评测 BPA 的影响并监控 BPA - Amazon Virtual Private Cloud
使用网络访问分析器评测 BPA 的影响使用流日志监控 BPA 影响使用 CloudTrail 追踪排除项删除使用 Reachability Analyzer 验证连接是否被阻止

评测 BPA 的影响并监控 BPA

本节包含有关如何在启用 VPC BPA 之前评测其影响及如何在启用 VPC BPA 之后监控流量是否被阻止的信息。

使用网络访问分析器评测 BPA 的影响

在本节中,在启用 VPC BPA 并阻止访问之前,您将使用网络访问分析器查看账户中使用互联网网关的资源。使用此分析可了解在您的账户中启用 VPC BPA 和阻止流量所产生的影响。

注意

  • 网络访问分析器不支持 IPv6;因此您将无法使用它来查看 BPA 对仅出口互联网网关出站 IPv6 流量的潜在影响。

  • 您需要为使用网络访问分析器执行的分析付费。有关更多信息,请参阅《网络访问分析器 Guide》中的 Pricing

  • 有关网络访问分析器区域可用性的信息,请参阅《Network Access Analyzer Guide》中的 Limitations

AWS Management Console

  1. 打开位于 https://console.aws.amazon.com/networkinsights/ 的 AWS 网络见解控制台。

  2. 选择网络访问分析器

  3. 选择创建网络访问范围

  4. 选择评估 VPC 阻止公开访问的影响,然后选择下一步

  5. 该模板已配置为分析您账户中进出互联网网关的流量。您可以在来源目标下查看此项。

  6. 选择下一步

  7. 选择创建网络访问范围

  8. 选择您刚创建的范围,然后选择分析

  9. 等待分析完成。

  10. 查看分析的调查发现。调查发现下的每一行都显示数据包在网络中进出您账户中的互联网网关可以采用的网络路径。在这种情况下,如果您启用 VPC BPA,并且这些调查发现中显示的 VPC 和/或子网均未配置为 BPA 排除项,则流向这些 VPC 和子网的流量将受到限制。

  11. 分析每项调查发现,了解 BPA 对 VPC 中资源的影响。

影响分析已完成。

AWS CLI

  1. 创建网络访问范围:

    aws ec2 create-network-insights-access-scope --region us-east-2 --match-paths "Source={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" "Destination={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}"

  2. 开始范围分析:

    aws ec2 start-network-insights-access-scope-analysis  --region us-east-2 --network-insights-access-scope-id nis-id

  3. 获取分析的结果:

    aws ec2 get-network-insights-access-scope-analysis-findings  --region us-east-2 --network-insights-access-scope-analysis-id nisa-0aa383a1938f94cd1 --max-items 1

    结果显示进出您账户所有 VPC 中互联网网关的流量。结果被归类为“调查发现”。"FindingId": "AnalysisFinding-1" 表示这是分析中的第一个调查发现。请注意,有多个调查发现,每个调查发现都表明启用 VPC BPA 将影响流量。第一个调查发现表明流量从互联网网关("SequenceNumber": 1)开始,依次传递到 NACL("SequenceNumber": 2)、安全组("SequenceNumber": 3),然后在实例("SequenceNumber": 4)处结束。

  4. 分析调查发现以了解 BPA 对 VPC 中资源的影响。

影响分析已完成。

使用流日志监控 BPA 影响

利用 VPC 流日志这项功能,您可以捕获有关传入和传出您的 VPC 中弹性网络接口的 IP 流量的信息。您可以使用此功能监控被 VPC BPA 阻止的流量到达您的实例网络接口。

使用使用流日志中的步骤为您的 VPC 创建流日志。

创建流日志时,请确保使用包含字段 reject-reason 的自定义格式。

查看流日志时,如果发往 ENI 的流量因 BPA 而被拒绝,您将在流日志条目中看到 BPAreject-reason

除了 VPC 流日志的标准限制外,请注意以下 VPC BPA 特定的限制:

  • VPC BPA 的流日志不包括跳过的记录

  • 即使您在流日志中包含 bytes 字段,VPC BPA 的流日志也不会包含 bytes

使用 CloudTrail 追踪排除项删除

本节向您介绍如何使用 AWS CloudTrail 监控和追踪 VPC BPA 排除项的删除。

AWS Management Console

通过在位于 https://console.aws.amazon.com/cloudtrailv2/ 的 AWS CloudTrail 控制台中查找资源类型 > AWS::EC2::VPCBlockPublicAccessExclusion,您可以在 CloudTrail 事件历史记录中查看任何已删除的排除项。

AWS CLI

您可以使用 lookup-events 命令查看与删除排除项有关的事件:

aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::EC2::VPCBlockPublicAccessExclusion

使用 Reachability Analyzer 验证连接是否被阻止

VPC Reachability Analyzer 可用于评估根据您的网络配置(包括 VPC BPA 设置)是否可以访问某些网络路径。

有关 Reachability Analyzer 区域可用性的信息,请参阅《Reachability Analyzer Guide》中的 Considerations

AWS Management Console

  1. 打开位于 https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer 的 AWS 网络见解控制台。

  2. 单击创建和分析路径

  3. 对于源类型,选择互联网网关,然后从源下拉列表中选择要阻止流量的互联网网关。

  4. 对于目标类型,选择实例,然后从目标下拉列表中选择要阻止流量的实例。

  5. 单击创建和分析路径

  6. 等待分析完成。这可能需要几分钟时间。

  7. 完成后,您应该会看到可访问性状态无法访问,并且路径详细信息显示 VPC_BLOCK_PUBLIC_ACCESS_ENABLED 是导致此可访问性问题的原因。

AWS CLI

  1. 使用要阻止流量传入的互联网网关 ID(源)和要阻止流量传出的实例 ID(目标)创建网络路径:

    aws ec2 --region us-east-2 create-network-insights-path --source igw-id --destination instance-id --protocol TCP

  2. 开始对网络路径进行分析:

    aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id

  3. 检索分析的结果:

    aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id

  4. 请确认 VPC_BLOCK_PUBLIC_ACCESS_ENABLED 是无法访问的 ExplanationCode