AWSSupport-TroubleshootVPN

Description

Le AWSSupport-TroubleshootVPN runbook vous aide à suivre et à résoudre les erreurs dans une AWS Site-to-Site VPN connexion. L'automatisation comprend plusieurs contrôles automatisés conçus pour détecter les IKEv1 IKEv2 erreurs liées aux tunnels de AWS Site-to-Site VPN connexion. L'automatisation essaie de faire correspondre des erreurs spécifiques et la résolution correspondante forme une liste de problèmes courants.

Remarque : Cette automatisation ne corrige pas les erreurs. Il s'exécute pendant la période mentionnée et analyse le groupe de journaux à la recherche d'erreurs dans le groupe de CloudWatch journaux VPN.

Comment fonctionne-t-il ?

Le runbook exécute une validation des paramètres pour confirmer si le groupe de CloudWatch journaux Amazon inclus dans le paramètre d'entrée existe, si le groupe de journaux contient des flux de journaux correspondant à la journalisation du tunnel VPN, si l'identifiant de connexion VPN existe et si l'adresse IP du tunnel existe. Il effectue des appels d'API Logs Insights sur votre groupe de CloudWatch journaux qui sont configurés pour la journalisation VPN.

Type de document

 Automatisation

Propriétaire

Amazon

Plateformes

LinuxmacOS, Windows

Paramètres

• AutomationAssumeRole

  Type : chaîne

  Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.

• LogGroupName

  Type : chaîne

  Description : (Obligatoire) Le nom du groupe de CloudWatch journaux Amazon configuré pour la journalisation des AWS Site-to-Site VPN connexions

  Modèle autorisé : ^[\.\-_/#A-Za-z0-9]{1,512}

• VpnConnectionId

  Type : chaîne

  Description : (Obligatoire) L'identifiant de AWS Site-to-Site VPN connexion à résoudre.

  Modèle autorisé : ^vpn-[0-9a-f]{8,17}$

• Adresse IP du tunnel

  Type : chaîne

  Description : (Obligatoire) L'adresse IPv4 du tunnel numéro 1 associée à votreAWS Site-to-Site VPN.

  Modèle autorisé : ^((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)[.]){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?){1}$

• Adresse IP du tunnel

  Type : chaîne

  Description : (Facultatif) L'adresse IPv4 du tunnel numéro 2 associée à votreAWS Site-to-Site VPN.

  Modèle autorisé : ^((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)[.]){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?){1}|^$

• Version IKE

  Type : chaîne

  Description : (Obligatoire) Sélectionnez la version IKE que vous utilisez. Valeurs autorisées : IKEv1, IKEv2

  Valeurs valides : ['IKEv1', 'IKEv2']

• StartTimeinEpoch

  Type : chaîne

  Description : (Facultatif) Heure de début de l'analyse du journal. Vous pouvez utiliser StartTimeinEpoch/EndTimeinEpoch ou LookBackPeriod pour l'analyse des journaux

  Modèle autorisé : ^\d{10}|^$

• EndTimeinEpoch

  Type : chaîne

  Description : (Facultatif) Heure de fin de l'analyse du journal. Vous pouvez utiliser StartTimeinEpoch/EndTimeinEpoch ou LookBackPeriod pour l'analyse des journaux. Si on donne à la fois « StartTimeinEpoch/» EndTimeinEpoch et «  LookBackPeriod  then » LookBackPeriod ont la priorité

  Modèle autorisé : ^\d{10}|^$

• LookBackPeriod

  Type : chaîne

  Description : (Facultatif) Durée à deux chiffres en heures de consultation rétrospective pour l'analyse du journal. Plage valide : 01 - 99. Cette valeur est prioritaire si vous indiquez StartTimeinEpoch également et EndTime

  Modèle autorisé : ^(\d?[1-9]|[1-9]0)|^$

Autorisations IAM requises

Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.

• logs:DescribeLogGroups

• logs:GetQueryResults

• logs:DescribeLogStreams

• logs:StartQuery

• ec2:DescribeVpnConnections

Instructions

Remarque : Cette automatisation fonctionne sur les groupes de CloudWatch journaux configurés pour la journalisation de votre tunnel VPN, lorsque le format de sortie de journalisation est JSON.

