Azure VPN Gateway の死活監視


VPN Gateway をどうしても死活監視したい場合は、ドキュメントの隅にこっそり書いてある healthprobe の URL を使いましょう。

https://<VPN GW の IP>:8081/healthprobe

 

手順 7.Azure ゲートウェイの正常性プローブを確認する
1. 正常性プローブに移動します。
2. 証明書の警告を無視して続行します。応答を受け取った場合、VPN ゲートウェイは正常であると考えられます。
3. 応答を受け取らない場合、ゲートウェイが正常な状態にないか、またはゲートウェイ サブネット上の NSG が問題の原因になっている可能性があります。応答のサンプル テキストを次に示します。
<?xml version="1.0"?> Primary Instance: GatewayTenantWorker_IN_1 GatewayTenantVersion: 14.7.24.6</string>

そもそも VPN Gateway は内部で二台構成になっていて、片系が死んでも他方に切り替わるので、監視する意味は殆どないですけどね。(PaaS のクラウド サービスになれた人だと、「GatewayTenantWorker_IN_1」というのでピンときますよね。)

二台とも死んだ場合でないと、こちらの URL を監視しても意味はないので、おとなしく VPN のトンネル (Main Mode SA, Quick Mode SA) が張れているかを確認したり、VPN 経由で疎通できるかという観点で監視をしましょう。

healthprobe はあくまでも VPN Gateway のインスタンスが生きているかの確認しかできないですし、Port が 8081 なことからもお察しのように、IKE (UDP/500) の通信自体をチェックできるわけではありません。SA の rekey に失敗した等で VPN が切れた際とかは当然検知できませんので、これはあくまでも VPN Gateway の Active なインスタンスが OS として正常かのチェック用途にどうぞ。

2 台とも死んでいて healthprobe に応答がないなんて事が万が一あった場合は、VPN Gateway のリセットを 2 回と、サイズ変更 (Basic -> Standard -> Basic 等) をして、復旧するか確認しましょう

  • VPN Gateway のリセット
    https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-resetgw-classic

 


1 comment for “Azure VPN Gateway の死活監視

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください