AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 - AWS Systems Manager 自动化运行手册参考

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2

描述

AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 运行手册将分析从 Amazon Elastic Compute Cloud (Amazon EC2) 实例或弹性网络接口到 AWS 服务 端点的连接。不支持 IPv6。运行手册使用您为 ServiceEndpoint 参数指定的值来分析与端点的连接。如果在您的 VPC 中找不到 AWS PrivateLink 端点,运行手册将使用当前 AWS 区域中的服务的公有 IP 地址。此自动化使用 Amazon Virtual Private Cloud 中的 Reachability Analyzer。有关更多信息,请参阅 Reachability Analyzer 中的 什么是 Reachability Analyzer?

此自动化将检查以下事项:

  • 检查您的虚拟私有云(VPC)是否配置为使用 Amazon 提供的 DNS 服务器。

  • 检查您指定的 VPC 中是否存在 AWS PrivateLink 终端节点。 AWS 服务 如果找到一个端点,自动化将验证 privateDns 属性是否已开启。

  • 检查 AWS PrivateLink 终端节点是否使用默认终端节点策略。

注意事项

  • 每次在来源和目标之间运行分析时,您需要支付费用。有关更多信息,请参阅 Amazon VPC 定价

  • 在自动化过程中,将创建网络洞察路径和网络洞察分析。如果自动化成功完成,运行手册将删除这些资源。如果清理步骤失败,则运行手册不会删除网络洞察路径,您需要手动将其删除。如果您不手动删除网络洞察路径,则该路径将继续计入您的 AWS 账户配额。有关 Reachability Analyzer 配额的更多信息,请参阅 Reachability Analyzer 中的 Reachability Analyzer 配额

  • 即使 Reachability Analyzer 返回 PASS,操作系统级配置(例如使用代理、本地 DNS 解析器或主机文件)也会影响连接。

  • 查看对 Reachability Analyzer 执行的所有检查的评估。如果任何检查返回的状态为 FAIL,那么,即使整体可达性检查返回的状态为 PASS,也可能会影响连接性。

运行此自动化(控制台)

文档类型

自动化

所有者

Amazon

平台

Linux、macOS、Windows

参数

  • AutomationAssumeRole

    类型:字符串

    描述:(可选)允许 Systems Manager Automation 代表您执行操作 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。如果未指定角色,Systems Manager Automation 将使用启动此运行手册的用户的权限。

  • 来源

    类型:字符串

    描述:(必需)您要分析自其的可达性的 Amazon EC2 实例或网络接口的 ID。

  • ServiceEndpoint

    类型:字符串

    描述:(必需)您要分析到其的可达性的服务端点的主机名。

  • RetainVpcReachabilityAnalysis

    类型:字符串

    默认:false

    描述:(可选)确定是否保留所创建的网络洞察路径和相关分析。默认情况下,用于分析可达性的资源将在成功分析后删除。如果您选择保留分析,则运行手册不会删除该分析,您可以在 Amazon VPC 控制台将其可视化。自动化输出中提供了控制台链接。

所需的 IAM 权限

AutomationAssumeRole 参数需要执行以下操作才能成功使用运行手册。

  • ec2:CreateNetworkInsightsPath

  • ec2:DeleteNetworkInsightsAnalysis

  • ec2:DeleteNetworkInsightsPath

  • ec2:DescribeAvailabilityZones

  • ec2:DescribeCustomerGateways

  • ec2:DescribeDhcpOptions

  • ec2:DescribeInstances

  • ec2:DescribeInternetGateways

  • ec2:DescribeManagedPrefixLists

  • ec2:DescribeNatGateways

  • ec2:DescribeNetworkAcls

  • ec2:DescribeNetworkInsightsAnalyses

  • ec2:DescribeNetworkInsightsPaths

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribePrefixLists

  • ec2:DescribeRegions

  • ec2:DescribeRouteTables

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • ec2:DescribeTransitGatewayAttachments

  • ec2:DescribeTransitGatewayPeeringAttachments

  • ec2:DescribeTransitGatewayConnects

  • ec2:DescribeTransitGatewayRouteTables

  • ec2:DescribeTransitGateways

  • ec2:DescribeTransitGatewayVpcAttachments

  • ec2:DescribeVpcAttribute

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeVpcEndpointServiceConfigurations

  • ec2:DescribeVpcPeeringConnections

  • ec2:DescribeVpcs

  • ec2:DescribeVpnConnections

  • ec2:DescribeVpnGateways

  • ec2:GetManagedPrefixListEntries

  • ec2:GetTransitGatewayRouteTablePropagations

  • ec2:SearchTransitGatewayRoutes

  • ec2:StartNetworkInsightsAnalysis

  • elasticloadbalancing:DescribeListeners

  • elasticloadbalancing:DescribeLoadBalancerAttributes

  • elasticloadbalancing:DescribeLoadBalancers

  • elasticloadbalancing:DescribeRules

  • elasticloadbalancing:DescribeTags

  • elasticloadbalancing:DescribeTargetGroups

  • elasticloadbalancing:DescribeTargetHealth

  • tiros:CreateQuery

  • tiros:GetQueryAnswer

  • tiros:GetQueryExplanation

文档步骤

  1. aws:executeScript:通过尝试解析主机名来验证服务端点。

  2. aws:executeScript:收集有关 VPC 和子网的详细信息。

  3. aws:executeScript:评估 VPC 的 DNS 配置。

  4. aws:executeScript:评估 VPC 端点检查。

  5. aws:executeScript:找到要连接到公共服务端点的互联网网关。

  6. aws:executeScript:确定要用于可达性分析的目的地。

  7. aws:executeScript:使用 Reachability Analyzer 分析从来源到端点的可达性,并在分析成功时清理资源。

  8. aws:executeScript:生成可达性评估报告。

  9. aws:executeScript:生成 JSON 形式的输出。

输出

  • generateReport.EvalReport - 自动化系统所执行检查的结果,采用文本格式。

  • generateJsonOutput.Output - 结果的最小版本,采用 JSON 格式。