如何使用 VPC Reachability Analyzer 来故障排除 Amazon VPC 资源的连接性问题?

上次更新日期:2021 年 8 月 13 日

我无法使用 Amazon Virtual Private Cloud (Amazon VPC) 资源作为源连接到我的目标服务器。如何使用 VPC Reachability Analyzer 来解决此问题?

简短描述

要对 Amazon VPC 连接性问题进行故障排除,请使用 Reachability Analyzer 来检查以下常见问题:

  • 安全组配置
  • 网络访问控制列表(网络 ACL)配置
  • 路由表配置

解决方法

重要提示:VPC Reachability Analyzer 依赖于来自其他 AWS 服务的数据。如果该工具无法运行,那么请务必确认以下内容:

从 AWS 管理控制台使用 Reachability Analyzer

1.    打开 Amazon VPC 控制台

2.    在导航窗格中,选择 Reachability Analyzer

3.    选择您的资源所在的区域。

4.    对于源类型,请选择实例。然后,选择您的源资源。

5.    对于目标类型,请选择互联网网关。然后,选择您的目标资源。

6.    对于协议,请根据您的使用案例选择 TCPUDP

7.    选择创建并分析路径

8.    路径分析完成后,选择查看结果

如果 Reachability 状态为不可达,则说明路径中存在问题。

您可以通过指定中间组件来分析现有路径。按照以下步骤找到遍历中间组件的替代可达路径:

1.    选择路径,然后选择分析路径

2.    确定中间组件的 Amazon Resource Name (ARN)

例如,网络地址转换 (NAT) 网关的 ARN 是:

arn:aws:ec2:us-east-1:123456789012:nat-gateway/nat-012345678901234ab

3.    输入中间组件的 ARN,然后选择 确认

4.    刷新页面,然后查看与中间跃点路径一起显示的新分析 ID。

从 AWS CLI 使用 Reachability Analyzer

注意:如果您在运行 AWS Command Line Interface (AWS CLI) 命令时收到错误讯息,请确保您运行的是最新版本的 AWS CLI

按照通过 AWS CLI 开始使用 VPC Reachability Analyzer 中的步骤进行操作。

例如,假设您正在诊断以下几个点之间的连接性问题:

  • 源 = Amazon Elastic Compute Cloud (Amazon EC2) instance i-ab001122334455667
  • 目标 = Internet gateway igw-00aabb11223344556 on port 22 in an Amazon VPC

1.    使用以下示例命令创建路径:

aws ec2 create-network-insights-path --source i-ab001122334455667 --destination igw-00aabb11223344556 --destination-port 22 --protocol TCP

示例输出:

{
    "NetworkInsightsPath": {
        "NetworkInsightsPathId": "nip-01a23b456c789101d1",
        "NetworkInsightsPathArn": "arn:aws:ec2:us-east-1:123456789012:network-insights-path/nip-01a23b456c789101d1",
        "CreatedDate": "2021-06-01T01:00:00.000000+00:00",
        "Source": "i-ab001122334455667",
        "Destination": "igw-00aabb11223344556",
        "Protocol": "tcp",
        "DestinationPort": 22
    }
}

2.    通过将网络洞察路径 ID 作为参数添加到以下示例命令中来分析路径:

aws ec2 start-network-insights-analysis --network-insights-path-id nip-01a23b456c789101d1

示例输出:

{
    "NetworkInsightsAnalysis": {
        "NetworkInsightsAnalysisId": "nia-0fb371a9ea7ce9712",
        "NetworkInsightsAnalysisArn": "arn:aws:ec2:us-east-1:123456789012:network-insights-analysis/nia-0fb371a9ea7ce9712",
        "NetworkInsightsPathId": "nip-01a23b456c789101d1",
        "StartDate": "2021-06-01T01:00:00.000000+00:00",
        "Status": "running"
    }
}

3.    通过将上一步中获得的 NetworkInsightsAnalysisIds 参数添加到以下示例命令中来获取路径分析的结果:

aws ec2 describe-network-insights-analyses --network-insights-analysis-ids nia-0fb371a9ea7ce9712

当路径不可达时,NetworkPathFound 为 false 并且 ExplanationCode 会包含一个解释代码。有关每个解释代码的更多信息,请参阅 VPC Reachability Analyzer 解释代码


这篇文章对您有帮助吗?


您是否需要账单或技术支持?