本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2
Description
AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2執行手冊會分析來自 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體或 elastic network interface 到 AWS 服務 端點的連線。不支援 IPv6。runbook 會使用您為ServiceEndpoint參數指定的值來分析與端點的連接。如果在 VPC 中找不到 AWS PrivateLink 端點,則執行手冊會使用目前服務的公用 IP 位址。 AWS 區域此自動化操作使用 Amazon Virtual Private Cloud 的 Reachability Analyzer。如需詳細資訊,請參閱什麼是 Reachability Analyzer? ,在 Reachability Analyzer 中。
此自動化會檢查下列項目:
-
檢查您的虛擬私有雲 (VPC) 是否設定為使用 Amazon 提供的 DNS 伺服器。
-
檢查 VPC 中是否存在您指定 AWS 服務 的 AWS PrivateLink 端點。如果找到端點,自動化會驗證
privateDns屬性是否已開啟。 -
檢查 AWS PrivateLink 端點是否使用預設端點策略。
考量
-
您需要針對來源與目標之間執行的分析收費。如需詳細資訊,請參閱 Amazon VPC 定價
。 -
在自動化過程中,會建立網路洞察路徑和網路洞察分析。如果自動化順利完成,runbook 會刪除這些資源。如果清理步驟失敗,網路見解路徑不會被 runbook 刪除,您將需要手動刪除它。如果您沒有手動刪除網路見解路徑,它會繼續計入您的 AWS 帳戶. 如需可 Reachability Analyzer 配額的詳細資訊,請參閱可 Reachability Analyzer 中的可 Reachability Analyzer 配額。
-
作業系統層級組態 (例如使用 Proxy、本機 DNS 解析程式或主機檔案) 可能會影響連線,即使連線 Reachability Analyzer 傳回也是如此。
PASS -
複查「Reachability Analyzer」所執行之所有檢查的評估。如果有任何檢查傳回的狀態為
FAIL,即使整體可達性檢查傳回的狀態也可能會影響連線。PASS
文件類型
自動化
擁有者
Amazon
平台
Linux,macOS, Windows
參數
-
AutomationAssumeRole
類型:字串
說明:(選用) 允許 Systems Manager 自動化代表您執行動作的 AWS Identity and Access Management (IAM) 角色的 Amazon 資源名稱 (ARN)。如果未指定任何角色,Systems Manager 自動化會使用啟動此 runbook 的使用者的權限。
-
來源
類型:字串
說明:(必要) Amazon EC2 執行個體的 ID 或您要從中分析可達性的網路界面。
-
ServiceEndpoint
類型:字串
描述:(必要) 您要分析連線能力之服務端點的主機名稱。
-
RetainVpcReachabilityAnalysis
類型:字串
預設:false
描述:(選擇性) 決定是否保留網路分析路徑和建立的相關分析。依預設,用於分析可達性的資源會在成功分析後刪除。如果您選擇保留分析,則執行手冊不會刪除分析,您可以在 Amazon VPC 主控台中將其視覺化。自動化輸出中提供主控台連結。
必要的 IAM 許可
此AutomationAssumeRole參數需要執行下列動作,才能成功使用 Runbook。
-
ec2:CreateNetworkInsightsPath -
ec2:DeleteNetworkInsightsAnalysis -
ec2:DeleteNetworkInsightsPath -
ec2:DescribeAvailabilityZones -
ec2:DescribeCustomerGateways -
ec2:DescribeDhcpOptions -
ec2:DescribeInstances -
ec2:DescribeInternetGateways -
ec2:DescribeManagedPrefixLists -
ec2:DescribeNatGateways -
ec2:DescribeNetworkAcls -
ec2:DescribeNetworkInsightsAnalyses -
ec2:DescribeNetworkInsightsPaths -
ec2:DescribeNetworkInterfaces -
ec2:DescribePrefixLists -
ec2:DescribeRegions -
ec2:DescribeRouteTables -
ec2:DescribeSecurityGroups -
ec2:DescribeSubnets -
ec2:DescribeTransitGatewayAttachments -
ec2:DescribeTransitGatewayPeeringAttachments -
ec2:DescribeTransitGatewayConnects -
ec2:DescribeTransitGatewayRouteTables -
ec2:DescribeTransitGateways -
ec2:DescribeTransitGatewayVpcAttachments -
ec2:DescribeVpcAttribute -
ec2:DescribeVpcEndpoints -
ec2:DescribeVpcEndpointServiceConfigurations -
ec2:DescribeVpcPeeringConnections -
ec2:DescribeVpcs -
ec2:DescribeVpnConnections -
ec2:DescribeVpnGateways -
ec2:GetManagedPrefixListEntries -
ec2:GetTransitGatewayRouteTablePropagations -
ec2:SearchTransitGatewayRoutes -
ec2:StartNetworkInsightsAnalysis -
elasticloadbalancing:DescribeListeners -
elasticloadbalancing:DescribeLoadBalancerAttributes -
elasticloadbalancing:DescribeLoadBalancers -
elasticloadbalancing:DescribeRules -
elasticloadbalancing:DescribeTags -
elasticloadbalancing:DescribeTargetGroups -
elasticloadbalancing:DescribeTargetHealth -
tiros:CreateQuery -
tiros:GetQueryAnswer -
tiros:GetQueryExplanation
文件步驟
-
aws:executeScript:嘗試解析主機名稱來驗證服務端點。 -
aws:executeScript:收集有關 VPC 和子網路的詳細資料。 -
aws:executeScript:評估 VPC 的 DNS 組態。 -
aws:executeScript:評估 VPC 端點檢查。 -
aws:executeScript:找出網際網路閘道以連線到公用服務端點。 -
aws:executeScript:決定用於可達性分析的目標。 -
aws:executeScript:使用可達性分析器分析從來源到端點的可達性,並在分析成功時清除資源。 -
aws:executeScript:產生可達性評估報告。 -
aws:executeScript:以 JSON 格式產生輸出。
輸出
-
generateReport.EvalReport-自動化以文本格式執行的檢查結果。 -
generateJsonOutput.Output-JSON 格式的結果的最小版本。
