AWSSupport-SetupIPMonitoringFromVPC - AWS Systems Manager Riferimento all'Automation Runbook

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWSSupport-SetupIPMonitoringFromVPC

Descrizione

AWSSupport-SetupIPMonitoringFromVPCcrea un'istanza Amazon Elastic Compute Cloud (Amazon EC2) nella sottorete specificata e monitora il IPs target IPv4 ( IPv6o) selezionato eseguendo continuamente test ping, MTR, traceroute e tracetcp. I risultati vengono archiviati nei log di Amazon CloudWatch Logs e vengono applicati filtri metrici per visualizzare rapidamente le statistiche sulla latenza e sulla perdita di pacchetti in una dashboard. CloudWatch

Informazioni aggiuntive

I dati di CloudWatch Logs possono essere utilizzati per la risoluzione dei problemi di rete e l'analisi del raggiungimento di una soglia di latenza. pattern/trends. Additionally, you can configure CloudWatch alarms with Amazon SNS notifications when packet loss and/or I dati possono essere utilizzati anche per aprire un caso Supporto AWS, per aiutare a isolare rapidamente un problema e ridurre i tempi di risoluzione durante l'analisi di un problema di rete.

Esegui questa automazione (console)

Tipo di documento

Automazione

Proprietario

Amazon

Piattaforme

LinuxmacOS, Windows

Parametri

  • AutomationAssumeRole

    Tipo: String

    Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.

  • CloudWatchLogGroupNamePrefix

    Tipo: String

    Impostazione predefinita: /AWSSupport-SetupIPMonitoringFromVPC

    Descrizione: (Facoltativo) Prefisso utilizzato per ogni gruppo di CloudWatch log creato per i risultati del test.

  • CloudWatchLogGroupRetentionInDays

    Tipo: String

    Valori validi: 1 | 3 | 5 | 7 | 14 | 30 | 60 | 90 | 120 | 150 | 180 | 365 | 400 | 545 | 731 | 1827 | 3653

    Impostazione predefinita: 7

    Descrizione: (facoltativo) numero di giorni che definisce l'intervallo di tempo durante il quale si desidera conservare i risultati del monitoraggio della rete.

  • InstanceType

    Tipo: String

    Valori validi: t2.micro | t2.small | t2.medium | t2.large | t3.micro | t3.small | t3.medium | t3.large | t4g.micro | t4g.small | t4g.medium | t4g.large

    Predefinito: t3.micro

    Descrizione: (Facoltativo) Il tipo di istanza EC2 per l' EC2istanza Rescue. Dimensione consigliata: t3.micro.

  • SubnetId

    Tipo: String

    Descrizione: (obbligatorio) ID sottorete dell'istanza di monitoraggio. Tieni presente che se specifichi una sottorete privata, devi assicurarti che sia disponibile l'accesso a Internet per consentire all'istanza di monitoraggio di configurare il test (ovvero installare l'agente CloudWatch Logs, interagire con Systems Manager e CloudWatch).

  • Obiettivo IPs

    Tipo: String

    Descrizione: (Obbligatorio) Elenco separato da virgole di IPv4s e/o IPv6s da monitorare. Gli spazi non sono consentiti. La dimensione massima è pari a 255 caratteri. Se si specifica un indirizzo IP non valido, l'automazione avrà esito negativo e verrà eseguito il rollback della configurazione dei test.

  • TestInstanceSecurityGroupId

    Tipo: String

    Descrizione: (Facoltativo) L'ID del gruppo di sicurezza per l'istanza di test. Se non viene specificato, l'automazione ne crea uno durante la creazione dell'istanza. Assicurati che il gruppo di sicurezza consenta l'accesso in uscita al monitoraggio IPs.

  • TestInstanceProfileName

    Tipo: String

    Descrizione: (Facoltativo) Il nome di un profilo di istanza IAM esistente per l'istanza di test. Se non viene specificato, l'automazione ne crea uno durante la creazione dell'istanza. Il ruolo deve avere le seguenti autorizzazioni:logs:CreateLogStream, logs:DescribeLogGroupslogs:DescribeLogStreams, e logs:PutLogEvents e la AWS Managed PolicyAmazonSSMManagedInstanceCore.

  • TestInterval

    Tipo: String

    Descrizione: (Facoltativo) Il numero di minuti tra gli intervalli di test. Il valore predefinito è 1 minuto e il massimo è 10 minuti.

