As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Solução de problemas de rede VPC
**Topics**
+ [Monitoramento e solução de problemas de rede](#vpc-network-monitoring-troubleshooting)
+ [Solução de problemas de configuração](#vpc-configuration-troubleshooting)
## Monitoramento e solução de problemas de rede
### CloudTrail registro
Todas as operações da API de configuração e as execuções de fluxo de trabalho usando a rede VPC estão logadas. CloudTrail Use CloudTrail para auditar as alterações de configuração e monitorar quais execuções usam a rede VPC.
### Solução de problemas com registros de fluxo ENI
Quando seu fluxo de trabalho executa o acesso a recursos externos pela Internet, você pode usar os registros de fluxo de VPC para verificar a conectividade e diagnosticar problemas. HealthOmics provisiona interfaces de rede elásticas (ENIs) em suas sub-redes VPC para rotear o tráfego de suas tarefas de fluxo de trabalho. Ao examinar os registros de fluxo neles ENIs, você pode rastrear o tráfego de rede de e para destinos externos.
**Gerenciamento de custos para registros de fluxo de VPC**
Os registros de fluxo da VPC podem incorrer em custos significativos, especialmente no nível da VPC. Para minimizar os custos:
**Exclua os registros de fluxo após a solução de problemas.** Depois de resolver os problemas de conectividade, exclua o registro de fluxo para parar de incorrer em cobranças.
**Use o Amazon S3 em vez do CloudWatch Logs para armazenamento a longo prazo.** O armazenamento do Amazon S3 é significativamente mais barato do que CloudWatch o Logs. Configure registros de fluxo para publicar no Amazon S3 se precisar reter registros para análise de conformidade ou segurança.
**Defina políticas de retenção de CloudWatch registros.** Se estiver usando CloudWatch registros, configure a expiração automática dos registros (por exemplo, 7 dias) para evitar custos de armazenamento indefinidos.
**Use registros de fluxo de nível ENI para solucionar problemas.** Para uma depuração única, crie registros de fluxo na ENI específica do cliente, em vez de em toda a VPC.
#### Configurando registros de fluxo para solução de problemas
**Opção 1: registros de fluxo em nível de VPC (para monitoramento contínuo)**
Ative os registros de fluxo em sua VPC para capturar automaticamente o tráfego de todas as execuções do HealthOmics fluxo de trabalho. Isso é melhor quando você tem muitas execuções de fluxo de trabalho e deseja visibilidade abrangente sem rastrear indivíduos ENIs.
1. **Ative os registros de fluxo da VPC.** No console da Amazon VPC:
1. Escolha **Seu VPCs** e selecione a VPC usada em sua configuração HealthOmics
1. Escolha a guia **Registros de fluxo**
1. Escolha **Criar registro de fluxo**
1. Configure o log de fluxo para capturar **todo** o tráfego (aceito e rejeitado)
1. Selecione CloudWatch Registros como destino para facilitar a consulta
1. **Inicie a execução de um fluxo de trabalho.** Inicie uma execução de fluxo de trabalho com a rede VPC ativada. Anote o ID de execução e a hora de início para filtrar os registros de fluxo posteriormente.
Consulte registros de fluxo usando o CloudWatch Logs Insights por janela de tempo, IP de destino ou padrões de tráfego. Você não precisa identificar um ENI IDs específico.
**Opção 2: registros de fluxo de nível ENI (para solução de problemas direcionada)**
Ative os registros de fluxo específicos ENIs quando você tiver apenas alguns HealthOmics ENIs em sua conta. Essa é a abordagem mais econômica e facilita o isolamento do tráfego para execuções específicas do fluxo de trabalho.
1. **Encontre o cliente ENI.** No console do Amazon EC2:
1. Escolha **interfaces de rede**
1. Filtrar por tag `Service: HealthOmics` para mostrar somente ENIs criado por HealthOmics
1. Opcionalmente, filtre ainda mais pelo ID da sub-rede de sua configuração HealthOmics
1. Anote o ID ENI e o endereço IP privado
1. **Ative os registros de fluxo no ENI.**
1. Selecione o ENI e escolha a guia **Registros de fluxo**
1. Escolha **Criar registro de fluxo**
1. Configure o log de fluxo para capturar **todo** o tráfego
1. Selecione CloudWatch Registros como destino
**nota**
Os registros de fluxo só capturam o tráfego a partir do momento em que são ativados. Para registros de fluxo em nível de VPC, ative-os antes de executar fluxos de trabalho. Para registros de fluxo de nível ENI, uma vez habilitado em um ENI, o mesmo log de fluxo capturará o tráfego para todas as futuras execuções de fluxo de trabalho que usem esse ENI.
