AWSSupport-ConnectivityTroubleshooter - AWS Systems Manager Referenz zum Automatisierungs-Runbook

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWSSupport-ConnectivityTroubleshooter

Beschreibung

Das AWSSupport-ConnectivityTroubleshooter Runbook diagnostiziert Verbindungsprobleme zwischen den folgenden Komponenten:

  • AWS Ressourcen innerhalb einer Amazon Virtual Private Cloud (AmazonVPC)

  • AWS Ressourcen in verschiedenen Amazon VPCs innerhalb desselben AWS-Region , die über VPC Peering verbunden sind

  • AWS Ressourcen in einem Amazon VPC und eine Internetressource, die ein Internet-Gateway verwendet

  • AWS Ressourcen in einem Amazon VPC und eine Internetressource, die ein Network Address Translation (NAT) -Gateway verwendet

Führen Sie diese Automatisierung (Konsole) aus

Art des Dokuments

Automatisierung

Eigentümer

Amazon

Plattformen

LinuxmacOS, Windows

Parameter

  • AutomationAssumeRole

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der Rolle AWS Identity and Access Management (IAM), der es Systems Manager Automation ermöglicht, die Aktionen in Ihrem Namen durchzuführen. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.

  • Ziel-IP

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Die IPv4 Adresse der Ressource, zu der Sie eine Verbindung herstellen möchten.

  • DestinationPort

    Typ: Zeichenfolge

    Standard: true

    Beschreibung: (Erforderlich) Die Portnummer, zu der Sie eine Verbindung auf der Zielressource herstellen möchten.

  • DestinationVpc

    Typ: Zeichenfolge

    Standard: Alle

    Beschreibung: (Optional) Die ID des Amazon, zu dem VPC Sie die Konnektivität testen möchten.

  • SourceIP

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Die private IPv4 Adresse der AWS Ressource in Ihrem Amazon, von der aus VPC Sie die Konnektivität testen möchten.

  • SourcePortRange

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der Portbereich, der von der AWS Ressource in Ihrem Amazon verwendet wird, von der aus VPC Sie die Konnektivität testen möchten.

  • SourceVpc

    Typ: Zeichenfolge

    Standard: Alle

    Beschreibung: (Optional) Die ID des Amazon, von dem aus VPC Sie die Konnektivität testen möchten.

Erforderliche IAM Berechtigungen

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.

  • ec2:DescribeNatGateways

  • ec2:DescribeNetworkAcls

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribeRouteTables

  • ec2:DescribeSecurityGroups

  • ec2:DescribeVpcPeeringConnections

Dokumentschritte

  • aws:executeScript- Sammelt Details zu der AWS Ressource, die Sie im SourceIP Parameter angeben.

  • aws:executeScript- Ermittelt das Ziel des Netzwerkverkehrs von der AWS Ressource anhand der im vorherigen Schritt gesammelten Routen.

  • aws:branch- Verzweigungen basierend auf dem Ziel des Netzwerkverkehrs.

  • aws:executeAwsApi- Sammelt Details zur Zielressource.

  • aws:executeScript- Bestätigt, dass die für das Amazon-Ziel zurückgegebene ID mit dem im DestinationVpc Parameter angegebenen Wert VPC übereinstimmt, falls vorhanden.

  • aws:executeAwsApi- Sammelt die Sicherheitsgruppenregeln für die Quell- und Zielressourcen.

  • aws:executeScript- Bestätigt, ob die Sicherheitsgruppenregeln den erforderlichen Verkehr zwischen den Quell- und Zielressourcen zulassen.

  • aws:executeAwsApi- Sammelt die Netzwerkzugriffskontrolllisten (NACLs), die den Subnetzen für die Quell- und Zielressourcen zugeordnet sind.

  • aws:executeScript- Bestätigt, ob der benötigte Verkehr zwischen den Quell- und Zielressourcen NACLs zugelassen ist.

  • aws:executeScript- Bestätigt, ob der Quelle eine öffentliche IP-Adresse zugeordnet ist, wenn das Routenziel ein Internet-Gateway ist.

  • aws:executeAwsApi- Sammelt die Sicherheitsgruppenregeln für die Quellressource.

  • aws:executeScript- Bestätigt, ob die Sicherheitsgruppenregeln den erforderlichen Verkehr von der Quell- zur Zielressource zulassen.

  • aws:executeAwsApi- Sammelt die mit dem Subnetz NACLs verknüpften Daten für die Quellressource.

  • aws:executeScript- Bestätigt, ob der benötigte Verkehr von der Quellressource NACLs zugelassen wird.

  • aws:executeAwsApi- Sammelt Details über das NAT Gateway.

  • aws:executeAwsApi- Sammelt die mit dem Subnetz für das Gateway NACLs verknüpften Daten. NAT

  • aws:executeScript- Bestätigt, ob der benötigte Verkehr aus dem Subnetz für das Gateway NACLs zugelassen ist. NAT

  • aws:executeScript- Sammelt die Routen, die dem Subnetz für das Gateway zugeordnet sind. NAT

  • aws:executeScript- Bestätigt, ob das NAT Gateway über eine Route zu einem Internet-Gateway verfügt.

  • aws:executeAwsApi- Sammelt Details über die VPC Peering-Verbindung.

  • aws:executeScript- Bestätigt, dass VPCs sich beide in derselben Region befinden und dass die für das Ziel zurückgegebene ID VPC mit dem im Parameter angegebenen Wert übereinstimmt, falls vorhanden. DestinationVpc

  • aws:executeAwsApi- Gibt das Subnetz der Zielressource zurück.

  • aws:executeScript- Sammelt die Routen, die dem Subnetz für die Peering-Verbindung zugeordnet sind. VPC

  • aws:executeScript- Bestätigt, ob der Peering-Anschluss VPC über eine Route zur Peering-Verbindung verfügt.

  • aws:executeScript- Bestätigt, ob Datenverkehr von der Quellressource zulässig ist, wenn das Ziel von der Automatisierung nicht unterstützt wird.