Pour configurer l'automatisation, procédez comme suit :

1. Accédez au AWSSupport-TroubleshootVPN dans la console. AWS Systems Manager

2. Pour les paramètres d'entrée, entrez ce qui suit :

   • AutomationAssumeRole (Facultatif) :

     Amazon Resource Name (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.

   • LogGroupName (Obligatoire) :

     Le nom du groupe de CloudWatch journaux Amazon à valider. Il doit s'agir du groupe de CloudWatch journaux configuré pour que le VPN envoie des journaux.

   • VpnConnectionId (Obligatoire) :

     L'identifiant de AWS Site-to-Site VPN connexion dont le groupe de journaux est tracé pour détecter une erreur VPN.

   • Adresse IP du tunnel (obligatoire) :

     Le tunnel Une adresse IP associée à votre AWS Site-to-Site VPN connexion.

   • Adresse IP du tunnel (facultatif) :

     Adresse IP du tunnel B associée à votre AWS Site-to-Site VPN connexion.

   • Version IKE (obligatoire) :

     Sélectionnez la version d'IkeVersion que vous utilisez. Valeurs autorisées : IKEv1, IKEv2.

   • StartTimeinEpoch (Facultatif) :

     Début de l'intervalle de temps pour rechercher une erreur. La plage étant inclusive, l'heure de début spécifiée est incluse dans la requête. Spécifié comme heure de l'époque, le nombre de secondes écoulées depuis le 1er janvier 1970, 00:00:00 UTC.

   • EndTimeinEpoch (Facultatif) :

     Fin de l'intervalle de temps pour rechercher des erreurs. La plage étant inclusive, l'heure de fin spécifiée est incluse dans la requête. Spécifié comme heure de l'époque, le nombre de secondes écoulées depuis le 1er janvier 1970, 00:00:00 UTC.

   • LookBackPeriod (Obligatoire) :

     Temps, en heures, nécessaire pour revenir sur la requête afin de détecter une erreur.

   Remarque : Configurez un StartTimeinEpoch EndTimeinEpoch, ou LookBackPeriod pour fixer la plage de temps pour l'analyse des journaux. Donnez un nombre à deux chiffres en heures pour vérifier les erreurs passées depuis le début de l'automatisation. Ou, si l'erreur s'est produite dans le passé dans un intervalle de temps spécifique, incluez StartTimeinEpoch et EndTimeinEpoch, au lieu de LookBackPeriod.

   

3. Sélectionnez Exécuter.

4. L'automatisation démarre.

5. Le runbook d'automatisation exécute les étapes suivantes :

   • Validation des paramètres :

     Exécute une série de validations sur les paramètres d'entrée inclus dans l'automatisation.

   • branchOnValidationOfLogGroup:

     Vérifie si le groupe de logs mentionné dans le paramètre est valide. S'il n'est pas valide, il arrête le lancement ultérieur des étapes d'automatisation.

   • branchOnValidationOfLogStream:

     Vérifie si le flux de journaux existe dans le groupe de CloudWatch journaux inclus. S'il n'est pas valide, il arrête le lancement ultérieur des étapes d'automatisation.

   • branchOnValidationOfVpnConnectionId:

     Vérifie si l'identifiant de connexion VPN inclus dans le paramètre est valide. S'il n'est pas valide, il arrête le lancement ultérieur des étapes d'automatisation.

   • branchOnValidationOfVpnIp:

     Vérifie si l'adresse IP du tunnel mentionnée dans le paramètre est valide ou non. S'il n'est pas valide, il arrête l'exécution ultérieure des étapes d'automatisation.

   • Erreur de trace :

     Fait un appel à l'API Logs Insight dans le groupe de CloudWatch journaux inclus et recherche l'erreur liée à IKEv1/IKEv2 ainsi qu'une solution suggérée associée.

6. Une fois terminé, consultez la section Sorties pour connaître les résultats détaillés de l'exécution.

   

Références

Systems Manager Automation

• Exécuter cette automatisation (console)

• Exécuter une automatisation

• Configuration d'une automatisation

• Page d'accueil de Support Automation Workflows

AWSdocumentation de service

• Contenu des journaux du VPN de site à site