Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Solución de problemas de redes de VPC
<a name="vpc-troubleshooting-guide"></a>

**Topics**
+ [Supervisión y solución de problemas de redes](#vpc-network-monitoring-troubleshooting)
+ [Solución de problemas de configuración](#vpc-configuration-troubleshooting)

## Supervisión y solución de problemas de redes
<a name="vpc-network-monitoring-troubleshooting"></a>

### CloudTrail registro
<a name="vpc-cloudtrail"></a>

Se inicia sesión en todas las operaciones de la API de configuración y el flujo de trabajo que se ejecutan mediante redes de VPC. CloudTrail Se utiliza CloudTrail para auditar los cambios de configuración y realizar un seguimiento de las ejecuciones que utilizan redes de VPC.

### Solución de problemas con los registros de flujo de ENI
<a name="vpc-flow-logs-troubleshooting"></a>

Cuando su flujo de trabajo ejecute el acceso a recursos externos a través de Internet, puede usar los registros de flujo de VPC para verificar la conectividad y diagnosticar problemas. HealthOmics aprovisiona interfaces de red elásticas (ENIs) en las subredes de VPC para enrutar el tráfico de las tareas de flujo de trabajo. Al examinar los registros de flujo que contienen ENIs, puedes rastrear el tráfico de red hacia y desde destinos externos.

**Administración de costos para registros de flujo de VPC**  
Los registros de flujo de VPC pueden generar costes importantes, especialmente a nivel de VPC. Para minimizar los costos:  
**Elimine los registros de flujo después de solucionar el problema.** Una vez que haya resuelto los problemas de conectividad, elimine el registro de flujo para dejar de incurrir en cargos.
**Utilice Amazon S3 en lugar de CloudWatch Logs para el almacenamiento prolongado.** El almacenamiento de Amazon S3 es considerablemente más económico que el de CloudWatch Logs. Configure los registros de flujo para que se publiquen en Amazon S3 si necesita conservar los registros para realizar análisis de conformidad o seguridad.
**Establezca políticas de retención de CloudWatch registros.** Si utilizas CloudWatch registros, configura la caducidad automática de los registros (por ejemplo, 7 días) para evitar costes de almacenamiento indefinidos.
**Utilice los registros de flujo de nivel ENI para solucionar problemas.** Para una depuración única, cree registros de flujo en el ENI del cliente específico en lugar de en toda la VPC.

#### Configurar los registros de flujo para la solución de problemas
<a name="vpc-flow-logs-setup"></a>

**Opción 1: registros de flujo a nivel de VPC (para monitoreo continuo)**

Habilite los registros de flujo en su VPC para capturar automáticamente el tráfico de todas las ejecuciones del HealthOmics flujo de trabajo. Esto es lo mejor si tiene muchas ejecuciones de flujo de trabajo y desea una visibilidad completa sin tener que realizar un seguimiento individual ENIs.

1. **Habilite los registros de flujo de VPC.** En la consola de Amazon VPC:

   1. Elija **su** VPC VPCs y seleccione la VPC utilizada en su configuración HealthOmics

   1. Elija la pestaña **Registros de flujo**

   1. Seleccione **Crear registro de flujo**

   1. Configure el registro de flujo para capturar **todo** el tráfico (tanto el aceptado como el rechazado)

   1. Seleccione CloudWatch Registros como destino para facilitar las consultas

1. **Inicie una ejecución de flujo de trabajo.** Inicie una ejecución de flujo de trabajo con las redes de VPC habilitadas. Anote el ID de ejecución y la hora de inicio para filtrar los registros de flujo más adelante.

Consulte los registros de flujo mediante CloudWatch Logs Insights por intervalo de tiempo, IP de destino o patrones de tráfico. No es necesario identificar un ENI específico IDs.

