View a markdown version of this page

AWSSupport-TroubleshootVPN - AWS Systems Manager Referência do Automation Runbook

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSSupport-TroubleshootVPN

Descrição

O AWSSupport-TroubleshootVPN runbook ajuda você a rastrear e resolver erros em uma AWS Site-to-Site VPN conexão. A automação inclui várias verificações automatizadas projetadas para rastrear IKEv1 IKEv2 erros relacionados aos túneis de AWS Site-to-Site VPN conexão. A automação tenta combinar erros específicos e sua resolução correspondente forma uma lista de problemas comuns.

Observação: esta automação não corrige os erros. Ele é executado no intervalo de tempo mencionado e verifica o grupo de registros em busca de erros no grupo de CloudWatch registros de VPN.

Como funciona?

O runbook executa uma validação de parâmetros para confirmar se o grupo de CloudWatch log da Amazon incluído no parâmetro de entrada existe, se há algum fluxo de log no grupo de log que corresponde ao registro de túneis VPN, se existe o ID de conexão VPN e se o endereço IP do túnel existe. Ele faz chamadas à API Logs Insights em seu grupo de CloudWatch registros que estão configuradas para registro de VPN.

Tipo de documento

Automação

Proprietário

Amazon

Plataformas

Linux, macOS, Windows

Parâmetros

  • AutomationAssumeRole

    Tipo: String

    Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.

  • LogGroupName

    Tipo: string

    Descrição: (Obrigatório) O nome do grupo de CloudWatch log da Amazon configurado para registro de AWS Site-to-Site VPN conexão

    Allowed-pattern: ^[\.\-_/#A-Za-z0-9]{1,512}

  • VpnConnectionId

    Tipo: string

    Descrição: (Obrigatório) O ID de AWS Site-to-Site VPN conexão a ser solucionado.

    Allowed-pattern: ^vpn-[0-9a-f]{8,17}$

  • TunnelAIPAddress

    Tipo: string

    Descrição: (obrigatório) o endereço IPv4 número 1 do túnel associado ao seu AWS Site-to-Site VPN.

    Allowed-pattern: ^((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)[.]){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?){1}$

  • TunnelBIPAddress

    Tipo: string

    Descrição: (opcional) o endereço IPv4 do túnel número 2 associado ao seu AWS Site-to-Site VPN.

    Allowed-pattern: ^((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)[.]){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?){1}|^$

  • IKEVersion

    Tipo: string

    Descrição: (obrigatório) selecione a versão do IKE que você está usando. Valores permitidos: IKEv1, IKEv2

    Valores válidos: ['IKEv1', 'IKEv2']

  • StartTimeinEpoch

    Tipo: string

    Descrição: (opcional) horário de início da análise de logs. Você pode usar StartTimeinEpoch/EndTimeinEpoch ou LookBackPeriod para análise de registros

    Allowed-pattern: ^\d{10}|^$

  • EndTimeinEpoch

    Tipo: string

    Descrição: (opcional) horário de término da análise de logs. Você pode usar StartTimeinEpoch/EndTimeinEpoch ou LookBackPeriod para análise de registros. Se dado ambos StartTimeinEpoch/EndTimeinEpoch e, em LookBackPeriod seguida, LookBackPeriod tem precedência

    Allowed-pattern: ^\d{10}|^$

  • LookBackPeriod

    Tipo: string

    Descrição: (opcional) tempo de dois dígitos em horas para analisar o log. Intervalo válido: de 01 a 99 Esse valor tem precedência se você também fornecer StartTimeinEpoch e EndTime

    Allowed-pattern: ^(\d?[1-9]|[1-9]0)|^$

Permissões obrigatórias do IAM

O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.

  • logs:DescribeLogGroups

  • logs:GetQueryResults

  • logs:DescribeLogStreams

  • logs:StartQuery

  • ec2:DescribeVpnConnections

Instruções

Observação: essa automação funciona nos grupos de CloudWatch registros configurados para o registro de túneis VPN, quando o formato de saída do registro é JSON.

