Amazon CloudWatch Network Monitor 導入ガイド_デモ説明付き

Transcript

1. © 2024, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. Amazon CloudWatch Network Monitor 導入ガイド AWS ではじめる AIOpsの第一歩 宮崎 友貴 伊藤 威 アマゾンウェブサービスジャパン合同会社 ソリューションアーキテクト 秋の Observability 祭り 2024

2. © 2024, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 目次 • Amazon CloudWatch Network Monitor とは？ • Amazon CloudWatch Network Monitor デモ • Amazon CloudWatch Network Monitor の作成 • FAQ 2

3. © 2024, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. Amazon CloudWatch Network Monitor とは 3

4. © 2024, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. お客様の声 可視性 AWS のネットワークは 素晴らしく、私たちに とって多くの課題を解決 してくれますが、中身が 少々ブラックボックスに 感じます。 トラブルシューティング ネットワークを疑うの は簡単ですが、正常性 を確認するには丸一日 トラブルシューティン グが必要です。 監視コスト アクティブなネット ワーク監視ソリュー ションの場合、（非常 に！）運用と保守にコ ストがかかります。 4

5. © 2024, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. • AWS とオンプレミス間のハイブリッドネットワークの パフォーマンスと可用性をリアルタイムで可視化 • 継続的にリアルタイムのパケットロスとレイテンシー(RTT) の メトリクスを収集 • AWS によって制御されているネットワークパスの状態を示す 統計的測定値、AWS Network Health Indicator を 使用してパフォーマンスの低下を迅速に検知 • エージェントレスで、VPC のサブネットとエンドポイントを指定 するだけで開始可能 • サブネットに配置したプローブにより、10 PPS (packets per second) でトラフィックが生成 5 Amazon CloudWatch Network Monitor DirectConnect や VPN 等を経由したハイブリッドネットワークのパフォーマンス監視を実現 AWS とオンプレミス間のネットワークの状態を監視、通知、可視化 フルマネージドでエージェントレスなので、簡単に開始可能

6. © 2024, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. AWSリージョン AWS Transit Gateway アーキテクチャ (エンドツーエンドの監視) • 送信元サブネット、宛先IP、アドレスファミリ (IPv4/IPv6)、プロトコル (ICMP/TCP)、パケットサイズのすべての組み合わせに対して、 プローブ(AWS ホストリソースからオンプレミスの宛先 IP アドレスに送信されるトラフィック) を作成 • 各モニターについて、プローブが設定されている任意のサブネットに 2 つの ENI を作成 • エンドツーエンドの監視を行うには、ミッションクリティカルなワークロードが設定されている各AZにプローブを配備し、 ワークロードの通信先であるオンプレミス内の宛先(IP Address)をターゲットに設定 プローブ ターゲット プローブ プローブ VPC サブネット サブネット サブネット お客様データセンター 6 お客様の ワークロード 監視対象 AWS Direct Connect Gateway Customer Router ENI ENI ENI ENI ENI ENI Traffic

7. © 2024, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 8 Amazon CloudWatch Network Monitor の料金 モニタリング対象リソース CloudWatch メトリクス 監視対象サブネットから、モニターのグループに含まれる4つのプローブごとに、 1時間あたり 0.11 USドル （2024/10時点での東京リージョンの場合） 例 3 つの AZ に 3 つのサブネットがあり、それぞれ 1 ～ 4 個のプローブがある場合： 1時間あたり 0.11 × 3 = 0.33 ドル 3 つの AZ に 3 つのサブネットがあり、それぞれ 5 ～ 8 個のプローブがある場合： 1時間あたり 0.11 × 3 × 2 = 0.66 ドル • 各プローブは 3 つのメトリクスを生成 • ラウンドトリップ時間 (マイクロ秒) • パケットロス (%) • Network Health Indicator (NHI)* • 生成されたメトリクスに対して、CloudWatch メトリクスの料金（メトリクスの数に対して課金）が発生 Network Monitor は、以下2つの料金がかかります。 https://aws.amazon.com/jp/cloudwatch/pricing/

8. © 2024, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. インターネット上の エンドユーザー お客様の オンプレミス データセンター Amazon CloudWatch アプリケーションパフォーマンスモニタリング (APM) Evidently Synthetics RUM X-Ray ネットワークパフォーマンス監視 AWS 内のワークロードのネットワーク CloudWatch Internet Monitor インターネット経由の ネットワークを監視 (2022/12に GA) CloudWatch Network Monitor オンプレ環境とのハイブ リッドネットワークを監視 (2023/12に GA) 9 Amazon CloudWatch Internet Monitor との違い お客様のワークロード AWSが提供するネットワークパフォーマンスを監視するサービスとして Network Monitorと Internet Monitor がある

9. © 2024, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. Amazon CloudWatch Network Monitor のデモ 10

10. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. デモ内容 • オハイオリージョンを対向システムに見立て、 ハイブリッド環境の通信状況を CloudWatch Network Monitor で監視します。 • デモではAWS FIS により意図的にネットワー クに障害を起こし、Network Monitor がどの ように障害を検知するのかを確認します。 • 簡単のため、ネットワーク構成はシンプルに しています 11 バージニア北部 Public subnet オハイオ Public subnet Amazon EC2 (Public IP) AWS Fault Injection Simulator (FIS) 障害注入 ICMP Amazon CloudWatch Network Interface (Public IP)

11. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. CloudWatch Network Monitor を使用した場合 12 バージニア北部 Public subnet 対向システム Public subnet Amazon EC2 (Public IP) ICMP Amazon CloudWatch CloudWatch Network Monitor を使用した場合 Network Interface を介して 自動で経路のパケット損失とレイテンシーを収集可能 Network Interface (Public IP)

12. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. CloudWatch Network Monitor デモ 13 バージニア北部 Public subnet オハイオ Public subnet Amazon EC2 (Public IP) AWS Fault Injection Simulator (FIS) 障害注入 ICMP Amazon CloudWatch デモでは、AWS Fault Injection Simulator (FIS) を利用して意図的にネットワークに障害を注入 Network Monitor の挙動を確認します Network Interface (Public IP)

13. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon CloudWatch Network Monitor の作成 14

14. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 作成手順 • [1.0] 通信先の IP の確認 • [2.0] ネットワークモニターの作成 • [2.1] ENI を設置するサブネットの指定 • [2.2] 通信先の IP の指定とプロトコルの指定 • [3.0] CloudWatch アラームの作成 • [3.1] CloudWatch Network Monitor のメトリクスを指定してアラームを作成 15 https://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/monitoring/getting-started-nw.html

15. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. [1.0] 通信先の IP の確認 CloudWatch Network Monitor は FQDN に対応していないため、通信先には IP アド レスの指定が必要です。 (デモでも簡単のためインターネット経由での通信をするために、CloudWatch Network Monitor 経由で作成された NIC に Public IP を割り当てています 実際には Direct Connect や VPN などを経由します) 16 バージニア北部 Public subnet オハイオ Public subnet Amazon EC2 (Public IP) AWS Fault Injection Simulator (FIS) 障害注入 ICMP Amazon CloudWatch Network Interface (Public IP)

16. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. [2.0] ネットワークモニターの作成 • [ ネットワークモニタリング]より [ Network Monitor ] を開く • [ モニターを作成 ] をクリック 17

17. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. [2.1] ENI を設置するサブネットの指定 • モニターの名前と [ 集計間隔 ] ので、プローブ がネットワークメトリクスを送信する頻度を設 定 ✓ [ 30 秒 ] ✓ [ 60 秒 ] 18

18. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. [2.2] 通信先の IP の指定とプロトコルの指定 • CloudWatch Network Monitor の ENI を設置す るサブネットの設定 • 通信先の IP アドレスの設定 • プロトコルの設定 ✓ [ ICMP ] ✓ [ TCP ] (注意) 指定した VPC サブネットからターゲットに疎通ができる ことをあらかじめ確認する必要がある。設定後プローブが正常 に通信ができない場合は、VPC Reachability Analyzer で調査。 https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/reachability-analyzer.html 19

19. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. CloudWatch Network Monitor 完成 CloudWatch Network Monitor のページで以下の 要素をダッシュボードとして視覚的に確認できる ✓ [ ヘルスインジケータ] ✓ [パケット損失] ✓ [ラウンドトリップタイム (RTT) ] これらのメトリクスは CloudWatch メトリクスに も送信されているので他のダッシュボードに表示 することも可能 20

20. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. [3.0] CloudWatch アラームの作成 • アラームは自動作成されない • AWS/NetworkMonitor > に配信されるメトリ クスに対して設定 ✓ HealthIndicator • 正常なら 0 異常があれば 100 という値を記録 ✓ PacketLoss • パケット損失の割合を記録 ✓ RTT • ラウンドトリップタイムをミリ秒で記録 21 https://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html

21. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. [3.0.1] プローブID からメトリクスを検索 • メトリクスはプローブごとに配信される • [モニターの詳細] タブに [プローブ] の ID を確認 22 https://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html

22. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. [3.1] アラームの作成 • 指定したメトリクスに対してアラート条件を設定 • プローブが出力するメトリクスは、一般的なメト リクス 23

23. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. FAQ • Q「CloudWatch Network Monitor はどのような料金体系ですか？」 • A「”CloudWatch メトリクスの料金”と、”USD 0.11/モニタリング対象のリソース/時間”です。モニタリング対象のリ ソースとはプローブを設置したサブネットを指します。」 • https://aws.amazon.com/jp/cloudwatch/pricing/ の “例30 – ネットワークモニターの例をご参照ください” • Q「監視のターゲットにエージェントをインストールする必要はありますか？」 • A「いいえ、ソースの VPC サブネットとターゲットの IP アドレスを指定するだけです。ICMP ベースのプローブの場合、 AWS ホストリソースからの ICMP エコー要求を宛先アドレスに送信し、ICMP エコー応答が返されることを期待します。 TCP ベースのプローブの場合は、AWS ホストリソースからの TCP SYN パケットを宛先のアドレスとポートに送信し、 TCP SYN+ACK または RST パケットが返されることを期待します。 • https://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/monitoring/nw-monitor-how-it-works.html • Q「特定の時間だけ監視したいのでプローブを一時的に無効にすることはできますか？」 • A「はい、update-probe コマンドを使用することで、プローブをアクティブまたは非アクティブにすることが可能です。 非アクティブのプローブには課金がされません」 • https://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/monitoring/nw-monitor-probe-status.html 24