**Opción 2: registros de flujo a nivel de ENI (para una solución de problemas específica)**

Activa los registros de flujo en determinados ENIs casos en los que solo tengas unos pocos HealthOmics ENIs en tu cuenta. Este es el enfoque más rentable y facilita el aislamiento del tráfico para flujos de trabajo específicos.

1. **Encuentre al cliente ENI.** En la consola Amazon EC2:

   1. Elija las interfaces **de red**

   1. Filtre por etiqueta `Service: HealthOmics` para mostrar solo las ENIs creadas por HealthOmics

   1. Si lo desea, filtre aún más por el ID de subred de su configuración HealthOmics 

   1. Anote el ID de ENI y la dirección IP privada

1. **Habilite los registros de flujo en el ENI.**

   1. Seleccione el ENI y elija la pestaña **Registros de flujo**

   1. Elija **Crear registro de flujo**

   1. Configure el registro de flujo para capturar **todo** el tráfico

   1. Seleccione CloudWatch Registros como destino

**nota**  
Los registros de flujo solo capturan el tráfico desde el momento en que están habilitados. Para los registros de flujo a nivel de VPC, habilítelos antes de ejecutar los flujos de trabajo. En el caso de los registros de flujo a nivel ENI, una vez habilitados en un ENI, el mismo registro de flujo capturará el tráfico de todas las futuras ejecuciones de flujo de trabajo que utilicen ese ENI.

#### Descripción del formato de registro de flujo de VPC
<a name="vpc-flow-logs-analyzing"></a>

Los registros de flujo de VPC utilizan un formato separado por espacios con los siguientes campos:

```
version account_id interface_id srcaddr dstaddr srcport dstport protocol packets bytes start end action log_status
```

**Descripciones de los campos:**
+ **versión: versión** con formato de registro de flujo (normalmente 2)
+ **account\$1id: el ID de tu** cuenta AWS 
+ **interface\$1id: el ID del** ENI (por ejemplo, eni-0e57c5476efeac402)
+ **srcaddr**: dirección IP de origen
+ **dstaddr — Dirección IP de destino**
+ **srcport**: número de puerto de origen
+ **dstport: número de puerto de destino**
+ **protocolo**: número de protocolo de la IANA (6 = TCP, 17 = UDP, 1 = ICMP)
+ **paquetes: número de paquetes en el flujo**
+ **bytes**: número de bytes en el flujo
+ **inicio**: hora de inicio del flujo (marca de tiempo de Unix)
+ **final**: hora de finalización del flujo (marca de tiempo de Unix)
+ **acción: ACEPTAR** o RECHAZAR
+ **log\$1status**: OK, NODATA o SKIPDATA

**Ejemplos de entradas de registro de flujo:**

```
2 074296239033 eni-0e57c5476efeac402 10.0.130.58 13.226.238.96 40565 443 6 13 1502 1774338927 1774338929 ACCEPT OK
2 074296239033 eni-0e57c5476efeac402 13.226.238.96 10.0.130.58 443 40565 6 8 1024 1774338928 1774338930 ACCEPT OK
```

Estas entradas muestran una comunicación HTTPS bidireccional correcta. Clave IPs: **10.0.130.58** es el ENI del cliente que creó HealthOmics en su cuenta y **13.226.238.96** es el dominio público externo al que accede su flujo de trabajo. La primera entrada es el tráfico saliente y la segunda es el tráfico de retorno. Ambos muestran ACCEPT, lo que indica que los grupos de seguridad permitieron el tráfico.

#### Consultando los registros de flujo en CloudWatch Logs Insights
<a name="vpc-flow-logs-querying"></a>

Cuando los registros de flujo se publiquen en CloudWatch Logs, utilice CloudWatch Logs Insights para consultar y analizar los datos.

**Encuentra el tráfico rechazado (empieza aquí)**

```
fields @timestamp, interfaceId, srcAddr, dstAddr, srcPort, dstPort, protocol, action
| filter action = "REJECT"
| sort @timestamp desc
```

Si esto arroja resultados, es posible que tengas un problema de conectividad. Las entradas rechazadas muestran qué tráfico están bloqueando los grupos de seguridad o la red ACLs.

