◎概要
Azure プロジェクトで、Azure VPN Gateway と Fortigateを使用した
サイト対サイトのVPN の アラートの選定した際、「BGP ピアの状態」は
一体なにを見ているのかを記載します。
◎VPN Gateway メトリック
Azure VPN Gateway メトリックは下記の画像の通りです。
公式ドキュメントはこちら
https://learn.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-howto-setup-alerts-virtual-network-gateway-metric
アラートしては、単純にVPN の 接続数をカウントして、接続が切れたら
アラート発報するというのが一番ベターなアラートだと思います。
只、ポイント対サイトの VPNであれば、「P2S 接続数」というのがあるので
これを使用すれば問題ないのかと思いますが、サイト対サイトのVPN だと
接続数をカウントするメトリックのアラートはないようです。
今回、Azure VPN Gateway と Fortigate 間のルーティングは、
BGPを使用して動的にルートを学ばせます。
なので、学習したルートの数をカウントして、例えば 5つBGPで学ぶルートがあれば
発報条件を、5つ以下に設定すれば、BGPが切れる、即ちこれはVPNが切れると同義だと
思いますので、これで発報させようかとも考えました。
まぁ、まれですがBGPだけが切れるというのも経験したことはあるので、
BGPが切れる、イコール VPN が切れるとはならないですが、BGPが切れれば
お互いを通るルートなくなり、ルーティング出来なくなる訳ですから、
これでもいいかと思ったのですが、
結論「BGP ピアの状態」の数をカウントするというのが、
なんか良さそうだと思い、これにしました。
Azure VPN GatewayのログからVPNが切断されたというのを認知して
アラートの発報させるなどのやり方もあるようですが、現状はこれで問題ないので
このメトリックを使用しています。
Azure VPN Gateway と Fortigate だけで、特に間にルータ等は入ってこないので、
Azure VPN Gateway の BGPピアノIPアドレスは、Fortigate の プライベートIP のみに
なります。
なので、BGPが切れる、即ちこれはVPNが切れると同義だと思いますので、
BGPピアの接続状態が、接続中であればVPNが切断されたとしてアラートを
発報するという方法をとっています。
◎BGP ピアの状態
では、BGP ピアの状態は Azure VPN Gateway の どこを見ているかと
いいますと、Azure VPN Gateway のコンソール画面にいき
下記の「BGPピア」の所の
「状態」という所を見ています。
「Connected」であれば接続していて、BGPが切れるなどの事象が起これば
「Connecting」に変わります。
つまり、「Connected」であれば カウントして、「Connecting」であればカウント
しません。
最後に注意点として、「BGP ピアの状態」 のメトリックの単位ですが、
公式ドキュメントにも、単位は「Count」と記載されていますが、僕の場合
Count では上手くいきませんでした。そこで単位を、合計の「SUM」に変更した所、
想定通りの動きをしてくれました。
Azure サポートに確認してみた所、想定の通りの動きをしなかった際は、
単位を変更してみる事は、策としては間違っていないとの事です。
なので、こちらのメトリックを使用して想定通りの動きをしなかった際は、
単位を変更してみください。