AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 - AWS Systems Manager Referenz zum Automatisierungs-Runbook

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2

Beschreibung

Das AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 Runbook analysiert die Konnektivität von einer Amazon Elastic Compute Cloud (Amazon EC2)-Instance oder Elastic Network-Schnittstelle zu einem AWS-Service Endpunkt. IPv6 wird nicht unterstützt. Das Runbook verwendet den Wert, den Sie für den ServiceEndpoint Parameter angeben, um die Konnektivität zu einem Endpunkt zu analysieren. Wenn in Ihrer VPC kein AWS PrivateLink Endpunkt gefunden werden kann, verwendet das Runbook eine öffentliche IP-Adresse für den Service in der aktuellen AWS-Region. Diese Automatisierung verwendet Reachability Analyzer von Amazon Virtual Private Cloud . Weitere Informationen finden Sie unter Was ist Reachability Analyzer? in Reachability Analyzer.

Diese Automatisierung überprüft Folgendes:

  • Prüft, ob Ihre Virtual Private Cloud (VPC) für die Verwendung des von Amazon bereitgestellten DNS-Servers konfiguriert ist.

  • Prüft, ob in der VPC ein AWS PrivateLink Endpunkt für die AWS-Service von Ihnen angegebene vorhanden ist. Wenn ein Endpunkt gefunden wird, überprüft die Automatisierung, ob das privateDns Attribut aktiviert ist.

  • Prüft, ob der AWS PrivateLink Endpunkt die Standard-Endpunktrichtlinie verwendet.

Überlegungen

  • Sie zahlen pro Analyselauf zwischen einer Quelle und einem Ziel. Weitere Informationen dazu finden Sie unter Amazon VPC – Preise.

  • Während der Automatisierung werden ein Netzwerkerkenntnispfad und eine Netzwerkerkenntnisanalyse erstellt. Wenn die Automatisierung erfolgreich abgeschlossen wurde, löscht das Runbook diese Ressourcen. Wenn der Bereinigungsschritt fehlschlägt, wird der Pfad für Netzwerkerkenntnisse nicht vom Runbook gelöscht und Sie müssen ihn manuell löschen. Wenn Sie den Netzwerkerkenntnispfad nicht manuell löschen, wird er weiterhin auf das Kontingent für Ihr angerechnet AWS-Konto. Weitere Informationen zu Kontingenten für Reachability Analyzer finden Sie unter Kontingente für Reachability Analyzer in Reachability Analyzer.

  • Konfigurationen auf Betriebssystemebene wie die Verwendung eines Proxys, eines lokalen DNS-Resolvers oder einer Hostdatei können sich auf die Konnektivität auswirken, auch wenn Reachability Analyzer zurückgibtPASS.

  • Überprüfen Sie die Bewertung aller vom Reachability Analyzer durchgeführten Prüfungen. Wenn eine der Prüfungen den Status zurückgibtFAIL, kann sich dies auf die Konnektivität auswirken, auch wenn die gesamte Erreichbarkeitsprüfung den Status zurückgibtPASS.

Ausführen dieser Automatisierung (Konsole)

Dokumenttyp

Automatisierung

Eigentümer

Amazon

Plattformen

Linux, macOS, Windows

Parameter

  • AutomationAssumeRole

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM)-Rolle, die es Systems Manager Automation ermöglicht, die Aktionen in Ihrem Namen auszuführen. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.

  • Quelle

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Die ID der Amazon EC2-Instance oder der Netzwerkschnittstelle, von der aus Sie die Erreichbarkeit analysieren möchten.

  • ServiceEndpoint

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Der Hostname des Service-Endpunkts, für den Sie die Erreichbarkeit analysieren möchten.