**Busque el tráfico a una IP externa específica**

En primer lugar, resuelva el dominio en una dirección IP mediante `nslookup` o`dig`:

```
$ nslookup ftp.ncbi.nlm.nih.gov
Server:  127.53.53.53
Address: 127.53.53.53#53

Non-authoritative answer:
ftp.ncbi.nlm.nih.gov    canonical name = ftp.wip.ncbi.nlm.nih.gov.
Name:    ftp.wip.ncbi.nlm.nih.gov
Address: 130.14.250.10
Name:    ftp.wip.ncbi.nlm.nih.gov
Address: 130.14.250.11
```

El «Servidor» y la «Dirección» de la parte superior representan tu resolución de DNS. Las direcciones que aparecen en la sección «Respuesta no autorizada» (130.14.250.10 y 130.14.250.11) son las reales del dominio. IPs 

Los registros del flujo de consultas utilizan un prefijo que coincida con cualquier IP de ese rango:

```
fields @timestamp, interfaceId, srcAddr, dstAddr, srcPort, dstPort, protocol, action
| filter dstAddr like "130.14.250"
| sort @timestamp desc
```

Coincide con cualquier IP que comience por 130.14.250 y captura el tráfico dirigido a toda IPs la subred.

**Encuentra el tráfico HTTPS dirigido a destinos externos**

```
fields @timestamp, interfaceId, srcAddr, dstAddr, srcPort, dstPort, protocol, action
| filter dstPort = 443 and protocol = 6
| filter not (dstAddr like /^10\./ or dstAddr like /^172\./ or dstAddr like /^192\.168\./)
| sort @timestamp desc
```

El segundo filtro excluye los rangos de IP privadas y muestra solo el tráfico a destinos externos (públicos).

**nota**  
Números de protocolo: 6 = TCP, 17 = UDP, 1 = ICMP. En el caso de los servicios con equilibrio de carga (por ejemplo, CloudFront), el DNS puede devolver datos diferentes, por lo que debe filtrar por puerto de destino en lugar de por IPs dirección IP.

#### Patrones y problemas comunes del registro de flujo
<a name="vpc-flow-logs-common-issues"></a>

**Tráfico saliente rechazado**  

```
Outbound: 2 074296239033 eni-0e57c5476efeac402 10.0.130.58 13.226.238.96 40565 443 6 1 60 1774338927 1774338929 REJECT OK
```
**Causa:** el grupo de seguridad no permite el tráfico saliente al puerto de destino o al rango de IP.  
**Solución:** agregue una regla de salida a su grupo de seguridad:  
+ Para HTTPS: permita que el puerto TCP 443 esté en 0.0.0.0/0
+ Para HTTP: permita que el puerto TCP 80 esté en 0.0.0.0/0
+ Para un acceso más amplio: permita que todos utilicen el 0.0.0.0/0 TCP/UDP 

**Tráfico de retorno rechazado**  

```
Outbound: 2 074296239033 eni-0e57c5476efeac402 10.0.130.58 8.8.8.8 54321 53 17 1 64 1774338927 1774338929 ACCEPT OK
Return:   2 074296239033 eni-0e57c5476efeac402 8.8.8.8 10.0.130.58 53 54321 17 1 64 1774338928 1774338930 REJECT OK
```
**Causa:** la ACL de red bloquea el tráfico de retorno. A diferencia de los grupos de seguridad (con estado), ACLs las redes no tienen estado y requieren reglas explícitas en ambas direcciones.  
**Solución:** en la consola de VPC, compruebe la ACL de la red de la subred y compruebe que las reglas de entrada permiten el tráfico en los puertos efímeros (1024-65535) desde fuentes externas. Agregue una regla si es necesario: permita los puertos 1024-65535 desde el 0.0.0.0/0 TCP/UDP 

