みなさん、こんにちは。サニービュー事業部の小寺です。
今日でお子様の学校は夏休みも終わりという方もいらっしゃるでしょうか。私もそうで、待ちにまった給食が始まります笑。

AWS Site-to-Site-VPNをお使いいただいている方も多いと思いますが、接続ログがCloudWatchから取れるようになったので、やり方等について解説してみます!

https://aws.amazon.com/jp/about-aws/whats-new/2022/08/aws-site-vpn-connection-logs-amazon-cloudwatch/

そもそも AWS Site-to-Site-VPNとは

AWS Site-to-Site-VPNの詳細に入る前にAWSのVPNには3パターンがあります。
1)AWS Client VPN
2)AWS Site-to-Site VPN 仮想プライベートゲートウェイ(VGW接続)
3)AWS Site-to-SIte VPN トランジットゲートウェイ(TGW接続)

2)のAWS Site-to-Site VPN 仮想プライベートゲートウェイ(VGW接続)については、オンプレミスから特定のVPCへ接続するときに有効です。VGWは内部的に冗長化がされています。

3)のAWS Site-to-SIte VPN トランジットゲートウェイ(TGW接続)
こちらは、オンプレミスから複数のVPCへ接続する際に有効です。柔軟な要件に対応することができます。TGW自体がMulti-AZに冗長化がされています。

ここで、話を戻して AWS Site-to-Site-VPNとは、VPCと関連付けられた
VGW、TGWを経由することで、外部(データセンター等)と安全な接続を行うことができます。インターネットプロトコルセキュリティ(IPsec) VPNがサポートされています。

利用が想定されるシーンとしては、拠点とAWSを簡単に早く接続したい、価格重視でスモールスタート、Direct Connectのバックアップ回線等が想定されます。

どんな情報がログに出力されるの?

そんなAWS Site-to-Site VPNですが、どのような情報がログに出力されるのか調べてみました。
CloudWatchログには以下のカラムが出力されます。こちらを参照。
・VpnLogCreationTimestamp
・VpnConnectionId
・TunnelOutsideIPAddress
・TunnelDPDEnabled
・TunnelCGWNATTDetectionStatus
・TunnelIKEPhase1State
・TunnelIKEPhase2State
・VpnLogDetail

今回のアップデートのメリットとは

AWS Site-to-Site-VPNのログへのアクセスが早くできるようになったことです。
ログには、インターネットキー交換 (IKE) ネゴシエーションやデッドピア検出 (DPD) プロトコルメッセージなど、IP セキュリティ (IPsec) トンネルがちゃんと張れているかを
確認する内容が含まれるので、何かインシデントが発生した際の問題解決にかかる時間を短縮することができるようになります。
具体的な活用シーンとしては、AWS VPN エンドポイントとVPN ゲートウェイデバイスでの接続の問題が発生したときなどでしょうか。

実際の設定を確認する

(1)VPCのコンソールへ接続します。

(2)左メニューから「Site-to-Site VPN接続」を選びます。

(3)確認したいコネクションを選び「トンネルの詳細」タブを選びます。

(4)下部に表示されるトンネルオプションから「CloudWatchロググループ」の設定状況を確認できます。何も設定がないので「-」が表示されます。

有効化するには

(1)AWS Site-to-Site-VPNのログをCloudWatchログに出力させるには、設定変更をしたいコネクションを選んだ状態で、アクションから「VPNトンネルオプションを変更する」を選びます。

(2)次の「VPN トンネルオプションを変更」よりIPアドレス外のVPNトンネルからIPアドレスをプルダウンで選びます。

(3)対象のAmazon CloudWatchロググループを選び、「変更を保存」をクリックします。この手順だけでログ出力の設定は完了です。

対象リージョン

このアップデート内容の機能は、すべての AWS商用リージョンおよびAWS GovCloudリージョンで利用できます。

料金

このアップデート内容の機能の利用には、VPC側は追加料金はかかりません。
CloudWatchログ側での料金のみ課金対象となります。

There are no additional Site-to-Site VPN service-specific charges for enabling Site-to-Site VPN logs. You will incur standard charges for using Amazon CloudWatch service (publishing Site-to-Site VPN logs to CloudWatch).

https://aws.amazon.com/vpn/pricing/

まとめ

いかがでしたでしょうか。トンネルダウン時などのトラブルシューティングに活かせそうな機能だと思います。社内でも活用していきたいです。