View a markdown version of this page

Solução de problemas de rede VPC - AWS HealthOmics
Monitoramento e solução de problemas de redeSolução de problemas de configuração

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Solução de problemas de rede VPC

Monitoramento e solução de problemas de rede

CloudTrail registro

Todas as operações da API de configuração e as execuções de fluxo de trabalho usando a rede VPC estão logadas. CloudTrail Use CloudTrail para auditar as alterações de configuração e monitorar quais execuções usam a rede VPC.

Solução de problemas com registros de fluxo ENI

Quando seu fluxo de trabalho executa o acesso a recursos externos pela Internet, você pode usar os registros de fluxo de VPC para verificar a conectividade e diagnosticar problemas. HealthOmics provisiona interfaces de rede elásticas (ENIs) em suas sub-redes VPC para rotear o tráfego de suas tarefas de fluxo de trabalho. Ao examinar os registros de fluxo neles ENIs, você pode rastrear o tráfego de rede de e para destinos externos.

Gerenciamento de custos para registros de fluxo de VPC

Os registros de fluxo da VPC podem incorrer em custos significativos, especialmente no nível da VPC. Para minimizar os custos:

  • Exclua os registros de fluxo após a solução de problemas. Depois de resolver os problemas de conectividade, exclua o registro de fluxo para parar de incorrer em cobranças.

  • Use o Amazon S3 em vez do CloudWatch Logs para armazenamento a longo prazo. O armazenamento do Amazon S3 é significativamente mais barato do que CloudWatch o Logs. Configure registros de fluxo para publicar no Amazon S3 se precisar reter registros para análise de conformidade ou segurança.

  • Defina políticas de retenção de CloudWatch registros. Se estiver usando CloudWatch registros, configure a expiração automática dos registros (por exemplo, 7 dias) para evitar custos de armazenamento indefinidos.

  • Use registros de fluxo de nível ENI para solucionar problemas. Para uma depuração única, crie registros de fluxo na ENI específica do cliente, em vez de em toda a VPC.

Configurando registros de fluxo para solução de problemas

Opção 1: registros de fluxo em nível de VPC (para monitoramento contínuo)

Ative os registros de fluxo em sua VPC para capturar automaticamente o tráfego de todas as execuções do HealthOmics fluxo de trabalho. Isso é melhor quando você tem muitas execuções de fluxo de trabalho e deseja visibilidade abrangente sem rastrear indivíduos ENIs.

  1. Ative os registros de fluxo da VPC. No console da Amazon VPC:

    1. Escolha Seu VPCs e selecione a VPC usada em sua configuração HealthOmics

    2. Escolha a guia Registros de fluxo

    3. Escolha Criar registro de fluxo

    4. Configure o log de fluxo para capturar todo o tráfego (aceito e rejeitado)

    5. Selecione CloudWatch Registros como destino para facilitar a consulta

  2. Inicie a execução de um fluxo de trabalho. Inicie uma execução de fluxo de trabalho com a rede VPC ativada. Anote o ID de execução e a hora de início para filtrar os registros de fluxo posteriormente.

Consulte registros de fluxo usando o CloudWatch Logs Insights por janela de tempo, IP de destino ou padrões de tráfego. Você não precisa identificar um ENI IDs específico.

Opção 2: registros de fluxo de nível ENI (para solução de problemas direcionada)

Ative os registros de fluxo específicos ENIs quando você tiver apenas alguns HealthOmics ENIs em sua conta. Essa é a abordagem mais econômica e facilita o isolamento do tráfego para execuções específicas do fluxo de trabalho.

  1. Encontre o cliente ENI. No console do Amazon EC2:

    1. Escolha interfaces de rede

    2. Filtrar por tag Service: HealthOmics para mostrar somente ENIs criado por HealthOmics

    3. Opcionalmente, filtre ainda mais pelo ID da sub-rede de sua configuração HealthOmics

    4. Anote o ID ENI e o endereço IP privado

  2. Ative os registros de fluxo no ENI.

    1. Selecione o ENI e escolha a guia Registros de fluxo

    2. Escolha Criar registro de fluxo

    3. Configure o log de fluxo para capturar todo o tráfego

    4. Selecione CloudWatch Registros como destino

nota

Os registros de fluxo só capturam o tráfego a partir do momento em que são ativados. Para registros de fluxo em nível de VPC, ative-os antes de executar fluxos de trabalho. Para registros de fluxo de nível ENI, uma vez habilitado em um ENI, o mesmo log de fluxo capturará o tráfego para todas as futuras execuções de fluxo de trabalho que usem esse ENI.

