View a markdown version of this page

Pemecahan masalah jaringan VPC - AWS HealthOmics
Pemantauan dan pemecahan masalah jaringanPemecahan masalah konfigurasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pemecahan masalah jaringan VPC

Pemantauan dan pemecahan masalah jaringan

CloudTrail penebangan

Semua operasi API Konfigurasi dan alur kerja yang berjalan menggunakan jaringan VPC masuk. CloudTrail Gunakan CloudTrail untuk mengaudit perubahan konfigurasi dan melacak yang berjalan menggunakan jaringan VPC.

Pemecahan masalah dengan log aliran ENI

Saat alur kerja Anda berjalan mengakses sumber daya eksternal melalui internet, Anda dapat menggunakan VPC Flow Logs untuk memverifikasi konektivitas dan mendiagnosis masalah. HealthOmics menyediakan antarmuka jaringan elastis (ENIs) di subnet VPC Anda untuk merutekan lalu lintas dari tugas alur kerja Anda. Dengan memeriksa log aliran pada ini ENIs, Anda dapat melacak lalu lintas jaringan ke dan dari tujuan eksternal.

Manajemen biaya untuk VPC Flow Logs

VPC Flow Logs dapat menimbulkan biaya yang signifikan, terutama di tingkat VPC. Untuk meminimalkan biaya:

  • Hapus log aliran setelah pemecahan masalah. Setelah Anda menyelesaikan masalah konektivitas, hapus log alur untuk menghentikan biaya.

  • Gunakan Amazon S3 alih-alih CloudWatch Log untuk penyimpanan jangka panjang. Penyimpanan Amazon S3 secara signifikan lebih murah daripada CloudWatch Log. Konfigurasikan log alur untuk dipublikasikan ke Amazon S3 jika Anda perlu menyimpan log untuk analisis kepatuhan atau keamanan.

  • Tetapkan kebijakan penyimpanan CloudWatch Log. Jika menggunakan CloudWatch Log, konfigurasikan kedaluwarsa log otomatis (misalnya, 7 hari) untuk mencegah biaya penyimpanan yang tidak terbatas.

  • Gunakan log aliran tingkat ENI untuk pemecahan masalah. Untuk debugging satu kali, buat flow log pada ENI pelanggan tertentu daripada seluruh VPC.

Menyiapkan log aliran untuk pemecahan masalah

Opsi 1: Log aliran tingkat VPC (untuk pemantauan berkelanjutan)

Aktifkan log alur di VPC Anda untuk secara otomatis menangkap lalu lintas dari semua HealthOmics alur kerja yang berjalan. Ini paling baik jika Anda memiliki banyak alur kerja yang berjalan dan menginginkan visibilitas yang komprehensif tanpa melacak individu. ENIs

  1. Aktifkan Log Aliran VPC. Di konsol VPC Amazon:

    1. Pilih Anda VPCs dan pilih VPC yang digunakan dalam konfigurasi Anda HealthOmics

    2. Pilih tab Flow logs

    3. Pilih Buat log alur

    4. Konfigurasikan log alur untuk menangkap Semua lalu lintas (diterima dan ditolak)

    5. Pilih CloudWatch Log sebagai tujuan untuk pertanyaan yang lebih mudah

  2. Mulai menjalankan alur kerja. Mulai menjalankan alur kerja dengan jaringan VPC diaktifkan. Perhatikan ID run dan waktu mulai untuk memfilter log aliran nanti.

Log alur kueri menggunakan Wawasan CloudWatch Log berdasarkan jendela waktu, IP tujuan, atau pola lalu lintas. Anda tidak perlu mengidentifikasi ENI tertentu IDs.

Opsi 2: Log aliran tingkat ENI (untuk pemecahan masalah yang ditargetkan)

Aktifkan log alur secara spesifik ENIs ketika Anda hanya memiliki beberapa HealthOmics ENIs di akun Anda. Ini adalah pendekatan yang paling hemat biaya dan membuatnya mudah untuk mengisolasi lalu lintas untuk menjalankan alur kerja tertentu.

  1. Temukan pelanggan ENI. Di konsol Amazon EC2:

    1. Pilih Antarmuka Jaringan

    2. Filter berdasarkan tag Service: HealthOmics untuk ditampilkan hanya ENIs dibuat oleh HealthOmics

    3. Secara opsional, filter lebih lanjut berdasarkan subnet ID dari konfigurasi Anda HealthOmics

    4. Perhatikan ID ENI dan alamat IP pribadi

  2. Aktifkan log aliran pada ENI.

    1. Pilih ENI dan pilih tab Flow logs

    2. Pilih Buat log alur

    3. Konfigurasikan log aliran untuk menangkap Semua lalu lintas

    4. Pilih CloudWatch Log sebagai tujuan

catatan

Log aliran hanya menangkap lalu lintas sejak diaktifkan. Untuk log aliran tingkat VPC, aktifkan sebelum menjalankan alur kerja. Untuk log alur tingkat ENI, setelah diaktifkan pada ENI, log alur yang sama akan menangkap lalu lintas untuk semua proses alur kerja future yang menggunakan ENI tersebut.