  • RetainVpcReachabilityAnalysis

    Typ: Zeichenfolge

    Standard: false

    Beschreibung: (Optional) Bestimmt, ob der Netzwerkerkenntnispfad und die erstellte zugehörige Analyse beibehalten werden. Standardmäßig werden die Ressourcen, die für die Analyse der Erreichbarkeit verwendet werden, nach erfolgreicher Analyse gelöscht. Wenn Sie die Analyse beibehalten möchten, löscht das Runbook die Analyse nicht und Sie können sie in der Amazon-VPC-Konsole visualisieren. Ein Konsolenlink ist in der Automatisierungsausgabe verfügbar.

Erforderliche IAM-Berechtigungen

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.

  • ec2:CreateNetworkInsightsPath

  • ec2:DeleteNetworkInsightsAnalysis

  • ec2:DeleteNetworkInsightsPath

  • ec2:DescribeAvailabilityZones

  • ec2:DescribeCustomerGateways

  • ec2:DescribeDhcpOptions

  • ec2:DescribeInstances

  • ec2:DescribeInternetGateways

  • ec2:DescribeManagedPrefixLists

  • ec2:DescribeNatGateways

  • ec2:DescribeNetworkAcls

  • ec2:DescribeNetworkInsightsAnalyses

  • ec2:DescribeNetworkInsightsPaths

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribePrefixLists

  • ec2:DescribeRegions

  • ec2:DescribeRouteTables

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • ec2:DescribeTransitGatewayAttachments

  • ec2:DescribeTransitGatewayPeeringAttachments

  • ec2:DescribeTransitGatewayConnects

  • ec2:DescribeTransitGatewayRouteTables

  • ec2:DescribeTransitGateways

  • ec2:DescribeTransitGatewayVpcAttachments

  • ec2:DescribeVpcAttribute

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeVpcEndpointServiceConfigurations

  • ec2:DescribeVpcPeeringConnections

  • ec2:DescribeVpcs

  • ec2:DescribeVpnConnections

  • ec2:DescribeVpnGateways

  • ec2:GetManagedPrefixListEntries

  • ec2:GetTransitGatewayRouteTablePropagations

  • ec2:SearchTransitGatewayRoutes

  • ec2:StartNetworkInsightsAnalysis

  • elasticloadbalancing:DescribeListeners

  • elasticloadbalancing:DescribeLoadBalancerAttributes

  • elasticloadbalancing:DescribeLoadBalancers

  • elasticloadbalancing:DescribeRules

  • elasticloadbalancing:DescribeTags

  • elasticloadbalancing:DescribeTargetGroups

  • elasticloadbalancing:DescribeTargetHealth

  • tiros:CreateQuery

  • tiros:GetQueryAnswer

  • tiros:GetQueryExplanation

Dokumentschritte

  1. aws:executeScript: Validiert den Service-Endpunkt, indem versucht wird, den Hostnamen aufzulösen.

  2. aws:executeScript: Sammelt Details zur VPC und zum Subnetz.

  3. aws:executeScript: Wertet die DNS-Konfiguration der VPC aus.

  4. aws:executeScript: Wertet die VPC-Endpunktprüfungen aus.

  5. aws:executeScript: Lokalisiert ein Internet-Gateway, um eine Verbindung zum öffentlichen Service-Endpunkt herzustellen.

  6. aws:executeScript: Bestimmt das Ziel, das für die Erreichbarkeitsanalyse verwendet werden soll.

  7. aws:executeScript: Analysiert die Erreichbarkeit von der Quelle zum Endpunkt mithilfe von Reachability Analyzer und bereinigt die Ressourcen, wenn die Analyse erfolgreich ist.

  8. aws:executeScript: Generiert einen Bericht zur Bewertung der Erreichbarkeit.

  9. aws:executeScript: Generiert die Ausgabe in JSON.

Ausgaben

  • generateReport.EvalReport – Die Ergebnisse der von der Automatisierung durchgeführten Prüfungen im Textformat.

  • generateJsonOutput.Output – Eine minimale Version der Ergebnisse im JSON-Format.