¿Cómo puedo solucionar las comprobaciones de estado de Route 53 que se muestran como incorrectas?

7 minutos de lectura
0

Las comprobaciones de estado de Amazon Route 53 que he creado se muestran como incorrectas.

Resolución

Nota: Si recibe errores al ejecutar los comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), asegúrese de usar la versión más reciente de AWS CLI.

En primer lugar, determine el motivo del último error de comprobación de estado mediante la consola de administración de AWS. O bien, use el comando get-health-check-last-failure-reason de AWS CLI.

A continuación, complete los pasos de solución de problemas correspondientes de la siguiente sección para identificar y solucionar el problema.

Nota: Independientemente del tipo de comprobación de estado, verifique el estado de la opción Invertir estado de la comprobación de estado. Si esta opción se establece en true, Route 53 considerará que la comprobación de estado no es correcta, incluso si está marcada como correcta.

Solución de problemas de una comprobación de estado que supervisa un punto de conexión

Error: El comprobador de estado no pudo establecer una conexión antes de que finalizara el tiempo de espera.

El error anterior se produce cuando se agota el tiempo de espera cuando los verificadores de estado intentan conectarse con el punto de conexión configurado. Los tiempos mínimos para establecer una conexión son los siguientes:

  • Para las comprobaciones de estado de TCP, la conexión TCP entre los comprobadores de estado y el punto de conexión debe realizarse en diez segundos.
  • Para las comprobaciones de estado de HTTP y HTTPS, la conexión TCP entre los comprobadores de estado y el punto de conexión debe realizarse en cuatro segundos. El punto de conexión debe responder con un código de estado HTTP 2xx o 3xx en un plazo de dos segundos después de establecer la conexión.

Para obtener más información, consulte Cómo determina Amazon Route 53 si la comprobación de estado es correcta.

Para evitar el error de agotamiento de tiempo de espera, siga los pasos siguientes:

1.    En la configuración de verificación de estado, anote el Nombre de dominio o la Dirección IP del punto de conexión.

2.    Acceda al punto de conexión. Confirme que el firewall o el servidor permiten las conexiones desde las direcciones IP públicas de Route 53 para las regiones de AWS designadas en la configuración de comprobación de estado. Consulte los rangos IP y busque el servicio: ROUTE53_HEALTHCHECKS. Para los recursos de punto de conexión que están alojados en AWS, configure los grupos de seguridad y las listas de control de acceso a la red para permitir las direcciones IP de los verificadores de estado de Route 53.

3.    Use las siguientes herramientas para probar la conectividad con el punto de conexión configurado a través de Internet. Sustituya los marcadores de posición en el comando siguiente. En los siguientes comandos de ejemplo, las variables con los valores de su caso de uso.

Prueba de TCP

$ telnet <domain name / IP address> <port>

Prueba de HTTP/HTTPS

$ curl -Ik -w "HTTPCode=%{http_code} TotalTime=%{time_total}\n" <http/https>://<domain-name/ip address>:<port>/<path> -so /dev/null

Compare el resultado de las pruebas anteriores con los valores de tiempo de espera de las comprobaciones de estado. A continuación, confirme que su solicitud responde dentro de los plazos respectivos.

Por ejemplo, si ejecuta la prueba siguiente:

curl -Ik -w "HTTPCode=%{http_code} TotalTime=%{time_total}\n" https://example.com -so /dev/null

Entonces el resultado es:

HTTPCode=200 TotalTime=0.001963

En este ejemplo, el tiempo total para obtener respuestas con el código de estado HTTP 200 es de 0,001963 segundos.

Para las conexiones HTTP, el tiempo de conexión debe ser inferior a cuatro segundos. El punto de conexión debe responder con el código de estado HTTP antes de que transcurran dos segundos tras la conexión. El tiempo total es de seis segundos. Un valor superior a seis segundos indica que el punto de conexión tarda en responder y que la comprobación de estado no funciona. En este caso, compruebe su punto de conexión para asegurarse de que responde dentro del período de tiempo de espera.

