statistics:最有用的统计工具是 Sum

要筛选指标数据,请使用以下维度。

维度 描述
NatGatewayId 按 NAT 网关 ID 筛选指标数据。

查看 NAT 网关 CloudWatch 指标

NAT 网关指标按 1 分钟的时间间隔发送到 CloudWatch。您可以按照以下方法查看 NAT 网关的各项指标。

使用 CloudWatch 控制台查看指标

指标的分组首先依据服务命名空间,然后依据每个命名空间内的各种维度组合。

  1. 通过以下网址打开 CloudWatch 控制台:https://console.amazonaws.cn/cloudwatch/

  2. 在导航窗格中,选择 Metrics

  3. All metrics 下,选择 NAT gateway 指标命名空间。

  4. 要查看指标,请选择指标维度。

使用 AWS CLI 查看指标

在命令提示窗口中,使用以下命令可列出可用于 NAT 网关服务的指标:

aws cloudwatch list-metrics --namespace "AWS/NATGateway"

创建 CloudWatch 警报以监控 NAT 网关

您可以创建 CloudWatch 警报,用于在警报改变状态时发送 Amazon SNS 消息。警报会监控您指定的时间段内的某个指标。它将根据指标值在多个时间段内相对于给定阈值的情况向 Amazon SNS 主题发送通知。

例如,您可以创建警报来监控进入或离开 NAT 网关的流量。以下警报监控从您的 VPC 中的客户端通过 NAT 网关传到 Internet 的出站流量。如果在 15 分钟的时间段内字节数达到 500 万阈值,它将发送通知。

创建通过 NAT 网关的出站流量的警报

  1. 通过以下网址打开 CloudWatch 控制台:https://console.amazonaws.cn/cloudwatch/

  2. 在导航窗格中,依次选择 AlarmsCreate Alarm

  3. 选择 NAT gateway

  4. 选择所需的 NAT 网关和 BytesOutToDestination 指标,然后选择 Next

  5. 按如下所示配置警报,然后在完成后选择 Create Alarm

    • Alarm Threshold 下,输入警报的名称和说明。对于每当,选择 >= 并输入 5000000。输入 1 作为连续周期数。

    • Actions 下,选择现有通知列表,或者选择 New list 以创建一个新的通知列表。

    • Alarm Preview 下,选择 15 分钟的周期并指定 Sum 的统计数据。

您可以创建一个警报来监控 ErrorPortAllocation 指标并且在该值在三个连续 5 分钟的时间段内大于零 (0) 时发送通知。

创建警报以监控端口分配错误

  1. 通过以下网址打开 CloudWatch 控制台:https://console.amazonaws.cn/cloudwatch/

  2. 在导航窗格中,依次选择 AlarmsCreate Alarm

  3. 选择 NAT Gateway

  4. 选择所需的 NAT 网关和 ErrorPortAllocation 指标,然后选择 Next

  5. 按如下所示配置警报,然后在完成后选择 Create Alarm

    • Alarm Threshold 下,输入警报的名称和说明。对于每当,选择 > 并输入 0。输入 3 作为连续周期数。

    • Actions 下,选择现有通知列表,或者选择 New list 以创建一个新的通知列表。

    • Alarm Preview 下,选择 5 分钟的周期并指定 Maximum 的统计数据。

有关创建警报的更多示例,请参阅 Amazon CloudWatch 用户指南 中的创建 Amazon CloudWatch 警报