¿Cómo puedo encontrar los principales contribuyentes al tráfico a través de la puerta de enlace NAT en mi Amazon VPC?

Descripción breve

Para encontrar los principales contribuyentes de tráfico a través de la puerta de enlace NAT de tu Amazon VPC, realiza estas tareas:

• Utiliza las métricas de Amazon CloudWatch para identificar la hora de los picos de tráfico.
• Utilice los registros de CloudWatch para identificar las instancias que provocan picos de tráfico.
• Utilice Amazon Simple Storage Service (Amazon S3) o Amazon Athena para identificar las instancias que provocan picos de tráfico.

Resolución

Nota: En los pasos siguientes, sustituye los valores siguientes por tus datos:

• example-NAT-private-IP por la dirección IP privada de tu puerta de enlace NAT
• example-VPC-CIDR por el CIDR de tu Amazon VPC
• example-database-name.example-table-name por el nombre de la base de datos y la tabla
• example-y.y por los dos primeros octetos del CIDR de tu Amazon VPC

Uso de las métricas de CloudWatch para identificar la hora de los picos de tráfico

Para identificar y supervisar la puerta de enlace NAT y la hora específica de los picos, utiliza las siguientes métricas de CloudWatch:

• BytesInFromSource: subida
• BytesInFromDestination: descarga

Comprueba que hayas activado los registros de flujo de Amazon VPC para tu interfaz de red elástica de Amazon VPC o puerta de enlace NAT. Si no has activado los registros de flujo de Amazon VPC, crea un registro de flujo para activar esta opción. Al activar los registros de flujo de Amazon VPC, los datos del registro de flujo se publican en Registros de CloudWatch o en Amazon S3.

Utilizar la información de los registros de CloudWatch para identificar las instancias que provocan picos de tráfico

Nota: Si lo desea, utiliza una plantilla de CloudFormation para crear un panel de CloudWatch que incorpore las siguientes consultas.

Sigue estos pasos:

1. Abre la consola de CloudWatch.

2. En el panel de navegación, selecciona Información de registros.

3. En la lista desplegable, selecciona el grupo de registro de tu puerta de enlace NAT.

4. Selecciona un intervalo de tiempo predefinido o selecciona Personalizado para establecer tu propio intervalo de tiempo.

5. Para identificar las instancias que envían la mayor parte del tráfico a través de la puerta de enlace NAT, ejecuta el siguiente comando:

   filter (dstAddr like example-NAT-private-IP and isIpv4InSubnet(srcAddr, example-VPC-CIDR)) | stats sum(bytes) as bytesTransferred by srcAddr, dstAddr| sort bytesTransferred desc
   | limit 10

6. Para identificar el tráfico que entra y sale de las instancias, ejecuta el siguiente comando:

   filter (dstAddr like example-NAT-private-IP and isIpv4InSubnet(srcAddr, example-VPC-CIDR)) or (srcAddr like example-NAT-private-IP and isIpv4InSubnet(dstAddr, example-VPC-CIDR))| stats sum(bytes) as bytesTransferred by srcAddr, dstAddr| sort bytesTransferred desc
   | limit 10

7. Para identificar los destinos de Internet con los que más se comunican las instancias de tu Amazon VPC, ejecuta los siguientes comandos.
   Para subidas:

   filter (srcAddr like example-NAT-private-IP and not isIpv4InSubnet(dstAddr, example-VPC-CIDR)) | stats sum(bytes) as bytesTransferred by srcAddr, dstAddr| sort bytesTransferred desc
   | limit 10

   Para descargas:

   filter (dstAddr like example-NAT-private-IP and not isIpv4InSubnet(srcAddr, example-VPC-CIDR)) | stats sum(bytes) as bytesTransferred by srcAddr, dstAddr| sort bytesTransferred desc
   | limit 10

Uso de Amazon S3 o Athena para identificar las instancias que provocan picos de tráfico

Sigue estos pasos:

