排查 VPC 上金丝雀的问题 - Amazon CloudWatch
新的金丝雀处于错误状态或无法更新金丝雀“未返回测试结果”错误

排查 VPC 上金丝雀的问题

如果您在创建或更新使用 VPC 的金丝雀后遇到问题,以下其中一部分可能会帮助您解决问题。

新的金丝雀处于错误状态或无法更新金丝雀

如果您创建要在 VPC 上运行的金丝雀,并且它立即进入错误状态,或者您无法更新金丝雀以在 VPC 上运行,则金丝雀的角色可能没有正确的权限。要在 VPC 上运行,金丝雀必须具有权限 ec2:CreateNetworkInterfaceec2:DescribeNetworkInterfacesec2:DeleteNetworkInterface。这些权限包含在 AWSLambdaVPCAccessExecutionRole 托管策略中。有关更多信息,请参阅执行角色和用户权限

如果在创建金丝雀时发生此问题,必须删除此金丝雀,然后创建一个新的金丝雀。如果您使用 CloudWatch 控制台创建新金丝雀,请在 Access Permissions(访问权限)下选择 Create a new role(创建新角色)。此时将创建一个新角色,该角色包含运行金丝雀所需的全部权限。

如果在更新金丝雀时发生此问题,可以再次更新金丝雀并提供具有必要权限的新角色。

“未返回测试结果”错误

如果金丝雀显示“未返回测试结果”错误,以下问题之一可能是导致这个问题的原因:

  • 如果您的 VPC 不具有 Internet 访问权限,则必须使用 VPC 终端节点授予金丝雀对 CloudWatch 和 Amazon S3 的访问权限。您必须在 VPC 中启用 DNS 解析DNS 主机名选项,才能正确解析这些终端节点地址。有关更多信息,请参阅 将 DNS 与 VPC 配合使用 以及 将 CloudWatch 和 CloudWatch Synthetics 与接口 VPC 端点配合使用

  • 金丝雀必须在 VPC 内的私有子网中运行。要检查是否存在此问题,请在 VPC 控制台中打开子网页面。检查您在配置金丝雀时选择的子网。如果它们具有通往互联网网关 (igw-) 的路径,则不是私有子网。

要帮助您解决这些问题,请参阅金丝雀日志。

要查看来自金丝雀的日志事件,请执行以下操作:

  1. 访问 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在导航窗格中,选择 Log groups(日志组)

  3. 选择金丝雀日志组的名称。日志组名称以 /aws/lambda/cwsyn-canary-name 开头。