本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # `AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2` **描述** `AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2`运行手册分析了从亚马逊弹性计算云 (Amazon EC2) 实例或弹性网络接口到终端节点的连接。 AWS 服务 IPv6 不支持。运行手册使用您为 `ServiceEndpoint` 参数指定的值来分析与端点的连接。如果在您的 VPC 中找不到 AWS PrivateLink 端点,运行手册将使用当前 AWS 区域中的服务的公有 IP 地址。此自动化使用 Amazon Virtual Private Cloud 中的 Reachability Analyzer。有关更多信息,请参阅 *Reachability Analyzer* 中的 [什么是 Reachability Analyzer?](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html)。 此自动化将检查以下事项: + 检查您的虚拟私有云(VPC)是否配置为使用 Amazon 提供的 DNS 服务器。 + 检查您指定的 VPC 中是否存在 AWS PrivateLink 终端节点。 AWS 服务 如果找到一个端点,自动化将验证 `privateDns` 属性是否已开启。 + 检查 AWS PrivateLink 终端节点是否使用默认终端节点策略。 **注意事项** + 每次在来源和目标之间运行分析时,您需要支付费用。有关更多信息,请参阅 [Amazon VPC 定价](https://aws.amazon.com/vpc/pricing/)。 + 在自动化过程中,将创建网络洞察路径和网络洞察分析。如果自动化成功完成,运行手册将删除这些资源。如果清理步骤失败,则运行手册不会删除网络洞察路径,您需要手动将其删除。如果您不手动删除网络洞察路径,则该路径将继续计入您的 AWS 账户配额。有关 Reachability Analyzer 配额的更多信息,请参阅 *Reachability Analyzer* 中的 [Reachability Analyzer 配额](https://docs.aws.amazon.com//vpc/latest/reachability/reachability-analyzer-limits.html)。 + 即使 Reachability Analyzer 返回 `PASS`,操作系统级配置(例如使用代理、本地 DNS 解析器或主机文件)也会影响连接。 + 查看对 Reachability Analyzer 执行的所有检查的评估。如果任何检查返回的状态为 `FAIL`,那么,即使整体可达性检查返回的状态为 `PASS`,也可能会影响连接性。 [运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2) **文档类型** 自动化 **所有者** Amazon **平台** Linux、macOS、Windows **参数** + AutomationAssumeRole 类型:字符串 描述:(可选)允许 Systems Manager Automation 代表您执行操作 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。如果未指定角色,Systems Manager Automation 将使用启动此运行手册的用户的权限。 + 来源 类型:字符串 描述:(必需)您要分析自其的可达性的 Amazon EC2 实例或网络接口的 ID。 + ServiceEndpoint 类型:字符串 描述:(必需)您要分析到其的可达性的服务端点的主机名。 + RetainVpcReachabilityAnalysis 类型:字符串 默认:false 描述:(可选)确定是否保留所创建的网络洞察路径和相关分析。默认情况下,用于分析可达性的资源将在成功分析后删除。如果您选择保留分析,则运行手册不会删除该分析,您可以在 Amazon VPC 控制台将其可视化。自动化输出中提供了控制台链接。 **所需的 IAM 权限** `AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。 + `ec2:CreateNetworkInsightsPath` + `ec2:DeleteNetworkInsightsAnalysis` + `ec2:DeleteNetworkInsightsPath` + `ec2:DescribeAvailabilityZones` + `ec2:DescribeCustomerGateways` + `ec2:DescribeDhcpOptions` + `ec2:DescribeInstances` + `ec2:DescribeInternetGateways` + `ec2:DescribeManagedPrefixLists` + `ec2:DescribeNatGateways` + `ec2:DescribeNetworkAcls` + `ec2:DescribeNetworkInsightsAnalyses` + `ec2:DescribeNetworkInsightsPaths` + `ec2:DescribeNetworkInterfaces` + `ec2:DescribePrefixLists` + `ec2:DescribeRegions` + `ec2:DescribeRouteTables` + `ec2:DescribeSecurityGroups` + `ec2:DescribeSubnets` + `ec2:DescribeTransitGatewayAttachments` + `ec2:DescribeTransitGatewayPeeringAttachments` + `ec2:DescribeTransitGatewayConnects` + `ec2:DescribeTransitGatewayRouteTables` + `ec2:DescribeTransitGateways` + `ec2:DescribeTransitGatewayVpcAttachments` + `ec2:DescribeVpcAttribute` + `ec2:DescribeVpcEndpoints` + `ec2:DescribeVpcEndpointServiceConfigurations` + `ec2:DescribeVpcPeeringConnections` + `ec2:DescribeVpcs` + `ec2:DescribeVpnConnections` + `ec2:DescribeVpnGateways` + `ec2:GetManagedPrefixListEntries` + `ec2:GetTransitGatewayRouteTablePropagations` + `ec2:SearchTransitGatewayRoutes` + `ec2:StartNetworkInsightsAnalysis` + `elasticloadbalancing:DescribeListeners` + `elasticloadbalancing:DescribeLoadBalancerAttributes` + `elasticloadbalancing:DescribeLoadBalancers` + `elasticloadbalancing:DescribeRules` + `elasticloadbalancing:DescribeTags` + `elasticloadbalancing:DescribeTargetGroups` + `elasticloadbalancing:DescribeTargetHealth` + `tiros:CreateQuery` + `tiros:GetQueryAnswer` + `tiros:GetQueryExplanation` **文档步骤** 1. `aws:executeScript`:通过尝试解析主机名来验证服务端点。 1. `aws:executeScript`:收集有关 VPC 和子网的详细信息。 1. `aws:executeScript`:评估 VPC 的 DNS 配置。 1. `aws:executeScript`:评估 VPC 端点检查。 1. `aws:executeScript`:找到要连接到公共服务端点的互联网网关。 1. `aws:executeScript`:确定要用于可达性分析的目的地。 1. `aws:executeScript`:使用 Reachability Analyzer 分析从来源到端点的可达性,并在分析成功时清理资源。 1. `aws:executeScript`:生成可达性评估报告。 1. `aws:executeScript`:生成 JSON 形式的输出。 **输出** + `generateReport.EvalReport` - 自动化系统所执行检查的结果,采用文本格式。 + `generateJsonOutput.Output` - 结果的最小版本,采用 JSON 格式。