Memahami format Log Aliran VPC

VPC Flow Logs menggunakan format yang dipisahkan spasi dengan bidang-bidang berikut:

version account_id interface_id srcaddr dstaddr srcport dstport protocol packets bytes start end action log_status

Deskripsi bidang:

  • versi - Versi format log aliran (biasanya 2)

  • account_id — ID akun Anda AWS

  • interface_id — ID ENI (misalnya, eni-0e57c5476efeac402)

  • srcaddr — Alamat IP sumber

  • dstaddr — Alamat IP tujuan

  • srcport - Nomor port sumber

  • dstport - Nomor port tujuan

  • protokol - Nomor protokol IANA (6 = TCP, 17 = UDP, 1 = ICMP)

  • paket — Jumlah paket dalam aliran

  • byte - Jumlah byte dalam aliran

  • mulai - Waktu mulai aliran (stempel waktu Unix)

  • akhir - Waktu akhir aliran (stempel waktu Unix)

  • tindakan — MENERIMA atau MENOLAK

  • log_status - OK, NODATA, atau SKIPDATA

Contoh entri log aliran:

2 074296239033 eni-0e57c5476efeac402 10.0.130.58 13.226.238.96 40565 443 6 13 1502 1774338927 1774338929 ACCEPT OK
2 074296239033 eni-0e57c5476efeac402 13.226.238.96 10.0.130.58 443 40565 6 8 1024 1774338928 1774338930 ACCEPT OK

Entri ini menunjukkan komunikasi HTTPS dua arah yang sukses. Kunci IPs: 10.0.130.58 adalah ENI pelanggan yang dibuat oleh HealthOmics di akun Anda, dan 13.226.238.96 adalah domain publik eksternal yang diakses alur kerja Anda. Entri pertama adalah lalu lintas keluar, dan yang kedua adalah lalu lintas kembali. Keduanya menunjukkan ACCEPT, menunjukkan lalu lintas diizinkan oleh kelompok keamanan.

Menanyakan log alur di Wawasan CloudWatch Log

Saat log aliran dipublikasikan ke CloudWatch Log, gunakan Wawasan CloudWatch Log untuk melakukan kueri dan menganalisis data.

Temukan lalu lintas yang ditolak (mulai di sini)

fields @timestamp, interfaceId, srcAddr, dstAddr, srcPort, dstPort, protocol, action
| filter action = "REJECT"
| sort @timestamp desc

Jika ini mengembalikan hasil, Anda mungkin memiliki masalah konektivitas. Entri yang ditolak menunjukkan lalu lintas mana yang diblokir oleh grup atau jaringan ACLs keamanan.

Temukan lalu lintas ke IP eksternal tertentu

Pertama, selesaikan domain ke alamat IP menggunakan nslookup ataudig:

$ nslookup ftp.ncbi.nlm.nih.gov
Server:  127.53.53.53
Address: 127.53.53.53#53

Non-authoritative answer:
ftp.ncbi.nlm.nih.gov    canonical name = ftp.wip.ncbi.nlm.nih.gov.
Name:    ftp.wip.ncbi.nlm.nih.gov
Address: 130.14.250.10
Name:    ftp.wip.ncbi.nlm.nih.gov
Address: 130.14.250.11

“Server” dan “Alamat” di bagian atas adalah penyelesai DNS Anda. Alamat di bawah “Jawaban non-otoritatif” (130.14.250.10 dan 130.14.250.11) adalah yang sebenarnya untuk domain tersebut. IPs

Log aliran kueri menggunakan awalan untuk mencocokkan IP apa pun dalam rentang tersebut:

fields @timestamp, interfaceId, srcAddr, dstAddr, srcPort, dstPort, protocol, action
| filter dstAddr like "130.14.250"
| sort @timestamp desc

Ini cocok dengan IP apa pun yang dimulai dengan 130.14.250, menangkap lalu lintas ke semua IPs di subnet itu.