  • RetainDashboardAndLogsOnDeletion

    Tipo: String

    Descrizione: (Facoltativo) False Specificare di eliminare la CloudWatch dashboard e i log di Amazon quando si elimina lo AWS AWS CloudFormation stack. Il valore predefinito è True. Per impostazione predefinita, la dashboard e i log vengono conservati e dovranno essere eliminati manualmente quando non sono più necessari.

Autorizzazioni IAM richieste

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

avvertimento

Si consiglia di passare TestInstanceProfileName parametri o garantire l'esistenza di protezioni di sicurezza per prevenire l'uso improprio delle autorizzazioni IAM mutabili.

Si consiglia di allegare all'utente che esegue l'automazione la policy gestita di Amazon SSMAutomation Role IAM. L'utente deve inoltre disporre della seguente policy associata al proprio account utente, gruppo o ruolo:

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Action": [
                "iam:CreateRole",
                "iam:CreateInstanceProfile",
                "iam:GetRole",
                "iam:GetInstanceProfile",
                "iam:DetachRolePolicy",
                "iam:AttachRolePolicy",
                "iam:PassRole",
                "iam:AddRoleToInstanceProfile",
                "iam:GetRolePolicy",
                "iam:RemoveRoleFromInstanceProfile",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DeleteInstanceProfile",
                "iam:PutRolePolicy",
                "iam:TagRole"
            ],
            "Resource": [
                "arn:aws:iam::111122223333:role/SetupIPMonitoringFromVPC*",
                "arn:aws:iam::111122223333:instance-profile/SetupIPMonitoringFromVPC*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:CreateChangeSet",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStacks",
                "cloudformation:DescribeStackEvents",
                "cloudwatch:PutDashboard",
                "cloudwatch:DeleteDashboards",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:CreateSecurityGroup",
                "ec2:CreateLaunchTemplate",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeImages",
                "ec2:DescribeSubnets",
                "ec2:DescribeInstanceTypes",
                "ec2:DescribeVpcs",
                "ec2:DeleteLaunchTemplate",
                "ec2:DeleteSecurityGroup",
                "ec2:RunInstances",
                "ec2:TerminateInstances",
                "ec2:DescribeInstanceStatus",
                "ec2:CreateTags",
                "ec2:AssignIpv6Addresses",
                "ec2:DescribeTags",
                "ec2:DescribeInstances",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeLaunchTemplates",
                "ec2:RevokeSecurityGroupEgress",
                "logs:CreateLogGroup",
                "logs:DeleteLogGroup",
                "logs:PutMetricFilter",
                "logs:PutRetentionPolicy",
                "logs:TagResource",
                "ssm:DescribeInstanceInformation",
                "ssm:GetParameter",
                "ssm:GetParameters",
                "ssm:SendCommand",
                "ssm:ListCommands",
                "ssm:ListCommandInvocations"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

Se viene fornito il TestInstanceProfileName parametro, non sono necessarie le seguenti autorizzazioni IAM per eseguire il runbook:

  • sono: CreateRole

  • sono: CreateInstanceProfile

  • sono: DetachRolePolicy

  • sono: AttachRolePolicy

  • sono: AddRoleToInstanceProfile

  • sono: RemoveRoleFromInstanceProfile

  • sono: DeleteRole

  • sono: DeleteRolePolicy

  • sono: DeleteInstanceProfile

Fasi del documento

  1. aws:executeAwsApi- descrivi la sottorete fornita per ottenere l'ID VPC IPv6 e lo stato di associazione dei blocchi CIDR.

  2. aws:executeScript- verifica che il target fornito sia sintatticamente corretto IPv4 e/o che IPv6 gli indirizzi IPs siano corretti, ottieni l'architettura del tipo di istanza selezionato e verifica che la sottorete abbia un'associazione di IPv6 pool se esiste un IP di destinazione. IPv6

  3. aws:createStack- crea uno AWS CloudFormation stack che esegua il provisioning dell'istanza Amazon EC2 di test, del profilo dell'istanza IAM (se non fornito), del gruppo di sicurezza (se non fornito) CloudWatch , dei gruppi di log e del dashboard. CloudWatch

    (Pulizia) Se la fase ha esito negativo:

    aws:executeScript- descrivi gli eventi dello CloudFormation stack per identificare il motivo dell'errore.

    aws:deleteStack- elimina lo CloudFormation stack e tutte le risorse associate.