**Falta tráfico de retorno**  

```
Outbound: 2 074296239033 eni-0e57c5476efeac402 10.0.130.58 8.8.8.8 54321 53 17 1 64 1774338927 1774338929 ACCEPT OK
```
**Causa:** la Gateway/Internet puerta de enlace NAT no está configurada correctamente o ENI no tiene conectividad a Internet.  
**Solución**:  
+ Compruebe que la tabla de rutas tenga una ruta a la puerta de enlace NAT (0.0.0.0/0 → nat-xxxxx)
+ Compruebe que la puerta de enlace NAT esté en estado DISPONIBLE con una IP elástica
+ Compruebe que la puerta de enlace NAT esté en una subred pública con una ruta a Internet Gateway

**No hay entradas de registro de flujo para el tráfico esperado**  
**Causa:** el tráfico no llega al ENI o los registros de flujo no están configurados correctamente.  
**Solución**:  
+ Compruebe que los registros de flujo estén habilitados y configurados para capturar todo el tráfico
+ Compruebe los registros del flujo de trabajo en CloudWatch los registros para confirmar que el flujo de trabajo está intentando acceder al recurso externo
+ Compruebe que la tabla de rutas tenga una ruta a la puerta de enlace NAT (0.0.0.0/0 → nat-xxxxx)
+ Compruebe que la puerta de enlace NAT esté en estado DISPONIBLE con una IP elástica

#### Mejores prácticas para la solución de problemas con los registros de flujo
<a name="vpc-flow-logs-best-practices"></a>

1. **Habilite los registros de flujo antes de iniciar la solución de problemas.** Los registros de flujo solo capturan el tráfico desde el momento en que están habilitados. Actívelos en todas las subredes de su HealthOmics configuración antes de ejecutar los flujos de trabajo.

1. **Utilice CloudWatch Logs Insights para el análisis.** CloudWatch Logs Insights proporciona potentes funciones de consulta para los registros de flujo. Guarde las consultas más utilizadas para un acceso rápido.

1. **Filtra por intervalo de tiempo.** Limite las consultas del registro de flujo al intervalo de tiempo específico en el que la ejecución del flujo de trabajo estaba activa para reducir el ruido y mejorar el rendimiento de las consultas.

1. **Busque las dos direcciones del tráfico.** Compruebe siempre que tanto el tráfico de ida como el de vuelta muestren la señal de ACEPTACIÓN. Una conexión requiere una comunicación bidireccional.

1. **Documente sus hallazgos.** Al solucionar problemas de conectividad, documente el ID de ENI del cliente, las direcciones IP, los puertos y las entradas del registro de flujo. Esta información es valiosa para los casos de soporte y la resolución de problemas en el futuro.

1. **Pruebe primero con un flujo de trabajo sencillo.** Antes de ejecutar flujos de trabajo complejos, pruebe la conectividad con un flujo de trabajo simple que intente acceder al recurso externo y registre el resultado. Esto ayuda a aislar los problemas de red de los problemas de lógica del flujo de trabajo.

## Solución de problemas de configuración
<a name="vpc-configuration-troubleshooting"></a>

### La configuración está atascada en el estado CREATING
<a name="vpc-ts-creating-status"></a>

**Causa:** el aprovisionamiento de recursos de red puede tardar varios minutos.

**Solución:** espere hasta 10 minutos. Si el estado no cambia a ACTIVO, compruebe lo siguiente:
+ Sus subredes y grupos de seguridad existen y se encuentran en la misma VPC.
+ Tiene los permisos de IAM necesarios.
+ El rol vinculado al servicio se creó correctamente.

