`AWSSupport-SetupIPMonitoringFromVPC`

Deskripsi

AWSSupport-SetupIPMonitoringFromVPCmembuat instance Amazon Elastic Compute Cloud (Amazon EC2) di subnet yang ditentukan dan memantau IPs target IPv4 ( IPv6atau) yang dipilih dengan terus menjalankan pengujian ping, MTR, traceroute, dan tracetcp. Hasilnya disimpan di CloudWatch log Amazon Logs, dan filter metrik diterapkan untuk memvisualisasikan statistik latensi dan kehilangan paket dengan cepat di dasbor. CloudWatch

Informasi Tambahan

Data CloudWatch Log dapat digunakan untuk pemecahan masalah jaringan dan analisis pattern/trends. Additionally, you can configure CloudWatch alarms with Amazon SNS notifications when packet loss and/or latensi mencapai ambang batas. Data juga dapat digunakan saat membuka kasus dengan AWS Dukungan, untuk membantu mengisolasi masalah dengan cepat dan mengurangi waktu penyelesaian saat menyelidiki masalah jaringan.

Jalankan Otomasi ini (konsol)

Jenis dokumen

Otomatisasi

Pemilik

Amazon

Platform

Linux,macOS, Windows

Parameter

AutomationAssumeRole

Tipe: String

Deskripsi: (Opsional) Nama Sumber Daya Amazon (ARN) peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.
CloudWatchLogGroupNamePrefix

Tipe: String

Default: /AWSSupport-SetupIPMonitoringFromVPC

Deskripsi: (Opsional) Awalan yang digunakan untuk setiap grup CloudWatch log yang dibuat untuk hasil pengujian.
CloudWatchLogGroupRetentionInDays

Tipe: String

Nilai yang valid: 1 | 3 | 5 | 7 | 14 | 30 | 60 | 90 | 120 | 150 | 180 | 365 | 400 | 545 | 731 | 1827 | 3653

Default: 7

Deskripsi: (Opsional) Jumlah hari Anda ingin menyimpan hasil pemantauan jaringan untuk.
InstanceType

Tipe: String

Nilai yang valid: t2.micro | t2.small | t2.medium | t2.large | t3.micro | t3.small | t3.medium | t3.large | t4g.micro | t4g.small | t4g.medium | t4g.large

Default: t3.micro

Deskripsi: (Opsional) Jenis instans EC2 untuk instance EC2 Rescue. Ukuran yang disarankan: t3.micro.
SubnetId

Tipe: String

Deskripsi: (Wajib) ID subnet untuk contoh monitor. Ketahuilah bahwa jika Anda menentukan subnet pribadi, maka Anda harus memastikan ada akses Internet untuk memungkinkan instance monitor untuk mengatur pengujian (artinya, instal agen CloudWatch Log, berinteraksi dengan Systems Manager dan CloudWatch).
Target IPs

Tipe: String

Deskripsi: (Wajib) Daftar terpisah koma IPv4s dan/atau IPv6s untuk dipantau. Tidak boleh ada spasi. Ukuran maksimum adalah 255 karakter. Ketahuilah bahwa jika Anda memberikan IP yang tidak valid, maka otomatisasi akan gagal dan mengembalikan pengaturan pengujian.
TestInstanceSecurityGroupId

Tipe: String

Deskripsi: (Opsional) ID grup keamanan untuk contoh pengujian. Jika tidak ditentukan, otomatisasi membuatnya selama pembuatan instance. Pastikan grup keamanan mengizinkan akses keluar ke pemantauan IPs.
TestInstanceProfileName

Tipe: String

Deskripsi: (Opsional) Nama profil instans IAM yang ada untuk instance pengujian. Jika tidak ditentukan, otomatisasi membuatnya selama pembuatan instance. Peran harus memiliki izin berikut:logs:CreateLogStream,, logs:DescribeLogGroupslogs:DescribeLogStreams, logs:PutLogEvents dan Kebijakan AWS AmazonSSMManagedInstanceCore Terkelola.
TestInterval

Tipe: String

Deskripsi: (Opsional) Jumlah menit antara interval tes. Nilai default adalah 1 menit dan maksimum adalah 10 menit.
RetainDashboardAndLogsOnDeletion

Tipe: String

Deskripsi: (Opsional) Tentukan False untuk menghapus CloudWatch dasbor Amazon dan Log saat menghapus AWS AWS CloudFormation tumpukan. Nilai default-nya adalah True. Secara default, dasbor dan log dipertahankan dan perlu dihapus secara manual ketika tidak lagi diperlukan.