Si el resultado de los comandos de prueba muestra un código HTTP distinto de 200, compruebe las configuraciones siguientes:

  • Reglas de firewall
  • Grupos de seguridad
  • Listas de control de acceso a la red

Al comprobar las configuraciones anteriores, confirme que su punto de conexión permita conexiones desde direcciones IP públicas de Route 53.

4.    Si está activada, use la opción de gráfico de latencia de la configuración de comprobación de estado para verificar lo siguiente en el gráfico de métricas:

  • Tiempo de conexión TCP
  • Tiempo hasta el primer byte
  • Tiempo para completar el protocolo de enlace SSL

Para obtener más información, consulte Monitorización de la latencia entre los comprobadores de estado y el punto de conexión.

Nota:

  • Si el gráfico de latencia no está activado, no podrá editar las comprobaciones de estado existentes. En su lugar, deberá crear una nueva comprobación de estado.
  • Si se publica o actualiza la dirección IP elástica del punto de conexión que está supervisando, es posible que la comprobación de estado falle.

Error: SSL alert handshake_failure

El error de fallo de protocolo de enlace indica que la negociación de SSL o TLS con el punto de conexión ha fallado. Al activar el SNI (solo HTTPS), Route 53 envía el nombre de host en el mensaje "client_hello" al punto de conexión durante la negociación de TLS. Esta acción permite que el punto de conexión responda a la solicitud de HTTPS con el certificado SSL o TLS correspondiente.

Si el nombre de host supervisado no forma parte del nombre común del certificado SSL o TLS del punto de conexión, aparecerá el error "SSL alert handshake_failure".

Nota: Para activar el SNI, el punto de conexión supervisado debe ser compatible con el SNI.

Solución de problemas de comprobaciones de estado con la condición de coincidencia de cadenas.

El servidor del punto de conexión devuelve "200 OK", pero Route 53 marca la comprobación de estado como incorrecta.

Los verificadores de estado deben establecer una conexión TCP con el punto de conexión en un plazo de cuatro segundos. Los verificadores de estado deben recibir un código de estado HTTP de 2xx o 3xx en los próximos dos segundos. A continuación, la cadena configurada debe aparecer en los primeros 5,120 bytes del cuerpo de la respuesta en los próximos dos segundos. Si la cadena no está presente en los primeros 5,120 bytes, Route 53 marcará la comprobación de estado como incorrecta.

Para comprobar que la cadena aparece en los primeros 5,120 bytes del cuerpo de la respuesta, use el comando siguiente. Sustituya el nombre de dominio, el puerto y la cadena $search-string por sus valores.

$ curl -sL <http/https>://<domain-name>:<port> | head -c 5120 | grep $search-string

Solución de problemas de una comprobación de estado que supervisa una alarma de CloudWatch.

Route 53 no espera a que la alarma de Amazon CloudWatch pase al estado ALARM.

La situación anterior se produce cuando Route 53 supervisa el flujo de datos de métricas en lugar del estado de la alarma de CloudWatch.

Para resolver este error, siga los pasos siguientes:

1.    Verifique la configuración de la comprobación de estado que tiene el estado DATOS INSUFICIENTES. Si el flujo de datos de métricas no proporciona información suficiente para determinar el estado de la alarma, el estado de la comprobación de estado dependerá del ajuste InsufficientDataHealthStatus. Las opciones de estado del ajuste InsufficientDataHealthStatus son correcto, incorrecto o último estado conocido.

2.    Al actualizar la configuración de una alarma de CloudWatch, la nueva configuración no aparece automáticamente en la comprobación de estado asociada. Para sincronizar la configuración de la comprobación de estado con la configuración actualizada de la alarma de CloudWatch:

  • En la consola de Route 53, elija Comprobaciones de estado.
  • Seleccione la comprobación de estado y, a continuación, seleccione Sincronizar configuración.
OFICIAL DE AWS
OFICIAL DE AWSActualizada hace un año