#### Entendendo o formato do VPC Flow Log
Os registros de fluxo da VPC usam um formato separado por espaço com os seguintes campos:
```
version account_id interface_id srcaddr dstaddr srcport dstport protocol packets bytes start end action log_status
```
**Descrições de campo:**
+ **versão — versão** em formato de registro de fluxo (normalmente 2)
+ **account\$1id — ID da** sua AWS conta
+ **interface\$1id — O ID** ENI (por exemplo, eni-0e57c5476efeac402)
+ **srcaddr** — Endereço IP de origem
+ **dstaddr** — Endereço IP de destino
+ **srcport — Número da porta** de origem
+ **dstport — Número da porta** de destino
+ **protocolo** — número do protocolo IANA (6=TCP, 17=UDP, 1=ICMP)
+ **pacotes** — Número de pacotes no fluxo
+ **bytes** — Número de bytes no fluxo
+ **início** — Hora de início do fluxo (timestamp Unix)
+ **fim** — Hora de término do fluxo (timestamp Unix)
+ **ação** — ACEITAR ou REJEITAR
+ **log\$1status** — OK, NODATA ou SKIPDATA
**Exemplos de entradas de registro de fluxo:**
```
2 074296239033 eni-0e57c5476efeac402 10.0.130.58 13.226.238.96 40565 443 6 13 1502 1774338927 1774338929 ACCEPT OK
2 074296239033 eni-0e57c5476efeac402 13.226.238.96 10.0.130.58 443 40565 6 8 1024 1774338928 1774338930 ACCEPT OK
```
Essas entradas mostram uma comunicação HTTPS bidirecional bem-sucedida. Chave IPs: **10.0.130.58** é a ENI do cliente criada pela HealthOmics sua conta e **13.226.238.96** é o domínio público externo que seu fluxo de trabalho está acessando. A primeira entrada é o tráfego de saída e a segunda é o tráfego de retorno. Ambos mostram ACEITAR, indicando que o tráfego foi permitido por grupos de segurança.
#### Consultando registros de fluxo no CloudWatch Logs Insights
Quando os registros de fluxo são publicados no CloudWatch Logs, use o CloudWatch Logs Insights para consultar e analisar os dados.
**Encontre tráfego rejeitado (comece aqui)**
```
fields @timestamp, interfaceId, srcAddr, dstAddr, srcPort, dstPort, protocol, action
| filter action = "REJECT"
| sort @timestamp desc
```
Se isso retornar resultados, você pode ter um problema de conectividade. As entradas rejeitadas mostram qual tráfego está sendo bloqueado por grupos de segurança ou rede ACLs.
**Encontre tráfego para um IP externo específico**
Primeiro, resolva o domínio para um endereço IP usando `nslookup` ou`dig`:
```
$ nslookup ftp.ncbi.nlm.nih.gov
Server: 127.53.53.53
Address: 127.53.53.53#53
Non-authoritative answer:
ftp.ncbi.nlm.nih.gov canonical name = ftp.wip.ncbi.nlm.nih.gov.
Name: ftp.wip.ncbi.nlm.nih.gov
Address: 130.14.250.10
Name: ftp.wip.ncbi.nlm.nih.gov
Address: 130.14.250.11
```
O “Servidor” e o “Endereço” na parte superior são o seu resolvedor de DNS. Os endereços em “Resposta não autorizada” (130.14.250.10 e 130.14.250.11) são os reais do domínio. IPs
Consulte os registros de fluxo usando um prefixo para corresponder a qualquer IP nesse intervalo:
```
fields @timestamp, interfaceId, srcAddr, dstAddr, srcPort, dstPort, protocol, action
| filter dstAddr like "130.14.250"
| sort @timestamp desc
```
Isso corresponde a qualquer IP que comece com 130.14.250, capturando tráfego para todos IPs nessa sub-rede.
**Encontre tráfego HTTPS para destinos externos**
```
fields @timestamp, interfaceId, srcAddr, dstAddr, srcPort, dstPort, protocol, action
| filter dstPort = 443 and protocol = 6
| filter not (dstAddr like /^10\./ or dstAddr like /^172\./ or dstAddr like /^192\.168\./)
| sort @timestamp desc
```
O segundo filtro exclui intervalos de IP privados, mostrando somente o tráfego para destinos externos (públicos).