Izin IAM yang diperlukan

AutomationAssumeRoleParameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.

Awas

Disarankan untuk melewati TestInstanceProfileName parameter atau memastikan pagar pembatas keamanan di tempat untuk mencegah penyalahgunaan izin IAM yang dapat diubah.

Disarankan agar pengguna yang menjalankan otomatisasi memiliki kebijakan terkelola IAM SSMAutomationPeran Amazon yang dilampirkan. Selain itu, pengguna harus memiliki kebijakan berikut yang dilampirkan ke akun pengguna, grup, atau peran mereka:

JSON


{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Action": [
                "iam:CreateRole",
                "iam:CreateInstanceProfile",
                "iam:GetRole",
                "iam:GetInstanceProfile",
                "iam:DetachRolePolicy",
                "iam:AttachRolePolicy",
                "iam:PassRole",
                "iam:AddRoleToInstanceProfile",
                "iam:GetRolePolicy",
                "iam:RemoveRoleFromInstanceProfile",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DeleteInstanceProfile",
                "iam:PutRolePolicy",
                "iam:TagRole"
            ],
            "Resource": [
                "arn:aws:iam::111122223333:role/SetupIPMonitoringFromVPC*",
                "arn:aws:iam::111122223333:instance-profile/SetupIPMonitoringFromVPC*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:CreateChangeSet",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStacks",
                "cloudformation:DescribeStackEvents",
                "cloudwatch:PutDashboard",
                "cloudwatch:DeleteDashboards",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:CreateSecurityGroup",
                "ec2:CreateLaunchTemplate",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeImages",
                "ec2:DescribeSubnets",
                "ec2:DescribeInstanceTypes",
                "ec2:DescribeVpcs",
                "ec2:DeleteLaunchTemplate",
                "ec2:DeleteSecurityGroup",
                "ec2:RunInstances",
                "ec2:TerminateInstances",
                "ec2:DescribeInstanceStatus",
                "ec2:CreateTags",
                "ec2:AssignIpv6Addresses",
                "ec2:DescribeTags",
                "ec2:DescribeInstances",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeLaunchTemplates",
                "ec2:RevokeSecurityGroupEgress",
                "logs:CreateLogGroup",
                "logs:DeleteLogGroup",
                "logs:PutMetricFilter",
                "logs:PutRetentionPolicy",
                "logs:TagResource",
                "ssm:DescribeInstanceInformation",
                "ssm:GetParameter",
                "ssm:GetParameters",
                "ssm:SendCommand",
                "ssm:ListCommands",
                "ssm:ListCommandInvocations"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

Jika TestInstanceProfileName parameter disediakan, izin IAM berikut tidak diperlukan untuk menjalankan runbook:

saya: CreateRole
saya: CreateInstanceProfile
saya: DetachRolePolicy
saya: AttachRolePolicy
saya: AddRoleToInstanceProfile
saya: RemoveRoleFromInstanceProfile
saya: DeleteRole
saya: DeleteRolePolicy
saya: DeleteInstanceProfile

Langkah Dokumen

aws:executeAwsApi- jelaskan subnet yang disediakan untuk mendapatkan ID VPC IPv6 dan status asosiasi blok CIDR.
aws:executeScript- memvalidasi target IPs yang disediakan secara sintaksis benar IPv4 dan/atau IPv6 alamat, dapatkan arsitektur jenis instance yang dipilih, dan verifikasi subnet memiliki asosiasi IPv6 kumpulan jika ada IP target. IPv6
aws:createStack- buat AWS CloudFormation tumpukan yang menyediakan instance Amazon EC2 pengujian, profil instans IAM (jika tidak disediakan), grup keamanan (jika tidak disediakan), grup CloudWatch log, dan dasbor. CloudWatch

(Pembersihan) Jika langkah gagal:

aws:executeScript- jelaskan peristiwa CloudFormation tumpukan untuk mengidentifikasi alasan kegagalan.

aws:deleteStack- hapus CloudFormation tumpukan dan semua sumber daya terkait.
aws:waitForAwsResourceProperty- tunggu CloudFormation tumpukan untuk menyelesaikan pembuatan.

