AWSSupport-SetupIPMonitoringFromVPC - AWS Systems Manager Referencia del manual de automatización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWSSupport-SetupIPMonitoringFromVPC

Descripción

AWSSupport-SetupIPMonitoringFromVPCcrea una instancia de Amazon Elastic Compute Cloud (Amazon EC2) en la subred especificada y monitorea el IPs objetivo IPv4 ( IPv6o) seleccionado mediante la ejecución continua de pruebas de ping, MTR, traceroute y tracetcp. Los resultados se almacenan en los CloudWatch registros de Amazon Logs y se aplican filtros de métricas para visualizar rápidamente las estadísticas de latencia y pérdida de paquetes en un CloudWatch panel de control.

Información adicional

CloudWatch Los datos de los registros se pueden utilizar para solucionar problemas de red y analizar si la pattern/trends. Additionally, you can configure CloudWatch alarms with Amazon SNS notifications when packet loss and/or latencia alcanza un umbral. Los datos también se pueden usar al abrir un caso AWS Support, para ayudar a aislar un problema rápidamente y reducir el tiempo de resolución al investigar un problema de red.

Ejecuta esta automatización (consola)

Tipo de documento

Automatización

Propietario

Amazon

Plataformas

Linux, macOS, Windows

Parámetros

  • AutomationAssumeRole

    Tipo: cadena

    Descripción: (opcional) el Nombre de recurso de Amazon (ARN) del rol de AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.

  • CloudWatchLogGroupNamePrefix

    Tipo: cadena

    Valor predeterminado: /AWSSupport-SetupIPMonitoringFromVPC

    Descripción: Prefijo (opcional) utilizado para cada grupo de CloudWatch registros creado para los resultados de las pruebas.

  • CloudWatchLogGroupRetentionInDays

    Tipo: cadena

    Valores válidos: 1 | 3 | 5 | 7 | 14 | 30 | 60 | 90 | 120 | 150 | 180 | 365 | 400 | 545 | 731 | 1827 | 3653

    Valor predeterminado: 7

    Descripción: (opcional) número de días para los que desea conservar los resultados de monitorización de red.

  • InstanceType

    Tipo: cadena

    Valores válidos: t2.micro | t2.small | t2.medium | t2.large | t3.micro | t3.small | t3.medium | t3.large | t4g.micro | t4g.small | t4g.medium | t4g.large

    Valor predeterminado: t3.micro

    Descripción: (opcional) El tipo de instancia EC2 de la instancia de EC2 Rescue. Tamaño recomendado: t3.micro.

  • SubnetId

    Tipo: cadena

    Descripción: (opcional) ID de subred para la instancia de monitor. Tenga en cuenta que si especifica una subred privada, debe asegurarse de que haya acceso a Internet para permitir que la instancia del monitor configure la prueba (es decir, instale el agente CloudWatch Logs, interactúe con Systems Manager y CloudWatch).

  • Destino IPs

    Tipo: cadena

    Descripción: (Obligatorio) Lista separada por comas de IPv4s y/o IPv6s para monitorear. No se permiten espacios. El tamaño máximo es de 255 caracteres. Tenga en cuenta que si proporciona una IP no válida, la Automation producirá un error y restaurará la configuración de prueba.

  • TestInstanceSecurityGroupId

    Tipo: cadena

    Descripción: (opcional) El ID del grupo de seguridad de la instancia de prueba. Si no se especifica, la automatización crea uno durante la creación de la instancia. Asegúrese de que el grupo de seguridad permita el acceso saliente a la supervisión IPs.

  • TestInstanceProfileName

    Tipo: cadena

    Descripción: (opcional) El nombre de un perfil de instancia de IAM existente para la instancia de prueba. Si no se especifica, la automatización crea uno durante la creación de la instancia. El rol debe tener los siguientes permisos:logs:CreateLogStream, logs:DescribeLogGroupslogs:DescribeLogStreams, y logs:PutLogEvents y la Política AWS gestionadaAmazonSSMManagedInstanceCore.

  • TestInterval

    Tipo: cadena

    Descripción: (opcional) El número de minutos entre los intervalos de prueba. El valor predeterminado es 1 minuto y el máximo 10 minutos.

