使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款
AWS re:Postre:Post

如何對 Network Manager 註冊和事件監控問題進行疑難排解?

2 分的閱讀內容
0

我無法向全域網路註冊我的傳輸閘道,並透過 Amazon CloudWatch Events 監控全域網路。如何對此問題進行疑難排解?

解決方案

若要對 AWS Network Manager 註冊和事件監控問題進行疑難排解,請執行以下操作:

檢查您的全域網路組態和傳輸閘道註冊

首先,請確認您已經建立了一個全域網路 。若要以 AWS Identity and Access Management (IAM) 使用者的身分建立全域網路,您必須擁有名為 AWSServiceRoleForNetworkManager 的服務連結角色 (SLR)。如需詳細資訊,請參閱 AWS Network Manager 服務連結角色。如需建立服務連結角色的說明,請參閱使用服務連結角色

然後,確認您已使用 Network Manager 主控台AWS Command Line Interface (AWS CLI) 向全域網路註冊您的傳輸閘道。若您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤,請確保您使用的是最新的 AWS CLI 版本
**注意:**如果您使用 AWS CLI 或 AWS 軟體開發套件,則必須指定美國西部 (奧勒岡) 區域。

如果傳輸閘道與全域帳戶不在同一個 AWS 帳戶中,請確認以下項目:

  • 傳輸閘道和全域帳戶屬於同一個 AWS Organization。如需詳細資訊,請參閱使用 AWS Organizations 在 Network Manager 中管理多個帳戶
  • 受信任存取已開啟,以將所需的 SLR 和自訂 IAM 角色部署到傳輸閘道帳戶。管理帳戶或委派的系統管理員帳戶需要受信任存取,才能擔任這些角色。
  • 多帳戶存取已開啟。最佳實務為使用 Network Manager 主控台開啟多帳戶存取。Network Manager 主控台會自動為受信任的存取建立所有必要的角色和許可,並允許註冊委派的系統管理員。

檢查您的 Amazon CloudWatch Log Insights 組態

確認您已加入 CloudWatch Logs Insights。若要確認您已加入 CloudWatch Logs Insights,請執行以下命令:

aws logs describe-resource-policies --region us-west-2

然後,確認在美國西部 (奧勒岡) 區域建立名稱為 DO_NOT_DELETE_networkmanager_TrustEventsToStoreLogEvents 的 CloudWatch 資源政策。還必須存在有以下資源:

  • 在美國西部 (奧勒岡) 區域中,有名稱為 DO_NOT_DELETE_networkmanager_rule 的 CloudWatch Event 規則。
  • 在美國西部 (奧勒岡) 區域中,有名稱為 /aws/events/networkmanagerloggroup 的 CloudWatch Logs 日誌群組
  • CloudWatch Event 規則已配置為以 CloudWatch Logs 日誌群組為目標。

如果您無法加入 CloudWatch Logs Insights,請檢查 IAM 使用者或角色是否具有執行此動作的以下許可:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "events:PutTargets",
                "events:DescribeRule",
                "logs:PutResourcePolicy",
                "logs:DescribeLogGroups",
                "logs:DescribeResourcePolicies",
                "events:PutRule",
                "logs:CreateLogGroup"
            ],
            "Resource": "*"
        }
    ]
}

**注意:**如果您使用 AWS CLI 或 AWS 軟體開發套件,則必須指定美國西部 (奧勒岡) 區域。

如需新增或修改角色許可,請參閱新增許可給使用者 (主控台),或修改角色許可政策 (主控台)

檢查您的 CloudWatch Events 監控組態

首先,請確認您已建立了一個全域網路 ,且已加入 CloudWatch Logs Insights

注意: 只有在全域網路中註冊傳輸閘道後,才會擷取監控事件。在註冊之前對傳輸閘道所做的任何變更都不會出現在事件監控下。

如果您仍然無法監控事件,請確認以下項目:

  • 對每個擷取到的事件調用名稱為 DO_NOT_DELETE_networkmanager_rule 的 CloudWatch Event 規則。此動作必須在美國西部 (奧勒岡) 區域中執行。
  • 事件規則DO_NOT_DELETE_networkmanager_ruleFailedInvocations 圖形為 0。藉由存取名稱為 DO_NOT_DELETE_networkmanager_rule 的事件規則,找出 FailedInvocations 圖形,然後選擇 Monitoring (監控) 索引標籤。
  • 如果有與擷取到的事件相符的成功規則調用,則請確認這些事件出現在美國西部 (奧勒岡) 區域中且名稱為 /aws/events/networkmanagerloggroupCloudWatch Logs 日誌群組中。
主題
網路與內容交付
標籤
Amazon VPCAWS Transit Gateway Network Manager
語言
中文 (繁體)
AWS 官方
AWS 官方已更新 2 年前
沒有評論

相關內容