AWSSupport-TroubleshootVPN - AWS Systems Manager Riferimento al runbook di automazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWSSupport-TroubleshootVPN

Descrizione

Il AWSSupport-TroubleshootVPN runbook ti aiuta a tracciare e risolvere gli errori in una AWS Site-to-Site VPN connessione. L'automazione include diversi controlli automatici progettati per tracciare IKEv2 gli errori IKEv1 relativi ai tunnel di AWS Site-to-Site VPN connessione. L'automazione cerca di individuare errori specifici e la relativa risoluzione forma un elenco di problemi comuni.

Nota: questa automazione non corregge gli errori. Viene eseguito per l'intervallo di tempo indicato e analizza il gruppo di log alla ricerca di errori nel gruppo di VPN CloudWatch log.

Come funziona?

Il runbook esegue una convalida dei parametri per confermare se il gruppo di CloudWatch log Amazon incluso nel parametro di input esiste, se vi sono flussi di log nel gruppo di log che corrispondono al VPN tunnel logging, se esiste l'id di VPN connessione e se esiste l'indirizzo IP del tunnel. Effettua API chiamate Logs Insights sul tuo gruppo di CloudWatch log configurate per la registrazione. VPN

Tipo di documento

Automazione

Proprietario

Amazon

Piattaforme

LinuxmacOS, Windows

Parametri

  • AutomationAssumeRole

    Tipo: stringa

    Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.

  • LogGroupName

    Tipo: stringa

    Descrizione: (Obbligatorio) Il nome del gruppo di CloudWatch log Amazon configurato per la registrazione delle AWS Site-to-Site VPN connessioni

    Pattern consentito: ^[\.\-_/#A-Za-z0-9]{1,512}

  • VpnConnectionId

    Tipo: stringa

    Descrizione: (Obbligatorio) L'ID di AWS Site-to-Site VPN connessione da risolvere.

    Modello consentito: ^vpn-[0-9a-f]{8,17}$

  • T unnelAIPAddress

    Tipo: stringa

    Descrizione: (Obbligatorio) L'IPv4indirizzo del tunnel numero 1 associato al tuo AWS Site-to-Site VPN.

    Modello consentito: ^((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)[.]){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?){1}$

  • T unnelBIPAddress

    Tipo: stringa

    Descrizione: (Facoltativo) L'IPv4indirizzo del tunnel numero 2 associato al tuo AWS Site-to-Site VPN.

    Modello consentito: ^((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)[.]){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?){1}|^$

  • IKEVersion

    Tipo: stringa

    Descrizione: (Obbligatorio) Seleziona IKE la versione che stai utilizzando. Valori consentiti:IKEv1, IKEv2

    Valori validi: ['IKEv1', 'IKEv2']

  • StartTimeinEpoch

    Tipo: stringa

    Descrizione: (Facoltativo) Ora di inizio dell'analisi del registro. È possibile utilizzare StartTimeinEpoch/EndTimeinEpoch o LookBackPeriod per l'analisi dei log

    Modello consentito: ^\d{10}|^$

  • EndTimeinEpoch

    Tipo: stringa

    Descrizione: (Facoltativo) Ora di fine dell'analisi dei log. È possibile utilizzare StartTimeinEpoch/EndTimeinEpoch o LookBackPeriod per l'analisi dei log. Se vengono dati entrambi StartTimeinEpoch/EndTimeinEpoch e LookBackPeriod allora hanno la LookBackPeriod precedenza

    Modello consentito: ^\d{10}|^$

  • LookBackPeriod

    Tipo: stringa

    Descrizione: (Facoltativo) Tempo a due cifre in ore per esaminare l'analisi dei log. Intervallo valido: 01 - 99. Questo valore ha la precedenza se dai StartTimeinEpoch anche e EndTime

    Modello consentito: ^(\d?[1-9]|[1-9]0)|^$

IAMAutorizzazioni richieste

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

  • logs:DescribeLogGroups

  • logs:GetQueryResults

  • logs:DescribeLogStreams

  • logs:StartQuery

  • ec2:DescribeVpnConnections

Istruzioni

Nota: questa automazione funziona sui gruppi di CloudWatch log configurati per la registrazione VPN del tunnel, quando il formato di output della registrazione è. JSON

Segui questi passaggi per configurare l'automazione:

  1. Vai alla sezione AWSSupport-Troubleshoot VPN nella console. AWS Systems Manager

  2. Per i parametri di input, inserisci quanto segue:

    • AutomationAssumeRole (Facoltativo):

      L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.