**nota**
Números de protocolo: 6=TCP, 17=UDP, 1=ICMP. Para serviços com balanceamento de carga (por exemplo, CloudFront), o DNS pode retornar de forma diferente IPs, então filtre por porta de destino em vez de endereço IP.
#### Padrões e problemas comuns de registro de fluxo
**Tráfego de saída rejeitado**
```
Outbound: 2 074296239033 eni-0e57c5476efeac402 10.0.130.58 13.226.238.96 40565 443 6 1 60 1774338927 1774338929 REJECT OK
```
**Causa:** O grupo de segurança não permite tráfego de saída para a porta de destino ou o intervalo de IP.
**Solução:** adicione uma regra de saída ao seu grupo de segurança:
+ Para HTTPS: Permita que a porta TCP 443 seja 0.0.0.0/0
+ Para HTTP: permita a porta TCP 80 para 0.0.0.0/0
+ Para um acesso mais amplo: Permitir tudo em TCP/UDP 0.0.0.0/0
**Tráfego de retorno rejeitado**
```
Outbound: 2 074296239033 eni-0e57c5476efeac402 10.0.130.58 8.8.8.8 54321 53 17 1 64 1774338927 1774338929 ACCEPT OK
Return: 2 074296239033 eni-0e57c5476efeac402 8.8.8.8 10.0.130.58 53 54321 17 1 64 1774338928 1774338930 REJECT OK
```
**Causa:** A Network ACL está bloqueando o tráfego de retorno. Ao contrário dos grupos de segurança (com estado), ACLs as redes não têm estado e exigem regras explícitas para ambas as direções.
**Solução:** no console da VPC, verifique a ACL de rede da sua sub-rede e verifique se as regras de entrada permitem tráfego em portas efêmeras (1024-65535) de fontes externas. Adicione uma regra, se necessário: permita as TCP/UDP portas 1024-65535 de 0.0.0.0/0
**Falta tráfego de retorno**
```
Outbound: 2 074296239033 eni-0e57c5476efeac402 10.0.130.58 8.8.8.8 54321 53 17 1 64 1774338927 1774338929 ACCEPT OK
```
**Causa:** O NAT Gateway/Internet Gateway não está configurado corretamente ou o ENI não tem conectividade com a Internet.
**Solução**:
+ Verifique se a tabela de rotas tem uma rota para o NAT Gateway (0.0.0.0/0 → nat-xxxxx)
+ Verifique se o NAT Gateway está no estado DISPONÍVEL com um IP elástico
+ Verifique se o NAT Gateway está em uma sub-rede pública com rota para o Internet Gateway
**Nenhuma entrada de registro de fluxo para o tráfego esperado**
**Causa:** O tráfego não atinge a ENI ou os registros de fluxo não estão configurados corretamente.
**Solução**:
+ Verifique se os registros de fluxo estão habilitados e configurados para capturar todo o tráfego
+ Verifique os registros do fluxo de trabalho em CloudWatch Registros para confirmar se o fluxo de trabalho está tentando acessar o recurso externo
+ Verifique se a tabela de rotas tem uma rota para o NAT Gateway (0.0.0.0/0 → nat-xxxxx)
+ Verifique se o NAT Gateway está no estado DISPONÍVEL com um IP elástico
#### Práticas recomendadas para solução de problemas de registros de fluxo
1. **Ative os registros de fluxo antes de iniciar a solução de problemas.** Os registros de fluxo só capturam o tráfego a partir do momento em que são ativados. Ative-os em todas as sub-redes em sua HealthOmics configuração antes de executar fluxos de trabalho.
1. **Use o CloudWatch Logs Insights para análise.** CloudWatch O Logs Insights fornece recursos avançados de consulta para registros de fluxo. Salve as consultas mais usadas para acesso rápido.
1. **Filtrar por janela de tempo.** Limite suas consultas de registro de fluxo à janela de tempo específica em que a execução do fluxo de trabalho estava ativa para reduzir o ruído e melhorar o desempenho da consulta.
1. **Procure as duas direções do tráfego.** Sempre verifique se tanto o tráfego de ida quanto o de retorno mostram ACEITAR. Uma conexão requer comunicação bidirecional.
1. **Documente suas descobertas.** Ao solucionar problemas de conectividade, documente a ID ENI, os endereços IP, as portas e as entradas do registro de fluxo do cliente. Essas informações são valiosas para casos de suporte e futuras soluções de problemas.