  • RetainDashboardAndLogsOnDeletion

    Tipo: cadena

    Descripción: (opcional) False Especifica que se eliminen el CloudWatch panel de control y los registros de Amazon al eliminar la AWS AWS CloudFormation pila. El valor predeterminado es True. De forma predeterminada, el panel y los registros se conservan y deberán eliminarse manualmente cuando ya no se necesiten.

Permisos de IAM necesarios

El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.

aviso

Se recomienda introducir TestInstanceProfileName parámetros o garantizar la instalación de barreras de seguridad para evitar el uso indebido de los permisos de IAM mutables.

Se recomienda que el usuario que ejecuta la automatización tenga adjunta la política gestionada por Amazon SSMAutomation Role IAM. Además, el usuario debe tener la siguiente política asociada a su cuenta de usuario, grupo o rol:

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Action": [
                "iam:CreateRole",
                "iam:CreateInstanceProfile",
                "iam:GetRole",
                "iam:GetInstanceProfile",
                "iam:DetachRolePolicy",
                "iam:AttachRolePolicy",
                "iam:PassRole",
                "iam:AddRoleToInstanceProfile",
                "iam:GetRolePolicy",
                "iam:RemoveRoleFromInstanceProfile",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DeleteInstanceProfile",
                "iam:PutRolePolicy",
                "iam:TagRole"
            ],
            "Resource": [
                "arn:aws:iam::111122223333:role/SetupIPMonitoringFromVPC*",
                "arn:aws:iam::111122223333:instance-profile/SetupIPMonitoringFromVPC*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:CreateChangeSet",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStacks",
                "cloudformation:DescribeStackEvents",
                "cloudwatch:PutDashboard",
                "cloudwatch:DeleteDashboards",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:CreateSecurityGroup",
                "ec2:CreateLaunchTemplate",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeImages",
                "ec2:DescribeSubnets",
                "ec2:DescribeInstanceTypes",
                "ec2:DescribeVpcs",
                "ec2:DeleteLaunchTemplate",
                "ec2:DeleteSecurityGroup",
                "ec2:RunInstances",
                "ec2:TerminateInstances",
                "ec2:DescribeInstanceStatus",
                "ec2:CreateTags",
                "ec2:AssignIpv6Addresses",
                "ec2:DescribeTags",
                "ec2:DescribeInstances",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeLaunchTemplates",
                "ec2:RevokeSecurityGroupEgress",
                "logs:CreateLogGroup",
                "logs:DeleteLogGroup",
                "logs:PutMetricFilter",
                "logs:PutRetentionPolicy",
                "logs:TagResource",
                "ssm:DescribeInstanceInformation",
                "ssm:GetParameter",
                "ssm:GetParameters",
                "ssm:SendCommand",
                "ssm:ListCommands",
                "ssm:ListCommandInvocations"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

Si se proporciona el TestInstanceProfileName parámetro, no se requieren los siguientes permisos de IAM para ejecutar el runbook:

  • iam: CreateRole

  • objetivo: CreateInstanceProfile

  • objetivo: DetachRolePolicy

  • objetivo: AttachRolePolicy

  • objetivo: AddRoleToInstanceProfile

  • objetivo: RemoveRoleFromInstanceProfile

  • objetivo: DeleteRole

  • objetivo: DeleteRolePolicy

  • objetivo: DeleteInstanceProfile

Pasos de documentos

  1. aws:executeAwsApi- describa la subred proporcionada para obtener el ID de VPC IPv6 y el estado de asociación de bloques CIDR.

  2. aws:executeScript- compruebe que el destino proporcionado es correcto desde el punto de vista sintáctico IPv4 o IPv6 las direcciones, obtenga la arquitectura del tipo de instancia seleccionado y compruebe que la subred tiene una asociación de grupos, si es que IPs hay alguna IP IPv6 de destino. IPv6

  3. aws:createStack- cree una AWS CloudFormation pila que aprovisione la instancia Amazon EC2 de prueba, el perfil de la instancia de IAM (si no se proporciona), el grupo de seguridad (si no se proporciona), los grupos de CloudWatch registros y el panel de control. CloudWatch

    (Limpieza) Si el paso falla:

    aws:executeScript- describa los eventos de la CloudFormation pila para identificar el motivo del error.

    aws:deleteStack- eliminar la CloudFormation pila y todos los recursos asociados.