    • LogGroupName (Obbligatorio):

      Il nome del gruppo di CloudWatch log Amazon da convalidare. Questo deve essere il gruppo di CloudWatch log a cui è configurato VPN l'invio dei log.

    • VpnConnectionId (Obbligatorio):

      L'ID di AWS Site-to-Site VPN connessione il cui gruppo di log viene tracciato per rilevare eventuali VPN errori.

    • T unnelAIPAddress (obbligatorio):

      Il tunnel Un indirizzo IP associato alla AWS Site-to-Site VPN connessione.

    • T unnelBIPAddress (opzionale):

      L'indirizzo IP B del tunnel associato alla AWS Site-to-Site VPN connessione.

    • IKEVersion(Obbligatorio):

      Seleziona quello IKEversion che stai usando. Valori consentiti:IKEv1,IKEv2.

    • StartTimeinEpoch (Facoltativo):

      L'inizio dell'intervallo di tempo in cui eseguire la ricerca di errori. L'intervallo è inclusivo, quindi l'ora di inizio specificata viene inclusa nella query. Specificato come ora dell'epoca, il numero di secondi trascorsi dal 1° gennaio 1970, 00:00:00. UTC

    • EndTimeinEpoch (Facoltativo):

      La fine dell'intervallo di tempo in cui eseguire la ricerca di errori. L'intervallo è inclusivo, quindi l'ora di fine specificata viene inclusa nella query. Specificato come ora dell'epoca, il numero di secondi trascorsi dal 1° gennaio 1970, 00:00:00. UTC

    • LookBackPeriod (Obbligatorio):

      Tempo, espresso in ore, per verificare la presenza di errori nella ricerca di errori.

    Nota: configura un StartTimeinEpoch EndTimeinEpoch, o fissa LookBackPeriod l'intervallo di tempo per l'analisi dei log. Fornisci un numero a due cifre in ore per verificare la presenza di errori passati dall'ora di inizio dell'automazione. Oppure, se l'errore riguarda il passato e rientra in un intervallo di tempo specifico, includi StartTimeinEpoch e EndTimeinEpoch, invece di. LookBackPeriod

  3. Seleziona Esegui.

  4. L'automazione si avvia.

  5. Il runbook di automazione esegue i seguenti passaggi:

    • parameterValidation:

      Esegue una serie di convalide sui parametri di input inclusi nell'automazione.

    • branchOnValidationOfLogGroup:

      Verifica se il gruppo di log menzionato nel parametro è valido. Se non è valido, interrompe l'ulteriore avvio delle fasi di automazione.

    • branchOnValidationOfLogStream:

      Verifica se il flusso di log esiste nel gruppo di log incluso. CloudWatch Se non è valido, interrompe l'ulteriore avvio delle fasi di automazione.

    • branchOnValidationOfVpnConnectionId:

      Verifica se l'ID di VPN connessione incluso nel parametro è valido. Se non è valido, interrompe l'ulteriore avvio delle fasi di automazione.

    • branchOnValidationOfVpnIp:

      Verifica se l'indirizzo IP del tunnel menzionato nel parametro è valido o meno. Se non è valido, interrompe l'ulteriore esecuzione delle fasi di automazione.

    • traceError:

      Effettua una API chiamata logs insight nel gruppo di CloudWatch log incluso e cerca l'errore relativo aIKEv1/IKEv2insieme a una relativa risoluzione suggerita.

  6. Al termine, consulta la sezione Output per i risultati dettagliati dell'esecuzione.

Riferimenti

Systems Manager Automation

AWS documentazione di servizio