1. **Teste primeiro com um fluxo de trabalho simples.** Antes de executar fluxos de trabalho complexos, teste a conectividade com um fluxo de trabalho simples que tenta acessar o recurso externo e registra o resultado. Isso ajuda a isolar os problemas de rede dos problemas de lógica do fluxo de trabalho.
## Solução de problemas de configuração
### Configuração travada no status CREATING
**Causa:** o provisionamento de recursos de rede pode levar vários minutos.
**Solução:** Aguarde até 10 minutos. Se o status não mudar para ATIVO, verifique o seguinte:
+ Suas sub-redes e grupos de segurança existem e estão na mesma VPC.
+ Você tem as permissões necessárias do IAM.
+ A função vinculada ao serviço foi criada com sucesso.
### A execução falha ao iniciar com a rede VPC
**Causa:** A configuração pode não estar ATIVA ou pode haver problemas de conectividade de rede.
**Solução**:
+ Verifique se o status da configuração é ATIVO usando`GetConfiguration`.
+ Verifique se as regras do grupo de segurança permitem o tráfego de saída necessário.
+ Certifique-se de que as sub-redes estejam nas zonas de disponibilidade onde HealthOmics opera.
### Não é possível excluir a configuração
**Causa:** A configuração está sendo usada por execuções ativas de fluxo de trabalho.
**Solução:** aguarde a conclusão de todas as execuções usando a configuração e tente excluir novamente.
### Não é possível excluir a função vinculada ao serviço
**Causa:** existem configurações ativas de VPC em sua conta.
**Solução:** primeiro exclua todas as configurações de VPC e, em seguida, exclua a função vinculada ao serviço.
### O fluxo de trabalho não pode se conectar ao recurso externo
**Causa:** configuração incorreta do grupo de segurança ou da tabela de rotas.
**Solução**:
1. Habilite os registros de fluxo da VPC para identificar pacotes rejeitados
1. Verifique se as regras de saída do grupo de segurança permitem tráfego para o destino
1. Verifique se a tabela de rotas tem uma rota para o NAT Gateway (0.0.0.0/0 → nat-xxxxxx)
1. Para acesso ao AWS serviço entre regiões, certifique-se de que a região de destino esteja acessível
1. Teste a conectividade de uma instância do Amazon EC2 na mesma sub-rede
### Problemas de desempenho de rede
**Sintoma:** transferência de dados lenta ou tempo limite do fluxo de trabalho.
**Causa:** limitações de taxa de transferência da rede ou saturação do NAT Gateway.
**Solução**:
+ A taxa de transferência da rede começa em 10 Gbps por ENI e aumenta até 100 Gbps em um período de 60 minutos com tráfego sustentado
+ Para fluxos de trabalho com requisitos imediatos de alto rendimento, entre em contato com o Support AWS
+ Monitore as métricas do NAT Gateway CloudWatch para identificar a saturação
+ Considere a implantação de gateways NAT adicionais em várias zonas de disponibilidade para maior taxa de transferência
### O fluxo de trabalho não pode acessar a Internet
**Causa:** as sub-redes privadas podem não ter uma rota para um gateway NAT, ou as regras do grupo de segurança podem estar bloqueando o tráfego de saída.
**Solução**:
+ Verifique se a tabela de rotas de suas sub-redes privadas inclui uma rota para um gateway NAT (0.0.0.0/0 → nat-xxxxxxxxx).
+ Verifique se as regras do grupo de segurança permitem tráfego de saída nas portas necessárias.
+ Verifique se o gateway NAT está em uma sub-rede pública com uma rota para um gateway da Internet.
### A execução do fluxo de trabalho falha com erros de conectividade
**Causa:** o tráfego de rede pode estar bloqueado ou configurado incorretamente.
**Solução**:
1. Verifique se a configuração ainda está no status ATIVO usando`GetConfiguration`.
1. Crie um registro de fluxo de VPC em sua VPC para ENIs inspecionar o tráfego. Para obter mais informações, consulte [Logs de fluxo da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) no *Guia do usuário do Amazon Virtual Private Cloud*.
1. Verifique se há entradas REJECT no log de fluxo. Se você ver pacotes rejeitados, atualize suas regras de grupo de segurança para permitir o tráfego de saída necessário.
1. Se o registro de fluxo não revelar a causa raiz, entre em contato com o AWS Support.