Siga estas etapas para configurar a automação:

  1. Navegue até o AWSSupport-TroubleshootVPNno AWS Systems Manager console.

  2. Você pode usar os seguintes parâmetros de entrada:

    • AutomationAssumeRole (Opcional):

      O Amazon Resource Name (ARN) da função AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation execute as ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.

    • LogGroupName (Obrigatório):

      O nome do grupo de CloudWatch registros da Amazon a ser validado. Esse deve ser o grupo de CloudWatch registros configurado para o envio de registros pela VPN.

    • VpnConnectionId (Obrigatório):

      O ID de AWS Site-to-Site VPN conexão cujo grupo de registros é rastreado em busca de erro de VPN.

    • TunnelAIPAddress (obrigatório):

      O túnel Um endereço IP associado à sua AWS Site-to-Site VPN conexão.

    • TunnelBIPAddress (opcional):

      O endereço IP do túnel B associado à sua AWS Site-to-Site VPN conexão.

    • IKEVersion (obrigatório):

      Selecione qual versão de IKE você está usando. Valores permitidos: IKEv1, IKEv2.

    • StartTimeinEpoch (Opcional):

      O início do intervalo de tempo a ser consultado em busca de erros. O intervalo é inclusivo, portanto, o horário de início especificado é incluído na consulta. Especificado como horário epoch, o número de segundos desde 1º de janeiro de 1970, 00:00:00 UTC.

    • EndTimeinEpoch (Opcional):

      O final do intervalo de tempo a ser consultado em busca de erros. O intervalo é inclusivo, portanto, o horário final especificado é incluído na consulta. Especificado como horário epoch, o número de segundos desde 1º de janeiro de 1970, 00:00:00 UTC.

    • LookBackPeriod (Obrigatório):

      Tempo em horas para analisar a consulta em busca de erros.

    Nota: Configure um StartTimeinEpoch, EndTimeinEpoch, ou LookBackPeriod para fixar o intervalo de tempo para análise de log. Forneça um número de dois dígitos em horas para verificar se há erros no passado a partir do horário de início da automação. Ou, se o erro estiver no passado dentro de um intervalo de tempo específico, inclua StartTimeinEpoch e EndTimeinEpoch, em vez de LookBackPeriod.

    Formulário de parâmetros de entrada para validação de AWS Site-to-Site VPN conexão e análise de log.

  3. Selecione Executar.

  4. A automação é iniciada.

  5. O runbook de automação realiza as seguintes etapas:

    • parameterValidation:

      Executa uma série de validações nos parâmetros de entrada incluídos na automação.

    • filialOnValidationOfLogGroup:

      Verifica se o grupo de logs mencionado no parâmetro é válido. Se inválido, ele interrompe o início adicional das etapas de automação.

    • filialOnValidationOfLogStream:

      Verifica se o fluxo de log existe no grupo de CloudWatch log incluído. Se inválido, ele interrompe o início adicional das etapas de automação.

    • filialOnValidationOfVpnConnectionId:

      Verifica se o ID de conexão VPN incluído no parâmetro é válido. Se inválido, ele interrompe o início adicional das etapas de automação.

    • filialOnValidationOfVpnIp:

      Verifica se o endereço IP do túnel mencionado no parâmetro é válido ou não. Se inválido, ele interrompe a execução adicional das etapas de automação.

    • traceError:

      Faz uma chamada à API Logs Insight em seu grupo de registros incluído CloudWatch e pesquisa o erro relacionado IKEv1/IKEv2 junto com uma sugestão de resolução relacionada.

  6. Depois de concluído, revise a seção Outputs para obter os resultados detalhados da execução.

    Seção de saída mostrando resultados de validação de parâmetros e mensagens de erro para túneis VPN.

Referências

Automação do Systems Manager

AWS documentação de serviço