  4. aws:waitForAwsResourceProperty- attendi che lo CloudFormation stack completi la creazione.

    (Pulizia) Se la fase ha esito negativo:

    aws:executeScript- descrivi gli eventi CloudFormation dello stack per identificare il motivo dell'errore.

    aws:deleteStack- elimina lo CloudFormation stack e tutte le risorse associate.

  5. aws:executeScript- descrivi le risorse CloudFormation dello stack per ottenere l'ID dell'istanza di test, l'ID del gruppo di sicurezza, il ruolo IAM, il profilo dell'istanza e il nome della dashboard.

    (Pulizia) Se la fase ha esito negativo:

    aws:executeScript- descrivi gli eventi CloudFormation dello stack per identificare il motivo dell'errore.

    aws:deleteStack- elimina lo CloudFormation stack e tutte le risorse associate.

  6. aws:waitForAwsResourceProperty- attendi che l'istanza di test diventi un'istanza gestita.

    (Pulizia) Se la fase ha esito negativo:

    aws:deleteStack- elimina lo CloudFormation stack e tutte le risorse associate.

  7. aws:runCommand- installa l' CloudWatch agente sull'istanza di test.

    (Pulizia) Se la fase ha esito negativo:

    aws:deleteStack- elimina lo CloudFormation stack e tutte le risorse associate.

  8. aws:runCommand- definire gli script di test di rete (MTR, ping, tracepath e traceroute) per ciascuno dei programmi forniti. IPs

    (Pulizia) Se la fase ha esito negativo:

    aws:deleteStack- elimina lo stack e tutte le risorse associate CloudFormation .

  9. aws:runCommand- avvia i test di rete e pianifica le esecuzioni successive utilizzando cronjobs che vengono eseguiti ogni minuto. TestInterval

    (Pulizia) Se la fase ha esito negativo:

    aws:deleteStack- elimina lo CloudFormation stack e tutte le risorse associate.

  10. aws:runCommand- configura l' CloudWatch agente per inviare i risultati dei test /home/ec2-user/logs/ ai CloudWatch registri.

    (Pulizia) Se la fase ha esito negativo:

    aws:deleteStack- elimina lo CloudFormation stack e tutte le risorse associate.

  11. aws:runCommand- configura la rotazione dei log per i risultati del test in/home/ec2-user/logs/.

  12. aws:executeScript- imposta la politica di conservazione per tutti i gruppi di CloudWatch log creati dallo CloudFormation stack.

  13. aws:executeScript- crea filtri metrici dei gruppi di CloudWatch log per la latenza del ping e la perdita di pacchetti di ping.

    (Pulizia) Se la fase ha esito negativo:

    aws:deleteStack- elimina lo CloudFormation stack e tutte le risorse associate.

  14. aws:executeScript- aggiorna la CloudWatch dashboard per includere widget per le statistiche sulla latenza del ping e sulla perdita di pacchetti ping.

    (Pulizia) Se la fase ha esito negativo:

    aws:executeAwsApi- elimina la CloudWatch dashboard, se esiste.

    aws:deleteStack- elimina lo CloudFormation stack e tutte le risorse associate.

  15. aws:branch- valuta il SleepTime parametro. Se impostato su0, l'automazione termina senza eliminare lo stack.

  16. aws:sleep- attendi la SleepTime durata specificata prima di eliminare lo stack. CloudFormation

  17. aws:deleteStack- elimina lo stack CloudFormation . In base al RetainDashboardAndLogsOnDeletion parametro, il CloudWatch pannello di controllo e i gruppi di log vengono mantenuti o eliminati.

    (Pulizia) Se l'eliminazione dello stack non riesce:

    aws:executeScript- descrivi gli eventi dello CloudFormation stack per identificare il motivo dell'errore di eliminazione.

Output

updateCloudWatchPannello di controllo. StackUrl - l'URL dello CloudFormation stack.

updateCloudWatchPannello di controllo. DashboardUrl - l'URL del CloudWatch pannello di controllo.

updateCloudWatchPannello di controllo. DashboardName - il nome del CloudWatch pannello di controllo.

updateCloudWatchPannello di controllo. LogGroups - l'elenco dei gruppi di CloudWatch log creati.

describeStackResources. HelperInstanceId - l'ID dell'istanza di test.

describeStackResources. StackName - il nome CloudFormation dello stack.