Entendendo o formato do VPC Flow Log

Os registros de fluxo da VPC usam um formato separado por espaço com os seguintes campos:

version account_id interface_id srcaddr dstaddr srcport dstport protocol packets bytes start end action log_status

Descrições de campo:

  • versão — versão em formato de registro de fluxo (normalmente 2)

  • account_id — ID da sua AWS conta

  • interface_id — O ID ENI (por exemplo, eni-0e57c5476efeac402)

  • srcaddr — Endereço IP de origem

  • dstaddr — Endereço IP de destino

  • srcport — Número da porta de origem

  • dstport — Número da porta de destino

  • protocolo — número do protocolo IANA (6=TCP, 17=UDP, 1=ICMP)

  • pacotes — Número de pacotes no fluxo

  • bytes — Número de bytes no fluxo

  • início — Hora de início do fluxo (timestamp Unix)

  • fim — Hora de término do fluxo (timestamp Unix)

  • ação — ACEITAR ou REJEITAR

  • log_status — OK, NODATA ou SKIPDATA

Exemplos de entradas de registro de fluxo:

2 074296239033 eni-0e57c5476efeac402 10.0.130.58 13.226.238.96 40565 443 6 13 1502 1774338927 1774338929 ACCEPT OK
2 074296239033 eni-0e57c5476efeac402 13.226.238.96 10.0.130.58 443 40565 6 8 1024 1774338928 1774338930 ACCEPT OK

Essas entradas mostram uma comunicação HTTPS bidirecional bem-sucedida. Chave IPs: 10.0.130.58 é a ENI do cliente criada pela HealthOmics sua conta e 13.226.238.96 é o domínio público externo que seu fluxo de trabalho está acessando. A primeira entrada é o tráfego de saída e a segunda é o tráfego de retorno. Ambos mostram ACEITAR, indicando que o tráfego foi permitido por grupos de segurança.

Consultando registros de fluxo no CloudWatch Logs Insights

Quando os registros de fluxo são publicados no CloudWatch Logs, use o CloudWatch Logs Insights para consultar e analisar os dados.

Encontre tráfego rejeitado (comece aqui)

fields @timestamp, interfaceId, srcAddr, dstAddr, srcPort, dstPort, protocol, action
| filter action = "REJECT"
| sort @timestamp desc

Se isso retornar resultados, você pode ter um problema de conectividade. As entradas rejeitadas mostram qual tráfego está sendo bloqueado por grupos de segurança ou rede ACLs.

Encontre tráfego para um IP externo específico

Primeiro, resolva o domínio para um endereço IP usando nslookup oudig:

$ nslookup ftp.ncbi.nlm.nih.gov
Server:  127.53.53.53
Address: 127.53.53.53#53

Non-authoritative answer:
ftp.ncbi.nlm.nih.gov    canonical name = ftp.wip.ncbi.nlm.nih.gov.
Name:    ftp.wip.ncbi.nlm.nih.gov
Address: 130.14.250.10
Name:    ftp.wip.ncbi.nlm.nih.gov
Address: 130.14.250.11

O “Servidor” e o “Endereço” na parte superior são o seu resolvedor de DNS. Os endereços em “Resposta não autorizada” (130.14.250.10 e 130.14.250.11) são os reais do domínio. IPs

Consulte os registros de fluxo usando um prefixo para corresponder a qualquer IP nesse intervalo:

fields @timestamp, interfaceId, srcAddr, dstAddr, srcPort, dstPort, protocol, action
| filter dstAddr like "130.14.250"
| sort @timestamp desc

Isso corresponde a qualquer IP que comece com 130.14.250, capturando tráfego para todos IPs nessa sub-rede.

Encontre tráfego HTTPS para destinos externos

fields @timestamp, interfaceId, srcAddr, dstAddr, srcPort, dstPort, protocol, action
| filter dstPort = 443 and protocol = 6
| filter not (dstAddr like /^10\./ or dstAddr like /^172\./ or dstAddr like /^192\.168\./)
| sort @timestamp desc

O segundo filtro exclui intervalos de IP privados, mostrando somente o tráfego para destinos externos (públicos).

nota

Números de protocolo: 6=TCP, 17=UDP, 1=ICMP. Para serviços com balanceamento de carga (por exemplo, CloudFront), o DNS pode retornar de forma diferente IPs, então filtre por porta de destino em vez de endereço IP.

