AWSSupport-SetupIPMonitoringFromVPCを利用してVPC内の特定ネットワーク状況を把握する

園部です。

今回は、こちらの記事：Debugging tool for network connectivity from Amazon VPCで、紹介されていた「AWSSupport-SetupIPMonitoringFromVPC」を利用してみます。

AWSSupport-SetupIPMonitoringFromVPCとは？

Systems Manager Automation で利用できるAWSによって事前に準備されたドキュメントの一つです。 AWSSupport-SetupIPMonitoringFromVPC

[説明]

AWSSupport-SetupIPMonitoringFromVPC は、指定されたサブネットに Amazon EC2 インスタンスを作成し、ping、MTR、トレースルートおよび tracetcp テストを継続的に実行することによって、選択したターゲット IP (IPv4 または IPv6) を監視します。結果は Amazon CloudWatch Logs ログに保存され、メトリクスフィルタが適用されて、CloudWatch ダッシュボードの待ち時間とパケット損失の統計をすばやく視覚化できます。

[追加情報]

CloudWatch Logs データは、ネットワークのトラブルシューティングやパターン/傾向の分析に使用できます。さらに、パケット損失やレイテンシーがしきい値に達したときに、Amazon SNS 通知で CloudWatch アラームを設定できます。データはプレミアムサポートケースを開くときに使用され、問題の特定や、ネットワークの問題の調査、解決がすばやく行えるようにします。

(引用：公式ドキュメントより)

構成として、このようになります。（この図には対象インスタンスは含まれていません）

（引用：冒頭の「Debugging tool for network connectivity from Amazon VPC」記事より）

やってみる

環境

今回は、以下のようなイメージで、対象となるEC2を異なるAZに配置したサブネットに1台ずつ用意し、それぞれに対して、実施してみます。

1. 環境作成

前述の環境イメージ図にあるリソースを作成します。 （作成手順は割愛します）

注意点： Monitor EC2からTarget EC2へのアクセス許可をセキュリティグループで設定しておいてください。（ICMPなどのネットワークコマンド用ポート）

2. AWSSupport-SetupIPMonitoringFromVPC の実行

2-1. Systems Manager Automation からドキュメント（AWSSupport-SetupIPMonitoringFromVPC）を選択します

2-2. 必要項目を入力して、実行します

今回は、SubnetIdとTargetIPsとCloudWatchLogGroupRetentionInDaysのみ指定しました。

各パラメータの説明

3. 結果確認

3-1. 実行の詳細を確認します

ステップ数は38ありますが、28まで行けば完了です。

（28以降は、内容的に削除時のステップに見受けられます）

3-2. 作成されたリソースを確認します

【EC2】

「AWSSupport-SetupIPMonitoringFromVPC - subnet-***」という名前で１つインスタンスが起動されています。

【セキュリティグループ】

「SetupIPMonitoringFromVPC_***」というグループ名で１つ作成されています。

• インバウンドは何もなし

• アウトバウンドは全て許可

【IAMロール】

「SetupIPMonitoringFromVPC_***」という名前で１つ作成されています。ポリシーは「AmazonEC2RoleforSSM」と「SetupIPMonitoringFromVPC_CWPermissions」がアタッチされています。

3-3. CloudWatchの内容を確認します

【CloudWach Logs】

Pingなどの結果がCloudWatch Logsに蓄積されています。

【メトリクス】

メトリクスフィルターで、２種類のメトリクスが取得されています。 このメトリクスを用いて、アラームを作成することも可能です。

【ダッシュボード】（若干、加工しました）

PacketLossとLatencyがグラフ化され、その他の項目は、CloudWatch Logsへのリンクが表として表示されています。 一番下のフレームでは、この処理を停止や削除、新規作成のボタンが配置されています。

PacketLossについては、途中でセキュリティグループを変更し、通信を遮断したところ、その部分はロスの結果になっています。

Latencyは、「192.168.1.83」が同一サブネット（寒色系の線）、「192.168.0.168」は異なるサブネット（暖色系の線）に配置されてEC2のため、値に一定の差が出ています。

4. AWSSupport-SetupIPMonitoringFromVPC の撤収

4-1. CloudWatch ダッシュボード 「Terminate test」を選択します

4-2. 必要が自動で入力されるため、実行します

まとめ

セキュリティグループの設定がクリアされていれば、Systems Managerでの入力と選択だけで、環境が構築され、利用可能となります。 とても手軽なのではないかと思います。 想定していたよりパフォーマンスが出ない時や、ネットワークに懸念がある時に、状況を把握する手段の一つとなるのではないでしょうか。

また、ネットワーク監視として利用することも可能かと思います。その際は、（冒頭の記事にも書かれていますが）他の監視方法との併用やコスト面から対象EC2×CloudWatch Logsの保管期間などをご検討の上、利用された方が良いと思います。