評估 BPA 的影響並監控 BPA

本節包含有關您可以在開啟 VPC BPA 之前評估其影響的資訊，以及如何在開啟流量之後監控流量是否遭到封鎖的資訊。

使用 評估 BPA 的影響 網路存取分析器

在本節中，您將使用 網路存取分析器 檢視帳戶中使用網際網路閘道的資源，然後再啟用 VPC BPA 和封鎖存取。使用此分析來了解在帳戶中開啟 VPC BPA 並封鎖流量的影響。

注意

• 網路存取分析器不支援 IPv6；因此您將無法使用它來檢視 BPA 對僅輸出網際網路閘道傳出 IPv6 流量的潛在影響。

• 您需要為使用網路存取分析器執行的分析付費。如需詳細資訊，請參閱《網路存取分析器 指南》中的定價。

• 如需有關網路存取分析器區域可用性的資訊，請參閱《網路存取分析器指南》中的限制。

AWS Management Console

1. 在 開啟 AWS Network Insights 主控台https://console.aws.amazon.com/networkinsights/。

2. 選擇網路存取分析器。

3. 選擇建立網路存取範圍。

4. 選擇評估 VPC 封鎖公開存取的影響，然後選擇下一步。

5. 範本已設定為分析您帳戶中網際網路閘道的往返流量。您可以在來源和目的地下檢視。

6. 選擇 Next (下一步)。

7. 選擇建立網路存取範圍。

8. 選擇您剛建立的範圍，然後選擇分析。

9. 等候分析完成。

10. 檢視分析的調查結果。調查結果下的每一列都顯示了封包在網路中往返於您帳戶中的網際網路閘道的網路路徑。在此情況下，如果您開啟 VPC BPA，且這些調查結果中出現的任何 VPC 和/或子網路都未設定為 BPA 排除，則對這些 VPC 和子網路的流量將受到限制。

11. 分析每個調查結果，以了解 BPA 對您 VPC 資源的影響。

影響分析已完成。

AWS CLI

1. 建立網路存取範圍：

   aws ec2 create-network-insights-access-scope --region us-east-2 --match-paths "Source={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" "Destination={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}"

2. 開始範圍分析：

   aws ec2 start-network-insights-access-scope-analysis  --region us-east-2 --network-insights-access-scope-id nis-id

3. 取得分析的結果：

   aws ec2 get-network-insights-access-scope-analysis-findings  --region us-east-2 --network-insights-access-scope-analysis-id nisa-0aa383a1938f94cd1 --max-items 1

   結果會顯示您帳戶中所有 VPC 中往返網際網路閘道的流量。結果會組織為「調查結果」。"FindingId": "AnalysisFinding-1" 表示這是分析中的第一個調查結果。請注意，有多個調查結果，每個調查結果都表示流量流程會因為開啟 VPC BPA 而受到影響。第一個調查結果會顯示從網際網路閘道 ("SequenceNumber": 1) 開始的流量，傳遞至 NACL ("SequenceNumber": 2) 給安全群組 ("SequenceNumber"： 3)，並在執行個體 ("SequenceNumber": 4) 結束。

4. 分析調查結果，以了解 BPA 對 VPC 資源的影響。

影響分析已完成。

使用流程日誌監控 BPA 影響

VPC 流程日誌是一項可讓您擷取傳入及傳出您 VPC 中彈性網路介面之 IP 流量相關資訊的功能。您可以使用此功能來監控 VPC BPA 封鎖到達執行個體網路介面的流量。

使用 使用流量日誌工作 中的步驟為您的 VPC 建立流程日誌。

當您建立流程日誌時，請務必使用包含欄位 reject-reason 的自訂格式。

當您檢視流程日誌時，如果 ENI 的流量因 BPA 而遭到拒絕，您會在流程日誌項目中看到 BPA 的 reject-reason。

除了 VPC 流程日誌的標準限制之外，請注意 VPC BPA 特有的下列限制：

• VPC BPA 的流量日誌不包含跳過的記錄。

• 即使您在流量日誌中包含 bytes 欄位，VPC BPA 的流量日誌也不會包含 bytes。

使用 CloudTrail 追蹤排除刪除

本節說明如何使用 AWS CloudTrail 來監控和追蹤 VPC BPA 排除的刪除。

AWS Management Console

您可以在透過 https://console.aws.amazon.com/cloudtrailv2/ 存取 AWS CloudTrail 主控台，在其中查詢資源類型 > AWS::EC2::VPCBlockPublicAccessExclusion，以檢視 CloudTrail 事件歷史記錄中任何已刪除的排除。

AWS CLI

您可以使用 lookup-events 命令來檢視與刪除排除項目相關的事件：

aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::EC2::VPCBlockPublicAccessExclusion

使用 Reachability Analyzer 確認連線已封鎖

VPC Reachability Analyzer 可用來評估是否可以根據您的網路組態達到特定網路路徑，包括 VPC BPA 設定。

如需 Reachability Analyzer 區域可用性的相關資訊，請參閱《Reachability Analyzer 指南》中的考量。

AWS Management Console

1. 在 開啟 AWS Network Insights 主控台https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer。

2. 按一下建立並分析路徑。

3. 針對來源類型，選擇網際網路閘道，然後從來源下拉式清單中選擇您要封鎖流量的網際網路閘道。

4. 針對目的地類型，選擇執行個體，然後從目的地下拉式清單中選擇您要封鎖流量的執行個體。

5. 按一下建立並分析路徑。

6. 等候分析完成。這可能需要幾分鐘的時間。

7. 完成後，您應該會看到連線性狀態為無法連線，而且路徑詳細資訊顯示 VPC_BLOCK_PUBLIC_ACCESS_ENABLED 是造成此連線能力問題的原因。

AWS CLI

1. 使用您要封鎖來自 (來源) 的流量的網際網路閘道 ID 和您要封鎖流向 (目的地) 執行個體的 ID 建立網路路徑：

   aws ec2 --region us-east-2 create-network-insights-path --source igw-id --destination instance-id --protocol TCP

2. 在網路路徑上開始分析：

   aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id

3. 檢索分析的結果：

   aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id

4. 確認 VPC_BLOCK_PUBLIC_ACCESS_ENABLED 為 ExplanationCode，無法連線。