  4. aws:waitForAwsResourceProperty- espere a que se complete la creación de la CloudFormation pila.

    (Limpieza) Si el paso falla:

    aws:executeScript- describa los eventos de la CloudFormation pila para identificar el motivo del error.

    aws:deleteStack- eliminar la CloudFormation pila y todos los recursos asociados.

  5. aws:executeScript- describa los recursos de la CloudFormation pila para obtener el ID de la instancia de prueba, el ID del grupo de seguridad, la función de IAM, el perfil de la instancia y el nombre del panel de control.

    (Limpieza) Si el paso falla:

    aws:executeScript- describa los eventos de la CloudFormation pila para identificar el motivo del error.

    aws:deleteStack- eliminar la CloudFormation pila y todos los recursos asociados.

  6. aws:waitForAwsResourceProperty: espera a que la instancia de prueba se convierta en una instancia gestionada.

    (Limpieza) Si el paso falla:

    aws:deleteStack- eliminar la CloudFormation pila y todos los recursos asociados.

  7. aws:runCommand- instale el CloudWatch agente en la instancia de prueba.

    (Limpieza) Si el paso falla:

    aws:deleteStack- eliminar la CloudFormation pila y todos los recursos asociados.

  8. aws:runCommand- defina los scripts de prueba de red (MTR, ping, tracepath y traceroute) para cada uno de los proporcionados. IPs

    (Limpieza) Si el paso falla:

    aws:deleteStack- elimine la pila y todos los CloudFormation recursos asociados.

  9. aws:runCommand- inicie las pruebas de red y programe las ejecuciones posteriores mediante cronjobs que se ejecutan cada TestInterval minuto.

    (Limpieza) Si el paso falla:

    aws:deleteStack- eliminar la CloudFormation pila y todos los recursos asociados.

  10. aws:runCommand- configurar el CloudWatch agente para enviar los resultados de las pruebas /home/ec2-user/logs/ a CloudWatch los registros.

    (Limpieza) Si el paso falla:

    aws:deleteStack- eliminar la CloudFormation pila y todos los recursos asociados.

  11. aws:runCommand- configurar la rotación de registros para los resultados de las pruebas en/home/ec2-user/logs/.

  12. aws:executeScript- establezca la política de retención para todos los grupos de CloudWatch registros creados por la CloudFormation pila.

  13. aws:executeScript- cree filtros métricos de grupos de CloudWatch registros para la latencia de ping y la pérdida de paquetes de ping.

    (Limpieza) Si el paso falla:

    aws:deleteStack- eliminar la CloudFormation pila y todos los recursos asociados.

  14. aws:executeScript- actualice el CloudWatch panel de control para incluir widgets con estadísticas de latencia de ping y pérdida de paquetes de ping.

    (Limpieza) Si el paso falla:

    aws:executeAwsApi- elimine el CloudWatch panel de control, si existe.

    aws:deleteStack- eliminar la CloudFormation pila y todos los recursos asociados.

  15. aws:branch- evaluar el SleepTime parámetro. Si se establece en0, la automatización finaliza sin eliminar la pila.

  16. aws:sleep- espere el tiempo especificado SleepTime antes de eliminar la CloudFormation pila.

  17. aws:deleteStack- eliminar la CloudFormation pila. Según el RetainDashboardAndLogsOnDeletion parámetro, el CloudWatch panel de control y los grupos de registros se conservan o se eliminan.

    (Limpieza) Si se produce un error al eliminar la pila:

    aws:executeScript- describa los eventos de la CloudFormation pila para identificar el motivo del error de eliminación.

Salidas

updateCloudWatchPanel de control. StackUrl - la URL de la CloudFormation pila.

updateCloudWatchPanel de control. DashboardUrl - la URL del CloudWatch panel de control.

updateCloudWatchPanel de control. DashboardName - el nombre del CloudWatch panel de control.

updateCloudWatchCuadro de mandos. LogGroups - la lista de grupos de CloudWatch registros creados.

describeStackResources. HelperInstanceId - el ID de la instancia de prueba.

describeStackResources. StackName - el nombre de la CloudFormation pila.