### La ejecución no se inicia con la red de VPC
<a name="vpc-ts-run-fails"></a>

**Causa:** es posible que la configuración no esté ACTIVA o que haya problemas de conectividad de red.

**Solución**:
+ Compruebe que el estado de la configuración es ACTIVO mediante`GetConfiguration`.
+ Compruebe que las reglas del grupo de seguridad permiten el tráfico saliente necesario.
+ Asegúrese de que las subredes estén en las zonas de disponibilidad en las que HealthOmics opera.

### No se puede eliminar la configuración
<a name="vpc-ts-delete-config"></a>

**Causa:** las ejecuciones de flujo de trabajo activas utilizan la configuración.

**Solución:** espere a que se completen todas las ejecuciones que utilizan la configuración y, a continuación, vuelva a intentar la eliminación.

### No se puede eliminar el rol vinculado al servicio
<a name="vpc-ts-delete-slr"></a>

**Causa:** existen configuraciones de VPC activas en su cuenta.

**Solución:** elimine primero todas las configuraciones de VPC y, a continuación, elimine la función vinculada al servicio.

### El flujo de trabajo no puede conectarse a un recurso externo
<a name="vpc-ts-connectivity"></a>

**Causa:** configuración incorrecta del grupo de seguridad o de la tabla de enrutamiento.

**Solución**:

1. Habilite los registros de flujo de VPC para identificar los paquetes rechazados

1. Compruebe que las reglas de salida del grupo de seguridad permitan el tráfico hacia el destino

1. Compruebe que la tabla de rutas tenga una ruta a la puerta de enlace NAT (0.0.0.0/0 → nat-xxxxxx)

1. Para acceder al AWS servicio entre regiones, asegúrese de que se pueda acceder a la región de destino

1. Pruebe la conectividad desde una instancia de Amazon EC2 en la misma subred

### Problemas de rendimiento de la red
<a name="vpc-ts-performance"></a>

**Síntoma:** transferencia de datos lenta o tiempos de espera del flujo de trabajo.

**Causa:** limitaciones de rendimiento de la red o saturación de la puerta de enlace NAT.

**Solución**:
+ El rendimiento de la red comienza en 10 Gbps por ENI y se amplía hasta 100 Gbps en un período de 60 minutos con tráfico continuo
+ Para flujos de trabajo con requisitos inmediatos de alto rendimiento, póngase en contacto con Support AWS 
+ Supervise las métricas de NAT Gateway CloudWatch para identificar la saturación
+ Considere la posibilidad de implementar puertas de enlace NAT adicionales en varias zonas de disponibilidad para obtener un mayor rendimiento

### El flujo de trabajo no puede acceder a Internet
<a name="vpc-ts-no-internet"></a>

**Causa:** es posible que las subredes privadas no tengan una ruta a una puerta de enlace NAT o que las reglas del grupo de seguridad bloqueen el tráfico saliente.

**Solución**:
+ Compruebe que la tabla de rutas de sus subredes privadas incluya una ruta a una puerta de enlace NAT (0.0.0.0/0 → nat-xxxxxxxxx).
+ Compruebe que las reglas del grupo de seguridad permiten el tráfico saliente en los puertos necesarios.
+ Compruebe que la puerta de enlace NAT esté en una subred pública con una ruta a una puerta de enlace de Internet.

### La ejecución del flujo de trabajo falla debido a errores de conectividad
<a name="vpc-ts-connectivity-errors"></a>

**Causa:** es posible que el tráfico de red esté bloqueado o mal configurado.

**Solución**:

1. Compruebe que la configuración sigue en estado ACTIVO mediante`GetConfiguration`.

1. Cree un registro de flujo de VPC en su VPC para inspeccionar el ENIs tráfico. Para obtener más información, consulte [Logs de flujo de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) en la *Guía del usuario de Amazon VPC*.

1. Compruebe si hay entradas REJECT en el registro de flujo. Si ve paquetes rechazados, actualice las reglas del grupo de seguridad para permitir el tráfico saliente necesario.

1. Si el registro de flujo no revela una causa raíz, póngase en contacto con AWS Support.