Padrões e problemas comuns de registro de fluxo

Tráfego de saída rejeitado
Outbound: 2 074296239033 eni-0e57c5476efeac402 10.0.130.58 13.226.238.96 40565 443 6 1 60 1774338927 1774338929 REJECT OK

Causa: O grupo de segurança não permite tráfego de saída para a porta de destino ou o intervalo de IP.

Solução: adicione uma regra de saída ao seu grupo de segurança:

  • Para HTTPS: Permita que a porta TCP 443 seja 0.0.0.0/0

  • Para HTTP: permita a porta TCP 80 para 0.0.0.0/0

  • Para um acesso mais amplo: Permitir tudo em TCP/UDP 0.0.0.0/0

Tráfego de retorno rejeitado
Outbound: 2 074296239033 eni-0e57c5476efeac402 10.0.130.58 8.8.8.8 54321 53 17 1 64 1774338927 1774338929 ACCEPT OK
Return:   2 074296239033 eni-0e57c5476efeac402 8.8.8.8 10.0.130.58 53 54321 17 1 64 1774338928 1774338930 REJECT OK

Causa: A Network ACL está bloqueando o tráfego de retorno. Ao contrário dos grupos de segurança (com estado), ACLs as redes não têm estado e exigem regras explícitas para ambas as direções.

Solução: no console da VPC, verifique a ACL de rede da sua sub-rede e verifique se as regras de entrada permitem tráfego em portas efêmeras (1024-65535) de fontes externas. Adicione uma regra, se necessário: permita as TCP/UDP portas 1024-65535 de 0.0.0.0/0

Falta tráfego de retorno
Outbound: 2 074296239033 eni-0e57c5476efeac402 10.0.130.58 8.8.8.8 54321 53 17 1 64 1774338927 1774338929 ACCEPT OK

Causa: O NAT Gateway/Internet Gateway não está configurado corretamente ou o ENI não tem conectividade com a Internet.

Solução:

  • Verifique se a tabela de rotas tem uma rota para o NAT Gateway (0.0.0.0/0 → nat-xxxxx)

  • Verifique se o NAT Gateway está no estado DISPONÍVEL com um IP elástico

  • Verifique se o NAT Gateway está em uma sub-rede pública com rota para o Internet Gateway

Nenhuma entrada de registro de fluxo para o tráfego esperado

Causa: O tráfego não atinge a ENI ou os registros de fluxo não estão configurados corretamente.

Solução:

  • Verifique se os registros de fluxo estão habilitados e configurados para capturar todo o tráfego

  • Verifique os registros do fluxo de trabalho em CloudWatch Registros para confirmar se o fluxo de trabalho está tentando acessar o recurso externo

  • Verifique se a tabela de rotas tem uma rota para o NAT Gateway (0.0.0.0/0 → nat-xxxxx)

  • Verifique se o NAT Gateway está no estado DISPONÍVEL com um IP elástico

Práticas recomendadas para solução de problemas de registros de fluxo

  1. Ative os registros de fluxo antes de iniciar a solução de problemas. Os registros de fluxo só capturam o tráfego a partir do momento em que são ativados. Ative-os em todas as sub-redes em sua HealthOmics configuração antes de executar fluxos de trabalho.

  2. Use o CloudWatch Logs Insights para análise. CloudWatch O Logs Insights fornece recursos avançados de consulta para registros de fluxo. Salve as consultas mais usadas para acesso rápido.

  3. Filtrar por janela de tempo. Limite suas consultas de registro de fluxo à janela de tempo específica em que a execução do fluxo de trabalho estava ativa para reduzir o ruído e melhorar o desempenho da consulta.

  4. Procure as duas direções do tráfego. Sempre verifique se tanto o tráfego de ida quanto o de retorno mostram ACEITAR. Uma conexão requer comunicação bidirecional.

  5. Documente suas descobertas. Ao solucionar problemas de conectividade, documente a ID ENI, os endereços IP, as portas e as entradas do registro de fluxo do cliente. Essas informações são valiosas para casos de suporte e futuras soluções de problemas.

