`AWSSupport-TroubleshootVPN`

Descripción

El AWSSupport-TroubleshootVPN manual le ayuda a rastrear y resolver los errores de una AWS Site-to-Site VPN conexión. La automatización incluye varias comprobaciones automatizadas diseñadas para rastrear IKEv1 IKEv2 los errores relacionados con los túneles de AWS Site-to-Site VPN conexión. La automatización intenta hacer coincidir errores específicos y su correspondiente resolución para formar una lista de problemas comunes.

Nota: Esta automatización no corrige los errores. Se ejecuta durante el intervalo de tiempo mencionado y escanea el grupo de registros en busca de errores en el grupo de VPN CloudWatch registros.

¿Cómo funciona?

El runbook ejecuta una validación de parámetros para confirmar si el grupo de CloudWatch registros de Amazon incluido en el parámetro de entrada existe, si hay algún flujo de registros en el grupo de registros que corresponda al registro de VPN túneles, si existe el identificador de VPN conexión y si existe la dirección IP del túnel. Realiza API llamadas de Logs Insights a su grupo de CloudWatch registros que están configurados para el VPN registro.

Tipo de documento

Automatización

Propietario

Amazon

Plataformas

Linux, macOS, Windows

Parámetros

AutomationAssumeRole

Tipo: cadena

Descripción: (opcional) El nombre del recurso de Amazon (ARN) del rol AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.
LogGroupName

Tipo: cadena

Descripción: (obligatorio) El nombre del grupo de CloudWatch registros de Amazon configurado para el registro de AWS Site-to-Site VPN conexiones

Valor permitido: ^[\.\-_/#A-Za-z0-9]{1,512}
VpnConnectionId

Tipo: cadena

Descripción: (Obligatorio) El identificador de AWS Site-to-Site VPN conexión que se va a solucionar.

Valor permitido: ^vpn-[0-9a-f]{8,17}$
T unnelAIPAddress

Tipo: cadena

Descripción: (Obligatoria) La IPv4 dirección número 1 del túnel asociada a su AWS Site-to-Site VPN.

Valor permitido: ^((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)[.]){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?){1}$
T unnelBIPAddress

Tipo: cadena

Descripción: (Opcional) La IPv4 dirección del túnel número 2 asociada a su AWS Site-to-Site VPN.

Valor permitido: ^((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)[.]){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?){1}|^$
IKEVersion

Tipo: cadena

Descripción: (Obligatorio) Seleccione IKE la versión que está utilizando. Valores permitidos:IKEv1, IKEv2

Valores válidos: ['IKEv1', 'IKEv2']
StartTimeinEpoch

Tipo: cadena

Descripción: (opcional) hora de inicio para el análisis de registro. Puede usar StartTimeinEpoch/EndTimeinEpoch o LookBackPeriod para el análisis de registros

Valor permitido: ^\d{10}|^$
EndTimeinEpoch

Tipo: cadena

Descripción: (opcional) hora de finalización para el análisis de registro. Puede usar StartTimeinEpoch/EndTimeinEpoch o LookBackPeriod para el análisis de registros. Si se proporcionan tanto StartTimeinEpoch/EndTimeinEpoch como LookBackPeriod , entonces, LookBackPeriod tiene prioridad

Valor permitido: ^\d{10}|^$
LookBackPeriod

Tipo: cadena

Descripción: (opcional) Tiempo de dos dígitos en horas para analizar el registro. Rango válido: 01 - 99. Este valor tiene prioridad si también se da y StartTimeinEpoch EndTime

Valor permitido: ^(\d?[1-9]|[1-9]0)|^$

Permisos necesarios IAM

El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.

logs:DescribeLogGroups
logs:GetQueryResults
logs:DescribeLogStreams
logs:StartQuery
ec2:DescribeVpnConnections

Instrucciones

Nota: Esta automatización funciona en los grupos de CloudWatch registros que están configurados para el registro de VPN túneles, cuando el formato de salida del registro es el indicadoJSON.