(Pembersihan) Jika langkah gagal:

aws:executeScript- jelaskan peristiwa CloudFormation tumpukan untuk mengidentifikasi alasan kegagalan.

aws:deleteStack- hapus CloudFormation tumpukan dan semua sumber daya terkait.
aws:executeScript- jelaskan sumber daya CloudFormation tumpukan untuk mendapatkan ID instance pengujian, ID grup keamanan, peran IAM, profil instance, dan nama dasbor.

(Pembersihan) Jika langkah gagal:

aws:executeScript- jelaskan peristiwa CloudFormation tumpukan untuk mengidentifikasi alasan kegagalan.

aws:deleteStack- hapus CloudFormation tumpukan dan semua sumber daya terkait.
aws:waitForAwsResourceProperty- tunggu instance pengujian menjadi instance terkelola.

(Pembersihan) Jika langkah gagal:

aws:deleteStack- hapus CloudFormation tumpukan dan semua sumber daya terkait.
aws:runCommand- instal CloudWatch agen pada contoh pengujian.

(Pembersihan) Jika langkah gagal:

aws:deleteStack- hapus CloudFormation tumpukan dan semua sumber daya terkait.
aws:runCommand- tentukan skrip pengujian jaringan (MTR, ping, tracepath, dan traceroute) untuk masing-masing yang disediakan. IPs

(Pembersihan) Jika langkah gagal:

aws:deleteStack- hapus CloudFormation tumpukan dan semua sumber daya terkait.
aws:runCommand- memulai tes jaringan dan menjadwalkan eksekusi berikutnya menggunakan cronjobs yang berjalan setiap menit. TestInterval

(Pembersihan) Jika langkah gagal:

aws:deleteStack- hapus CloudFormation tumpukan dan semua sumber daya terkait.
aws:runCommand- konfigurasikan CloudWatch agen untuk mendorong hasil tes dari /home/ec2-user/logs/ ke CloudWatch Log.

(Pembersihan) Jika langkah gagal:

aws:deleteStack- hapus CloudFormation tumpukan dan semua sumber daya terkait.
aws:runCommand- konfigurasikan rotasi log untuk hasil tes di/home/ec2-user/logs/.
aws:executeScript- atur kebijakan retensi untuk semua grup CloudWatch log yang dibuat oleh CloudFormation tumpukan.
aws:executeScript- buat filter metrik grup CloudWatch log untuk latensi ping dan kehilangan paket ping.

(Pembersihan) Jika langkah gagal:

aws:deleteStack- hapus CloudFormation tumpukan dan semua sumber daya terkait.
aws:executeScript- Perbarui CloudWatch dasbor untuk menyertakan widget untuk latensi ping dan statistik kehilangan paket ping.

(Pembersihan) Jika langkah gagal:

aws:executeAwsApi- hapus CloudWatch dasbor, jika ada.

aws:deleteStack- hapus CloudFormation tumpukan dan semua sumber daya terkait.
aws:branch- mengevaluasi SleepTime parameter. Jika disetel ke0, otomatisasi berakhir tanpa menghapus tumpukan.
aws:sleep- tunggu SleepTime durasi yang ditentukan sebelum menghapus CloudFormation tumpukan.
aws:deleteStack- Hapus CloudFormation tumpukan. Berdasarkan RetainDashboardAndLogsOnDeletion parameter, CloudWatch dasbor dan grup log dipertahankan atau dihapus.

(Pembersihan) Jika penghapusan tumpukan gagal:

aws:executeScript- jelaskan peristiwa CloudFormation tumpukan untuk mengidentifikasi alasan kegagalan penghapusan.

Keluaran

updateCloudWatchDasbor. StackUrl - URL CloudFormation tumpukan.

updateCloudWatchDasbor. DashboardUrl - URL CloudWatch dasbor.

updateCloudWatchDasbor. DashboardName - nama CloudWatch dasbor.

updateCloudWatchDasbor. LogGroups - daftar grup CloudWatch log yang dibuat.

describeStackResources. HelperInstanceId - ID contoh uji.

describeStackResources. StackName - nama CloudFormation tumpukan.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

AWSConfigRemediation-RemoveVPCDefaultSecurityGroupRules

AWSSupport-TerminateIPMonitoringFromVPC