`AWSSupport-TroubleshootVPN`

描述

AWSSupport-TroubleshootVPN运行手册可帮助您跟踪和解决 AWS Site-to-Site VPN 连接中的错误。自动化包括多项自动检查，旨在跟踪IKEv1与 AWS Site-to-Site VPN 连接隧道相关的IKEv2错误。自动化将尝试匹配特定的错误及其相应的解决方案，从而形成常见问题列表。

注意：此自动化并不能纠正错误。它在上述时间范围内运行，并扫描日志组中VPN CloudWatch 是否存在错误。

如何工作？

运行手册运行参数验证，以确认输入参数中包含的 Amazon CloudWatch 日志组是否存在、日志组中是否存在与VPN隧道日志记录对应的日志流、VPN连接 ID 是否存在以及隧道 IP 地址是否存在。它会在配置为日志记录的 CloudWatch 日志组上发出 Logs Insights API 调用VPN。

文档类型

自动化

所有者

Amazon

平台

Linux、macOS、Windows

参数

AutomationAssumeRole

类型：字符串

描述：（可选）允许 Systems ARN Manager Automation 代表您执行操作的 AWS Identity and Access Management (IAM) 角色的亚马逊资源名称 ()。如果未指定角色，Systems Manager Automation 将使用启动此运行手册的用户的权限。
LogGroupName

类型：字符串

描述：（必填）为 AWS Site-to-Site VPN 连接 CloudWatch 日志配置的 Amazon 日志组名称

允许的模式：^[\.\-_/#A-Za-z0-9]{1,512}
VpnConnectionId

类型：字符串

描述：（必填）要进行故障排除的 AWS Site-to-Site VPN 连接 ID。

允许的模式：^vpn-[0-9a-f]{8,17}$
T unnelAIPAddress

类型：字符串

描述：（必填）与您的关联的 1 号隧道IPv4地址 AWS Site-to-Site VPN。

允许的模式：^((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)[.]){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?){1}$
T unnelBIPAddress

类型：字符串

描述：（可选）与您关联的隧道号码 2 IPv4 的地址 AWS Site-to-Site VPN。

允许的模式：^((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)[.]){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?){1}|^$
IKEVersion

类型：字符串

描述：（必填）选择您正在使用的IKE版本。允许的值：IKEv1，IKEv2

有效值：['IKEv1', 'IKEv2']
StartTimeinEpoch

类型：字符串

描述：（可选）日志分析的开始时间。您可以使用 StartTimeinEpoch/EndTimeinEpoch 或 LookBackPeriod 进行日志分析

允许的模式：^\d{10}|^$
EndTimeinEpoch

类型：字符串

描述：（可选）日志分析的结束时间。您可以使用 StartTimeinEpoch/EndTimeinEpoch 或 LookBackPeriod 进行日志分析。如果同时给出 StartTimeinEpoch/EndTimeinEpoch ， LookBackPeriod 则优 LookBackPeriod 先

允许的模式：^\d{10}|^$
LookBackPeriod

类型：字符串

描述：（可选）以小时为单位的两位数时间，用于回顾日志分析。有效范围：01 - 99。如果您还给出 StartTimeinEpoch和，则此值优先 EndTime

允许的模式：^(\d?[1-9]|[1-9]0)|^$

必需的IAM权限

AutomationAssumeRole 参数需要执行以下操作才能成功使用运行手册。

logs:DescribeLogGroups
logs:GetQueryResults
logs:DescribeLogStreams
logs:StartQuery
ec2:DescribeVpnConnections

说明

注意：当 CloudWatch 日志输出格式为时，此自动化适用于为VPN隧道日志记录配置的日志组JSON。

按照这些步骤对自动化进行配置：

导航到 AWS Systems Manager 控制台VPN中的 AWSSupport-疑难解答。
要输入参数，请输入以下内容：
- AutomationAssumeRole （可选）：
  
  () 角色的亚马逊资源名称 (ARN)， AWS Identity and Access Management 允许 Systems Manager Automation 代表您执行操作。IAM如果未指定角色，Systems Manager Automation 将使用启动此运行手册的用户的权限。
- LogGroupName （必填）：
  
  要验证的 Amazon CloudWatch 日志组名称。这必须是 CloudWatch 配置为要VPN向其发送日志的日志组。
- VpnConnectionId （必填）：
  
  跟踪其日志组是否有VPN错误的 AWS Site-to-Site VPN 连接 ID。
- TunnelAIPAddress （必填）：
  
  隧道 A 与您的 AWS Site-to-Site VPN 连接关联的 IP 地址。
- TunnelBIPAddress （可选）：
  
  与您的 AWS Site-to-Site VPN 连接关联的隧道 B IP 地址。
- IKEVersion（必填）：
  
  选择IKEversion您正在使用的内容。允许的值：IKEv1、IKEv2。
- StartTimeinEpoch （可选）：
  
  查询错误的时间范围的起点。该范围包括在内，因此查询中包含了指定的开始时间。指定为纪元时间，即自 1970 年 1 月 1 日 00:00:00 UTC 以来的秒数。
- EndTimeinEpoch （可选）：
  
  查询错误的时间范围的结束时间。该范围包括在内，因此查询中包含了指定的结束时间。指定为纪元时间，即自 1970 年 1 月 1 日 00:00:00 UTC 以来的秒数。
- LookBackPeriod （必填）：
  
  回顾错误查询所需的时间（以小时为单位）。
注意：配置 StartTimeinEpoch EndTimeinEpoch、或 LookBackPeriod 以固定日志分析的时间范围。给出一个以小时为单位的两位数数字，以检查从自动化开始时间起过去是否有错误。或者，如果错误发生在特定的时间范围内，请使用 StartTimeinEpoch 和 EndTimeinEpoch，而不是 LookBackPeriod。
选择执行。
自动化启动。
自动化运行手册执行以下步骤：
- parameterValidation:
  
  对自动化中包含的输入参数运行一系列验证。
- branchOnValidationOfLogGroup:
  
  检查参数中提到的日志组是否有效。如果无效，它会停止进一步启动自动化步骤。
- branchOnValidationOfLogStream:
  
  检查包含的日志组中是否存在 CloudWatch 日志流。如果无效，它会停止进一步启动自动化步骤。
- branchOnValidationOfVpnConnectionId:
  
  检查参数中包含的VPN连接 ID 是否有效。如果无效，它会停止进一步启动自动化步骤。
- branchOnValidationOfVpnIp:
  
  检查参数中提到的隧道 IP 地址是否有效。如果无效，它会停止进一步执行自动化步骤。
- traceError:
  
  在包含的日志组中进行 CloudWatch 日志洞察API调用，并搜索与 IKEv1 /相关的错误IKEv2以及相关的建议解决方案。
完成后，查看“输出”部分以了解执行的详细结果。

参考

Systems Manager Automation

AWS 服务文档

站点到站点日志VPN的内容

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

AWSSupport-ConnectivityTroubleshooter

AWSConfigRemediation-DeleteEgressOnlyInternetGateway