  6. Teste primeiro com um fluxo de trabalho simples. Antes de executar fluxos de trabalho complexos, teste a conectividade com um fluxo de trabalho simples que tenta acessar o recurso externo e registra o resultado. Isso ajuda a isolar os problemas de rede dos problemas de lógica do fluxo de trabalho.

Solução de problemas de configuração

Configuração travada no status CREATING

Causa: o provisionamento de recursos de rede pode levar vários minutos.

Solução: Aguarde até 10 minutos. Se o status não mudar para ATIVO, verifique o seguinte:

  • Suas sub-redes e grupos de segurança existem e estão na mesma VPC.

  • Você tem as permissões necessárias do IAM.

  • A função vinculada ao serviço foi criada com sucesso.

A execução falha ao iniciar com a rede VPC

Causa: A configuração pode não estar ATIVA ou pode haver problemas de conectividade de rede.

Solução:

  • Verifique se o status da configuração é ATIVO usandoGetConfiguration.

  • Verifique se as regras do grupo de segurança permitem o tráfego de saída necessário.

  • Certifique-se de que as sub-redes estejam nas zonas de disponibilidade onde HealthOmics opera.

Não é possível excluir a configuração

Causa: A configuração está sendo usada por execuções ativas de fluxo de trabalho.

Solução: aguarde a conclusão de todas as execuções usando a configuração e tente excluir novamente.

Não é possível excluir a função vinculada ao serviço

Causa: existem configurações ativas de VPC em sua conta.

Solução: primeiro exclua todas as configurações de VPC e, em seguida, exclua a função vinculada ao serviço.

O fluxo de trabalho não pode se conectar ao recurso externo

Causa: configuração incorreta do grupo de segurança ou da tabela de rotas.

Solução:

  1. Habilite os registros de fluxo da VPC para identificar pacotes rejeitados

  2. Verifique se as regras de saída do grupo de segurança permitem tráfego para o destino

  3. Verifique se a tabela de rotas tem uma rota para o NAT Gateway (0.0.0.0/0 → nat-xxxxxx)

  4. Para acesso ao AWS serviço entre regiões, certifique-se de que a região de destino esteja acessível

  5. Teste a conectividade de uma instância do Amazon EC2 na mesma sub-rede

Problemas de desempenho de rede

Sintoma: transferência de dados lenta ou tempo limite do fluxo de trabalho.

Causa: limitações de taxa de transferência da rede ou saturação do NAT Gateway.

Solução:

  • A taxa de transferência da rede começa em 10 Gbps por ENI e aumenta até 100 Gbps em um período de 60 minutos com tráfego sustentado

  • Para fluxos de trabalho com requisitos imediatos de alto rendimento, entre em contato com o Support AWS

  • Monitore as métricas do NAT Gateway CloudWatch para identificar a saturação

  • Considere a implantação de gateways NAT adicionais em várias zonas de disponibilidade para maior taxa de transferência

O fluxo de trabalho não pode acessar a Internet

Causa: as sub-redes privadas podem não ter uma rota para um gateway NAT, ou as regras do grupo de segurança podem estar bloqueando o tráfego de saída.

Solução:

  • Verifique se a tabela de rotas de suas sub-redes privadas inclui uma rota para um gateway NAT (0.0.0.0/0 → nat-xxxxxxxxx).

  • Verifique se as regras do grupo de segurança permitem tráfego de saída nas portas necessárias.

  • Verifique se o gateway NAT está em uma sub-rede pública com uma rota para um gateway da Internet.

A execução do fluxo de trabalho falha com erros de conectividade

Causa: o tráfego de rede pode estar bloqueado ou configurado incorretamente.

Solução:

  1. Verifique se a configuração ainda está no status ATIVO usandoGetConfiguration.

  2. Crie um registro de fluxo de VPC em sua VPC para ENIs inspecionar o tráfego. Para obter mais informações, consulte Logs de fluxo da VPC no Guia do usuário do Amazon Virtual Private Cloud.

  3. Verifique se há entradas REJECT no log de fluxo. Se você ver pacotes rejeitados, atualize suas regras de grupo de segurança para permitir o tráfego de saída necessário.

  4. Se o registro de fluxo não revelar a causa raiz, entre em contato com o AWS Support.