Siga estos pasos para configurar la automatización:

Navegue hasta la opción AWSSupport-Solución de problemas VPN en la AWS Systems Manager consola.
Para los parámetros de entrada, introduzca lo siguiente:
- AutomationAssumeRole (Opcional):
  
  El nombre del recurso de Amazon (ARN) de la función AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.
- LogGroupName (Obligatorio):
  
  El nombre del grupo de CloudWatch registros de Amazon que se va a validar. Debe ser el grupo de CloudWatch registros al que está configurado VPN el envío de registros.
- VpnConnectionId (Obligatorio):
  
  El identificador de AWS Site-to-Site VPN conexión cuyo grupo de registros se rastrea para VPN detectar errores.
- T unnelAIPAddress (obligatorio):
  
  La dirección IP del túnel A asociada a su AWS Site-to-Site VPN conexión.
- T unnelBIPAddress (opcional):
  
  La dirección IP del túnel B asociada a su AWS Site-to-Site VPN conexión.
- IKEVersion(Obligatorio):
  
  Selecciona lo IKEversion que estás usando. Valores permitidos:IKEv1,IKEv2.
- StartTimeinEpoch (Opcional):
  
  El comienzo del intervalo de tiempo para realizar la consulta en busca de errores. El rango es inclusivo, por lo que la hora de inicio especificada se incluye en la consulta. Especificada como tiempo de época, el número de segundos transcurridos desde el 1 de enero de 1970 a las 00:00:00 UTC horas.
- EndTimeinEpoch (Opcional):
  
  El final del intervalo de tiempo para buscar errores. El intervalo es inclusivo, por lo que la hora de finalización especificada se incluye en la consulta. Especificada como tiempo de época, el número de segundos transcurridos desde el 1 de enero de 1970 a las 00:00:00 UTC horas.
- LookBackPeriod (Obligatorio):
  
  Tiempo en horas para revisar la consulta en busca de errores.
Nota: Configure un StartTimeinEpoch EndTimeinEpoch, o LookBackPeriod para fijar el intervalo de tiempo para el análisis de registros. Indique un número de dos dígitos en horas para comprobar si hay errores en el pasado desde la hora de inicio de la automatización. O bien, si el error se produjo en el pasado dentro de un intervalo de tiempo específico, incluya StartTimeinEpoch y EndTimeinEpoch, en lugar de LookBackPeriod.
Seleccione Ejecutar.
Se inicia la automatización.
El manual de procedimientos de automatización realiza los siguientes pasos:
- parameterValidation:
  
  Ejecuta una serie de validaciones de los parámetros de entrada incluidos en la automatización.
- branchOnValidationOfLogGroup:
  
  Comprueba si el grupo de registro mencionado en el parámetro es válido. Si no es válido, detiene los siguientes pasos de la automatización.
- branchOnValidationOfLogStream:
  
  Comprueba si el flujo de registros existe en el grupo de CloudWatch registros incluido. Si no es válido, detiene los siguientes pasos de la automatización.
- branchOnValidationOfVpnConnectionId:
  
  Comprueba si el identificador de VPN conexión incluido en el parámetro es válido. Si no es válido, detiene los siguientes pasos de la automatización.
- branchOnValidationOfVpnIp:
  
  Comprueba si la dirección IP del túnel mencionada en el parámetro es válida o no. Si no es válida, detiene la ejecución posterior de los pasos de automatización.
- traceError:
  
  Realiza una API llamada a Registros Insight en el grupo de CloudWatch registros incluido y busca el error relacionado conIKEv1/IKEv2junto con una solución sugerida al respecto.
Una vez finalizada, consulte la sección de resultados para ver los resultados detallados de la ejecución.

Referencias

Automatización de Systems Manager

AWS documentación de servicio

Contenido de los registros de un sitio a otro VPN

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

AWSSupport-ConnectivityTroubleshooter

AWSConfigRemediation-DeleteEgressOnlyInternetGateway