AWSSupport-TroubleshootVPN - AWS Systems Manager 自動化手冊參考

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWSSupport-TroubleshootVPN

Description

AWSSupport-TroubleshootVPNrunbook 可以幫助您跟踪和解決AWS Site-to-Site VPN連接中的錯誤。該自動化包括幾個自動化檢查,旨在跟踪IKEv1或與AWS Site-to-Site VPN連接通道相關的IKEv2錯誤。自動化會嘗試比對特定錯誤,其對應的解決方案會形成常見問題的清單。

注意:此自動化操作不能糾正錯誤。它會在上述時間範圍內執行,並掃描記錄群組中的 VPN CloudWatch 記錄檔群組中是否有錯誤。

它是如何工作的?

runbook 會執行參數驗證,以確認輸入參數中包含的 Amazon CloudWatch 日誌群組是否存在、日誌群組中是否有任何對應至 VPN 通道記錄的日誌串流、是否存在 VPN 連線識別碼,以及是否存在通道 IP 位址。它會在設定用於 VPN 記錄的記 CloudWatch 錄群組上進行記錄洞見 API 呼叫。

文件類型

 自動化

擁有者

Amazon

平台

Linux 系統macOS, Windows

參數

  • AutomationAssumeRole

    類型:字串

    說明:(選用) 允許 Systems Manager 自動化代表您執行動作的 AWS Identity and Access Management (IAM) 角色的 Amazon 資源名稱 (ARN)。如果未指定任何角色,Systems Manager 自動化會使用啟動此 runbook 的使用者的權限。

  • LogGroupName

    類型:字串

    說明:(必要) 為AWS Site-to-Site VPN連線記錄設定的 Amazon CloudWatch 日誌群組名稱

    允許的模式:^[\.\-_/#A-Za-z0-9]{1,512}

  • VpnConnectionId

    類型:字串

    描述:(必要) 要進行疑難排解的AWS Site-to-Site VPN連線 ID。

    允許的模式:^vpn-[0-9a-f]{8,17}$

  • 隧道通道地址

    類型:字串

    描述:(必要) 與您AWS Site-to-Site VPN關聯的通道號碼 1 IPv4 位址。

    允許的模式:^((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)[.]){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?){1}$

  • 隧道交換地址

    類型:字串

    描述:(選擇性) 通道編號 2 IPv4 位址與您的AWS Site-to-Site VPN.

    允許的模式:^((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)[.]){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?){1}|^$

  • 池版

    類型:字串

    說明:(必要) 選取您使用的 IKE 版本。允許的值:

    有效值:['IKEv1', 'IKEv2']

  • StartTimeinEpoch

    類型:字串

    描述:(選擇性) 記錄檔分析的開始時間。您可以使用 StartTimeinEpoch/EndTimeinEpoch 或 LookBackPeriod 進行日誌分析

    允許的模式:^\d{10}|^$

  • EndTimeinEpoch

    類型:字串

    描述:(選擇性) 記錄檔分析的結束時間。您可以使用 StartTimeinEpoch/EndTimeinEpoch 或 LookBackPeriod 進行日誌分析。如果同時給出 StartTimeinEpoch/EndTimeinEpoch , LookBackPeriod 然後 LookBackPeriod 優先

    允許的模式:^\d{10}|^$

  • LookBackPeriod

    類型:字串

    說明:(選擇性) 回頭查看記錄分析的兩位數時間 (以小時為單位)。有效範圍:1-99。如果您還給予 StartTimeinEpoch 和,則此值優先 EndTime

    允許的模式:^(\d?[1-9]|[1-9]0)|^$

必要的 IAM 許可

AutomationAssumeRole參數需要執行下列動作,才能成功使用 Runbook。

  • logs:DescribeLogGroups

  • logs:GetQueryResults

  • logs:DescribeLogStreams

  • logs:StartQuery

  • ec2:DescribeVpnConnections

指示

備註:當記 CloudWatch 錄輸出格式為 JSON 時,此自動化操作適用於為 VPN 通道記錄設定的記錄群組。

請依照下列步驟設定自動化操作:

  1. 導航到控AWSSupport制台中的故障排除 VPN。AWS Systems Manager

  2. 對於輸入參數,請輸入以下內容:

    • AutomationAssumeRole (選擇性):

      (IAM) 角色的 Amazon 資源名稱 AWS Identity and Access Management (ARN),可讓 Systems Manager 自動化代表您執行動作。如果未指定任何角色,Systems Manager 自動化會使用啟動此 runbook 的使用者的權限。

    • LogGroupName (必填):

      要驗證的 Amazon CloudWatch 日誌群組名稱。這必須是為 VPN 設定要將記錄檔傳送至的記錄群組。 CloudWatch

    • VpnConnectionId (必填):

      追蹤其記錄群組是否有 VPN 錯誤的AWS Site-to-Site VPN連線識別碼。

    • 隧道通道位址 (必填):

      通道與您的AWS Site-to-Site VPN連線相關聯的 IP 位址。

    • 隧道位址(可選):

      與您的AWS Site-to-Site VPN連線相關聯的通道 B IP 位址。

    • 版本 (必填):

      選擇您正在使用的版本。允許的值:

    • StartTimeinEpoch (選擇性):

      要查詢錯誤的時間範圍的開頭。該範圍包含在內,因此查詢中包含指定的開始時間。指定為紀元時間,即世界標準時間 1970 年 1 月 1 日 00:00:00 以來的秒數。

    • EndTimeinEpoch (選擇性):

      查詢錯誤的時間範圍結束時間。範圍包含在內,因此查詢中會包含指定的結束時間。指定為紀元時間,即世界標準時間 1970 年 1 月 1 日 00:00:00 以來的秒數。

    • LookBackPeriod (必填):

      回顧查詢錯誤的時間(以小時為單位)。

    附註:設定 StartTimeinEpoch EndTimeinEpoch、或 LookBackPeriod 以修正記錄分析的時間範圍。給一個以小時為單位的兩位數字,以檢查自動化開始時間過去的錯誤。或者,如果錯誤在特定時間範圍內過去,請包含 StartTimeinEpoch 和 EndTimeinEpoch,而不是 LookBackPeriod。

  3. 選取執行

  4. 自動化啟動。

  5. 自動化工作流程簿執行下列步驟:

    • 參數驗證:

      對自動化中包含的輸入參數執行一系列驗證。

    • branchOnValidationOfLogGroup:

      檢查參數中提到的日誌組是否有效。如果無效,它會停止進一步啟動自動化步驟。

    • branchOnValidationOfLogStream:

      檢查記錄資料流是否存在於包含的 CloudWatch 記錄群組中。如果無效,它會停止進一步啟動自動化步驟。

    • branchOnValidationOfVpnConnectionId:

      檢查參數中包含的 VPN 連線 ID 是否有效。如果無效,它會停止進一步啟動自動化步驟。

    • branchOnValidationOfVpnIp:

      檢查參數中提到的隧道 IP 地址是否有效。如果無效,那麼它會停止自動化步驟的進一步執行。

    • 追蹤錯誤:

      在包含 CloudWatch 的日誌組中進行日誌洞察力 API 調用,並搜索與 IKEV1/IKEv2 相關的錯誤以及相關的建議解決方案。

  6. 完成後,請檢閱「輸出」區段以取得執行的詳細結果。

參考

Systems Manager Automation

AWS服務文件