Temukan lalu lintas HTTPS ke tujuan eksternal

fields @timestamp, interfaceId, srcAddr, dstAddr, srcPort, dstPort, protocol, action
| filter dstPort = 443 and protocol = 6
| filter not (dstAddr like /^10\./ or dstAddr like /^172\./ or dstAddr like /^192\.168\./)
| sort @timestamp desc

Filter kedua tidak termasuk rentang IP pribadi, hanya menampilkan lalu lintas ke tujuan eksternal (publik).

catatan

Nomor protokol: 6 = TCP, 17 = UDP, 1 = ICMP. Untuk layanan load-balanced (misalnya, CloudFront), DNS dapat kembali berbeda IPs, jadi filter berdasarkan port tujuan, bukan alamat IP.

Pola dan masalah log aliran umum

Lalu lintas keluar ditolak
Outbound: 2 074296239033 eni-0e57c5476efeac402 10.0.130.58 13.226.238.96 40565 443 6 1 60 1774338927 1774338929 REJECT OK

Penyebab: Grup keamanan tidak mengizinkan lalu lintas keluar ke port tujuan atau rentang IP.

Solusi: Tambahkan aturan keluar ke grup keamanan Anda:

  • Untuk HTTPS: Izinkan port TCP 443 ke 0.0.0.0/0

  • Untuk HTTP: Izinkan port TCP 80 hingga 0.0.0.0/0

  • Untuk akses yang lebih luas: Izinkan semua TCP/UDP ke 0.0.0.0/0

Lalu lintas kembali ditolak
Outbound: 2 074296239033 eni-0e57c5476efeac402 10.0.130.58 8.8.8.8 54321 53 17 1 64 1774338927 1774338929 ACCEPT OK
Return:   2 074296239033 eni-0e57c5476efeac402 8.8.8.8 10.0.130.58 53 54321 17 1 64 1774338928 1774338930 REJECT OK

Penyebab: ACL Jaringan memblokir lalu lintas kembali. Tidak seperti grup keamanan (stateful), jaringan ACLs bersifat stateless dan memerlukan aturan eksplisit untuk kedua arah.

Solusi: Di konsol VPC, periksa ACL jaringan subnet Anda dan verifikasi aturan masuk yang memungkinkan lalu lintas pada port sementara (1024-65535) dari sumber eksternal. Tambahkan aturan jika diperlukan: Izinkan TCP/UDP port 1024-65535 dari 0.0.0.0/0

Lalu lintas kembali hilang
Outbound: 2 074296239033 eni-0e57c5476efeac402 10.0.130.58 8.8.8.8 54321 53 17 1 64 1774338927 1774338929 ACCEPT OK

Penyebab: NAT Gateway/Internet Gateway tidak dikonfigurasi dengan benar, atau ENI tidak memiliki konektivitas ke internet.

Solusi:

  • Verifikasi tabel rute memiliki rute ke NAT Gateway (0.0.0.0/0 → nat-xxxxx)

  • Verifikasi NAT Gateway dalam status TERSEDIA dengan IP Elastis

  • Periksa NAT Gateway berada di subnet publik dengan rute ke Internet Gateway

Tidak ada entri log aliran untuk lalu lintas yang diharapkan

Penyebab: Lalu lintas tidak mencapai ENI, atau log aliran tidak dikonfigurasi dengan benar.

Solusi:

  • Verifikasi log alur diaktifkan dan dikonfigurasi untuk menangkap semua lalu lintas

  • Periksa log alur kerja di CloudWatch Log untuk mengonfirmasi alur kerja yang mencoba mengakses sumber daya eksternal

  • Verifikasi tabel rute memiliki rute ke NAT Gateway (0.0.0.0/0 → nat-xxxxx)

  • Verifikasi NAT Gateway dalam status TERSEDIA dengan IP Elastis

Praktik terbaik untuk pemecahan masalah flow log

  1. Aktifkan log aliran sebelum memulai pemecahan masalah. Log aliran hanya menangkap lalu lintas sejak diaktifkan. Aktifkan mereka di semua subnet dalam HealthOmics konfigurasi Anda sebelum menjalankan alur kerja.

  2. Gunakan Wawasan CloudWatch Log untuk analisis. CloudWatch Logs Insights menyediakan kemampuan kueri yang kuat untuk log aliran. Simpan kueri yang umum digunakan untuk akses cepat.

  3. Filter berdasarkan jendela waktu. Persempit kueri log alur Anda ke jendela waktu tertentu saat alur kerja Anda aktif untuk mengurangi noise dan meningkatkan kinerja kueri.

  4. Cari kedua arah lalu lintas. Selalu verifikasi bahwa lalu lintas keluar dan kembali menunjukkan TERIMA. Koneksi membutuhkan komunikasi dua arah.

  5. Dokumentasikan temuan Anda. Saat memecahkan masalah konektivitas, dokumentasikan ID ENI pelanggan, alamat IP, port, dan entri log aliran. Informasi ini berharga untuk kasus dukungan dan pemecahan masalah di masa depan.