1. Abre la consola de Amazon S3 o la consola de Athena.

2. Crea una tabla. Anota el nombre de la base de datos y la tabla y, a continuación, añade los siguientes filtros para comprobar los principales contribuyentes de un intervalo de tiempo específico:
   start>= (example-timestamp-start)
   end>= (example-timestamp-end)

3. Para identificar las instancias que envían la mayor parte del tráfico a través de la puerta de enlace NAT, ejecuta el siguiente comando:

   SELECT srcaddr,dstaddr,sum(bytes) FROM example-database-name.example-table-name WHERE srcaddr like example-y.y AND dstaddr like example-NAT-private-IP group by 1,2 order by 3 desclimit 10;

4. Para identificar el tráfico que entra y sale de las instancias, ejecuta el siguiente comando:

   SELECT srcaddr,dstaddr,sum(bytes) FROM example-database-name.example-table-name WHERE (srcaddr like example-y.y AND dstaddr like example-NAT-private-IP) or (srcaddr like example-NAT-private-IP AND dstaddr like example-y.y) group by 1,2 order by 3 desclimit 10;

5. Para identificar los destinos de Internet con los que más se comunican las instancias de tu Amazon VPC, ejecuta los siguientes comandos.
   Para subidas:

   SELECT srcaddr,dstaddr,sum(bytes) FROM example-database-name.example-table-name WHERE (srcaddr like example-NAT-private-IP AND dstaddr not like example-y.y) group by 1,2 order by 3 desclimit 10;

   Para descargas:

   SELECT srcaddr,dstaddr,sum(bytes) FROM example-database-name.example-table-name WHERE (srcaddr not like example-y.y AND dstaddr like example-NAT-private-IP) group by 1,2 order by 3 desclimit 10;

Uso de Información de registros de CloudWatch para identificar las instancias que se comunican con los destinos de Internet

Para encontrar los destinos de Internet en los que se comunican las instancias, debes usar registros de flujo de VPC personalizados. Estos registros de flujo de VPC deben incluir los campos adicionales pkt-srcaddr y pkt-dstaddr. Para obtener más información, consulta Tráfico a través de una puerta de enlace NAT.

Ejemplos de registros de flujo de VPC:

${version} ${account-id} ${interface-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${packets} ${bytes} ${start} ${end} ${action} ${log-status} ${pkt-srcaddr} ${pkt-dstaddr}

Sigue estos pasos:

1. Abre la consola de CloudWatch.
2. En el panel de navegación, selecciona Información de registros.
3. En la lista desplegable, selecciona el grupo de registro de tus registros de flujo de VPC.
4. Selecciona un intervalo de tiempo predefinido o selecciona Personalizado para establecer tu propio intervalo de tiempo.
5. Para identificar las instancias que envían la mayor parte del tráfico a destinos de Internet a través de la puerta de enlace NAT, ejecuta el siguiente comando.
   Para el tráfico de subida:

   parse @message "* * * * * * * * * * * * * * * " as version, account_id, interface_id, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, log_status, pkt_srcaddr, pkt_dstaddr
   | filter (dstaddr like 'example-NAT-private-IP' and isIpv4InSubnet(pkt_srcaddr, 'example-VPC-CIDR'))
   | stats sum(bytes) as bytesTransferred by pkt_srcaddr, pkt_dstaddr
   | sort bytesTransferred desc
   | limit 10

   Para el tráfico de descarga:

   parse @message " * * * * * * * * * * * * * * *" as version, account_id, interface_id, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, log_status, pkt_srcaddr, pkt_dstaddr
   | filter (srcaddr like 'example-NAT-private-IP' and !isIpv4InSubnet(pkt_srcaddr, 'example-VPC-CIDR'))
   | stats sum(bytes) as bytesTransferred by pkt_srcaddr, pkt_dstaddr
   | sort bytesTransferred desc
   | limit 10

Información relacionada

Consultas de ejemplo

Consulta de los registros de flujo de Amazon VPC

¿Cómo puedo usar Amazon Athena para analizar los registros de flujo de VPC?

Using AWS Cost Explorer to analyze data transfer costs (Uso del Explorador de costes de AWS para analizar los costes de transferencia de datos)