如何使用 Amazon CloudWatch 指标来确定 NAT 网关带宽问题？

2 分钟阅读

我的 NAT 网关带宽不符合预期，我想使用 Amazon CloudWatch 指标来确定带宽问题。

简短描述

要确定 NAT 网关带宽问题的根源，请执行以下步骤：

对 NAT 网关流量的网络吞吐量和 Amazon Elastic Compute Cloud（Amazon EC2）实例的每秒字节数进行基准测试。
查看存在问题的 NAT 网关的 CloudWatch 指标。
检查 NAT 网关后面的所有实例，并确认其 CloudWatch 指标。
在基准测试和 CloudWatch 指标之间比较结果。

解决方法

对网络吞吐量进行基准测试

1. 设置测试环境以对同一虚拟私有云（VPC）中的 Amazon EC2 Linux 实例之间的网络吞吐量进行基准测试。

2. 对实例可以处理的流量（每秒字节数）进行基准测试。

3. 对您在 NAT 网关后面运行的不同实例类型重复这些步骤。要确定实例类型，请参阅下面的检查 NAT 网关后面的实例部分。

查看 CloudWatch 指标，了解吞吐量或 NAT 网关带宽方面的问题

1. 打开 CloudWatch 控制台。

2. 在导航窗格中的指标下，搜索 NAT 网关。

3. 选择 NAT 网关，然后选择 PacketsDropCount 指标。注意：对于正常运行的 NAT 网关，该指标值始终为零。如果该值不为零，表示 NAT 网关当前存在暂时性问题。如果该值不为零，请参阅 AWS Health Dashboard。如果 AWS Personal Health Dashboard 上没有通知，请向 AWS Support 提交案例。

4. 选择 NAT 网关，然后确认 ErrorPortAllocation 指标的值是否为零**。
注意**：如果该值大于零，表示通过 NAT 网关与同一目标建立的并发连接过多。

5. 选择 BytesOutToDestination、BytesOutToSource、BytesInFromDestination 和 BytesInFromSource。注意：带宽的计算公式为：[（BytesOutToDestination + BytesOutToSource + BytesInFromDestination + BytesInFromSource）* 8 /时间段（以秒为单位）]。

如果您需要的带宽突增超过 100 Gbps，则在多个子网之间拆分资源并创建多个 NAT 网关。为了获得最佳性能，请在与 NAT 网关位于同一可用区的私有子网之间创建 EC2 实例。

检查 NAT 网关后面的实例

1. 打开 Amazon VPC 控制台。

2. 在导航窗格中的路由表下，选择包含指向 NAT 网关的路由的路由表。

3. 选择子网关联视图，记下所有子网 ID。

4. 打开 Amazon EC2 控制台。

5. 在导航窗格中的实例下，选择设置图标以查看“显示列”/“隐藏列”。

6. 选择子网 ID 和实例类型。

7. 记下在步骤 3 中记下的子网中启动的所有实例的 ID。

确认 NAT 网关后面的所有实例的 CloudWatch 指标

1. 打开 Amazon CloudWatch 控制台。

2. 在导航窗格中的指标下，选择 EC2。

3. 选择之前记下的 NAT 网关后面所有实例的 ID。

4. 在指标名称列下，选择在您遇到带宽问题期间所有实例上的 NetworkIn/NetworkOut 和 CPUUtilization。

5. 确认在出现带宽问题的同时没有出现 CPU 激增或流量异常增加。

6. 在子网级别激活流日志以查看流经 NAT 网关的流量。有关启用流日志的详细信息，请参阅使用 VPC 流日志记录 IP 流量。

比较结果

检查 NAT 网关后面所有实例的网络吞吐量指标总和是否超过 100 Gbps 突增。如果超过，则 NAT 网关带宽反映的值大于 100 Gbps。如果 NAT 网关带宽大于 100 Gbps，则最佳做法是在多个 NAT 网关之间拆分流量。

如果吞吐量指标总和小于 100 Gbps 突增，则 NAT 网关带宽反映的值小于 100 Gbps。如果 NAT 网关带宽小于 100 Gbps，则 NAT 网关可以充分处理流经它的流量。