翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWSSupport-TroubleshootVPN
説明
AWSSupport-TroubleshootVPN
ランブックは、 AWS Site-to-Site VPN 接続のエラーをトレースして解決するのに役立ちます。自動化には、 AWS Site-to-Site VPN 接続トンネルに関連する IKEv1
または IKEv2
エラーを追跡するように設計されたいくつかの自動チェックが含まれています。自動化は、一般的な問題のリストに含まれる特定のエラーとそれに対応する解決策を一致させようとします。
注: この自動化ではエラーは修正されません。指定された時間範囲で実行され、ロググループ でエラーがないかVPN CloudWatch ロググループ をスキャンします。
動作の仕組み
ランブックはパラメータ検証を実行して、入力パラメータに含まれる Amazon CloudWatch ロググループが存在するかどうか、VPNトンネルログ記録に対応するログストリームがロググループに存在するかどうか、VPN接続 ID が存在するかどうか、トンネル IP アドレスが存在するかどうかを確認します。これにより、ログVPN記録用に設定された CloudWatch ロググループに対して Logs Insights API呼び出しが行われます。
ドキュメントタイプ
Automation
[所有者]
Amazon
[Platforms] (プラットフォーム)
Linux、macOS、Windows
パラメータ
-
AutomationAssumeRole
型: 文字列
説明: (オプション) Systems Manager Automation がユーザーに代わってアクションを実行できるようにする () ロールARNの AWS Identity and Access Management Amazon リソースネーム (IAM)。ロールを指定しない場合、Systems Manager Automation はこのランブックを開始するユーザーのアクセス許可を使用します。
-
LogGroupName
型: 文字列
説明: (必須) 接続ログ用に設定された AWS Site-to-Site VPN Amazon CloudWatch ロググループ名
許可されたパターン:
^[\.\-_/#A-Za-z0-9]{1,512}
-
VpnConnectionId
型: 文字列
説明: (必須) トラブルシューティングする AWS Site-to-Site VPN 接続 ID。
許可されたパターン:
^vpn-[0-9a-f]{8,17}$
-
TunnelAIPAddress
型: 文字列
説明: (必須) に関連付けられているトンネル番号 1 のIPv4アドレス AWS Site-to-Site VPN。
許可されたパターン:
^((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)[.]){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?){1}$
-
TunnelBIPAddress
型: 文字列
説明: (オプション) に関連付けられているトンネル番号 2 のIPv4アドレス AWS Site-to-Site VPN。
許可されたパターン:
^((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)[.]){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?){1}|^$
-
IKEVersion
型: 文字列
説明: (必須) 使用しているIKEバージョンを選択します。使用できる値: IKEv1、 IKEv2
有効な値:
['IKEv1', 'IKEv2']
-
StartTimeinEpoch
型: 文字列
説明: (オプション) ログ分析の開始時間。ログ分析 LookBackPeriod に StartTimeinEpoch/ EndTimeinEpoch または を使用できます。
許可されたパターン:
^\d{10}|^$
-
EndTimeinEpoch
型: 文字列
説明: (オプション) ログ分析の終了時間。ログ分析 LookBackPeriod には StartTimeinEpoch/ EndTimeinEpoch または を使用できます。 StartTimeinEpoch/ EndTimeinEpoch と の両方が指定され LookBackPeriod ている場合、 LookBackPeriod が優先されます。
許可されたパターン:
^\d{10}|^$
-
LookBackPeriod
型: 文字列
説明: (オプション) ログ分析のためにさかのぼる 2 桁の時間 (単位:時間)。有効な範囲: 01 ~ 99。と も指定 StartTimeinEpochした場合、この値が優先されます。 EndTime
許可されたパターン:
^(\d?[1-9]|[1-9]0)|^$
必要なIAMアクセス許可
AutomationAssumeRole
パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。
-
logs:DescribeLogGroups
-
logs:GetQueryResults
-
logs:DescribeLogStreams
-
logs:StartQuery
-
ec2:DescribeVpnConnections
Instructions
注: このオートメーションは、ログ記録出力形式が の場合、VPNトンネルログ用に設定されたログ CloudWatch グループで機能しますJSON。
次の手順に従って自動化を設定します。
-
AWS Systems Manager コンソールで AWSSupport-TroubleshootVPN
に移動します。 -
次の入力パラメータを入力します。
-
AutomationAssumeRole (オプション):
Systems Manager Automation がユーザーに代わってアクションを実行できるようにする () ロールARNの Amazon リソースネーム AWS Identity and Access Management (IAM)。ロールを指定しない場合、Systems Manager Automation はこのランブックを開始するユーザーのアクセス許可を使用します。
-
LogGroupName (必須):
検証する Amazon CloudWatch ロググループ名。これは、 が CloudWatch ログを送信するVPNように設定されたロググループである必要があります。
-
VpnConnectionId (必須):
ロググループがVPNエラーのためにトレースされる AWS Site-to-Site VPN 接続 ID。
-
T unnelAIPAddress (必須):
AWS Site-to-Site VPN 接続に関連付けられたトンネル A IP アドレス。
-
T unnelBIPAddress (オプション):
AWS Site-to-Site VPN 接続に関連付けられているトンネル B の IP アドレス。
-
IKEVersion (必須):
IKEversion 使用しているものを選択します。使用できる値: IKEv1、IKEv2。
-
StartTimeinEpoch (オプション):
エラーを問い合わせる時間範囲の開始。範囲は包括的であるため、指定した開始時間がクエリに含まれます。エポック時間として指定され、1970 年 1 月 1 日 00:00:00 からの秒数ですUTC。
-
EndTimeinEpoch (オプション):
エラーを問い合わせる時間範囲の終了。範囲は包括的であるため、指定した終了時間がクエリに含まれます。エポック時間として指定され、1970 年 1 月 1 日 00:00:00 からの秒数ですUTC。
-
LookBackPeriod (必須):
エラーを問い合わせる振り返りの時間 (単位:時間)。
注: ログ分析の時間範囲を修正 LookBackPeriod するには StartTimeinEpoch EndTimeinEpoch、、、または を設定します。自動化開始時刻からの過去のエラーをチェックするための 2 桁の数字を時間単位で指定します。または、エラーが特定の時間範囲内の過去のものである場合は、 ではなく EndTimeinEpoch StartTimeinEpoch と を含めます LookBackPeriod。
-
-
[実行] を選択します。
-
自動化が開始されます。
-
自動化ランブックは以下のステップを実行します。
-
parameterValidation:
自動化に含まれる入力パラメータに対して一連の検証を実行します。
-
branchOnValidationOfLogGroup:
パラメータで指定されたロググループが有効かどうかを確認します。無効な場合は、自動化ステップの以降の開始を停止します。
-
branchOnValidationOfLogStream:
含まれているロググループに CloudWatch ログストリームが存在するかどうかを確認します。無効な場合は、自動化ステップの以降の開始を停止します。
-
branchOnValidationOfVpnConnectionId:
パラメータに含まれるVPN接続 ID が有効かどうかを確認します。無効な場合は、自動化ステップの以降の開始を停止します。
-
branchOnValidationOfVpnIp:
パラメータで指定されたトンネル IP アドレスが有効かどうかを確認します。無効な場合は、自動化ステップの以降の実行を停止します。
-
traceError:
含まれているロググループで CloudWatch ログインサイトAPI呼び出しを行い、IKEv1/IKEv2 に関連するエラーと関連する推奨解決方法を検索します。
-
-
完了したら、出力セクションで詳細な実行結果を確認します。
リファレンス
Systems Manager Automation
AWS サービスドキュメント