  6. Uji dengan alur kerja sederhana terlebih dahulu. Sebelum menjalankan alur kerja yang kompleks, uji konektivitas dengan alur kerja sederhana yang mencoba mengakses sumber daya eksternal dan mencatat hasilnya. Ini membantu mengisolasi masalah jaringan dari masalah logika alur kerja.

Pemecahan masalah konfigurasi

Konfigurasi macet dalam status CREATING

Penyebab: Penyediaan sumber daya jaringan dapat memakan waktu beberapa menit.

Solusi: Tunggu hingga 10 menit. Jika status tidak berubah menjadi ACTIVE, periksa hal berikut:

  • Subnet dan grup keamanan Anda ada dan berada di VPC yang sama.

  • Anda memiliki izin IAM yang diperlukan.

  • Peran terkait layanan berhasil dibuat.

Jalankan gagal memulai dengan jaringan VPC

Penyebab: Konfigurasi mungkin tidak AKTIF, atau mungkin ada masalah konektivitas jaringan.

Solusi:

  • Verifikasi bahwa status konfigurasi AKTIF dengan menggunakanGetConfiguration.

  • Periksa apakah aturan grup keamanan mengizinkan lalu lintas keluar yang diperlukan.

  • Pastikan subnet berada di Availability Zone tempat HealthOmics beroperasi.

Tidak dapat menghapus konfigurasi

Penyebab: Konfigurasi sedang digunakan oleh alur kerja aktif berjalan.

Solusi: Tunggu semua proses menggunakan konfigurasi untuk menyelesaikan, lalu coba lagi penghapusan.

Tidak dapat menghapus peran terkait layanan

Penyebab: Konfigurasi VPC aktif ada di akun Anda.

Solusi: Hapus semua konfigurasi VPC terlebih dahulu, lalu hapus peran terkait layanan.

Alur kerja tidak dapat terhubung ke sumber daya eksternal

Penyebab: Kesalahan konfigurasi grup keamanan atau tabel rute.

Solusi:

  1. Aktifkan Log Aliran VPC untuk mengidentifikasi paket yang ditolak

  2. Periksa aturan keluar grup keamanan mengizinkan lalu lintas ke tujuan

  3. Verifikasi tabel rute memiliki rute ke NAT Gateway (0.0.0.0/0 → nat-xxxxxx)

  4. Untuk akses AWS layanan lintas wilayah, pastikan Wilayah tujuan dapat dijangkau

  5. Uji konektivitas dari instans Amazon EC2 di subnet yang sama

Masalah kinerja jaringan

Gejala: Transfer data lambat atau batas waktu alur kerja.

Penyebab: Batasan throughput jaringan atau saturasi NAT Gateway.

Solusi:

  • Throughput jaringan dimulai pada 10 Gbps per ENI dan skala hingga 100 Gbps selama periode 60 menit dengan lalu lintas berkelanjutan

  • Untuk alur kerja dengan persyaratan throughput tinggi langsung, silakan hubungi Support AWS

  • Pantau metrik NAT Gateway CloudWatch untuk mengidentifikasi saturasi

  • Pertimbangkan untuk menerapkan Gateway NAT tambahan di beberapa Availability Zone untuk throughput yang lebih tinggi

Alur kerja tidak dapat menjangkau internet

Penyebab: Subnet pribadi mungkin tidak memiliki rute ke gateway NAT, atau aturan grup keamanan mungkin memblokir lalu lintas keluar.

Solusi:

  • Verifikasi bahwa tabel rute untuk subnet pribadi Anda menyertakan rute ke gateway NAT (0.0.0.0/0 → nat-xxxxxxxxx).

  • Periksa apakah aturan grup keamanan mengizinkan lalu lintas keluar pada port yang diperlukan.

  • Verifikasi bahwa gateway NAT berada di subnet publik dengan rute ke gateway internet.

Proses alur kerja gagal dengan kesalahan konektivitas

Penyebab: Lalu lintas jaringan mungkin diblokir atau salah konfigurasi.

Solusi:

  1. Verifikasi bahwa konfigurasi masih dalam status AKTIF dengan menggunakanGetConfiguration.

  2. Buat log aliran VPC di VPC Anda untuk ENIs memeriksa lalu lintas. Untuk informasi selengkapnya, lihat Log Alur VPC di Panduan Pengguna Amazon VPC.

  3. Periksa log aliran untuk entri TOLAK. Jika Anda melihat paket yang ditolak, perbarui aturan grup keamanan Anda untuk mengizinkan lalu lintas keluar yang diperlukan.

  4. Jika log aliran tidak mengungkapkan akar penyebab, hubungi AWS Support.