Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

Wie behebe ich Probleme bei der Network-Manager-Registrierung und Ereignisüberwachung?

Lesedauer: 4 Minute
0

Ich kann mein Transit-Gateway nicht beim globalen Netzwerk registrieren und das globale Netzwerk nicht mit Amazon CloudWatch Events überwachen. Wie kann ich dies beheben?

Auflösung

Gehen Sie wie folgt vor, um Probleme bei der Registrierung von AWS Network Manager und der Ereignisüberwachung zu beheben:

Überprüfen Sie Ihre globale Netzwerkkonfiguration und Transit-Gateway-Registrierung

Stellen Sie zunächst sicher, dass Sie bereits ein globales Netzwerk erstellt haben. Um ein globales Netzwerk als Benutzer von AWS Identity and Access Management (IAM) zu erstellen, müssen Sie über die serviceverknüpfte Rolle (SLR) mit dem Namen AWSServiceRoleForNetworkManager verfügen. Weitere Informationen finden Sie unter Serviceverknüpfte Rollen von AWS Network Manager. Anweisungen zum Erstellen einer serviceverknüpften Rolle finden Sie unter Verwenden von serviceverknüpften Rollen.

Bestätigen Sie anschließend mithilfe der Network Manager-Konsole oder der AWS Command Line Interface (AWS CLI), dass Sie das Transit-Gateway bei Ihrem globalen Netzwerk registriert haben. Wenn Sie beim Ausführen von Befehlen von AWS Command Line Interface (AWS CLI) Fehlermeldungen erhalten, stellen Sie sicher, dass Sie die neueste AWS-CLI-Version verwenden.
Hinweis: Sie müssen die Region USA West (Oregon) angeben, wenn Sie AWS CLI oder AWS SDK verwenden.

Wenn sich das Transit-Gateway nicht im selben AWS-Konto wie das globale Konto befindet, bestätigen Sie Folgendes:

  • Das Transit-Gateway und die globalen Konten sind Teil derselben AWS-Organisation. Weitere Informationen finden Sie unter Verwalten mehrerer Konten in Network Manager mit AWS Organizations.
  • Der vertrauenswürdige Zugriff wird aktiviert, um die erforderlichen SLRs und benutzerdefinierten IAM-Rollen für das Transit-Gateway-Konto bereitzustellen. Vertrauenswürdiger Zugriff ist erforderlich, damit das Verwaltungskonto oder das delegierte Administratorkonto diese Rollen übernehmen kann.
  • Der Zugriff auf mehrere Konten ist aktiviert. Es hat sich bewährt, den Zugriff auf mehrere Konten über die Network-Manager-Konsole zu aktivieren. Die Network-Manager-Konsole erstellt automatisch alle erforderlichen Rollen und Berechtigungen für vertrauenswürdigen Zugriff und ermöglicht die Registrierung delegierter Administratoren.

Überprüfen Ihrer Konfiguration von Amazon CloudWatch Log Insights

Bestätigen Sie, dass Sie CloudWatch Logs Insights integriert haben. Führen Sie den folgenden Befehl aus, um zu bestätigen, dass Sie CloudWatch Logs Insights integriert haben:

aws logs describe-resource-policies --region us-west-2

Überprüfen Sie anschließend, ob in der Region USA West (Oregon) eine CloudWatch-Ressourcenrichtlinie mit dem Namen DO_NOT_DELETE_networkmanager_TrustEventsToStoreLogEvents erstellt wurde. Die folgenden Ressourcen müssen ebenfalls vorhanden sein:

  • Eine CloudWatch-Event-Regel mit dem Namen DO_NOT_DELETE_networkmanager_rule in der Region USA West (Oregon).
  • Eine CloudWatch-Logs-Protokollgruppe mit dem Namen /aws/events/networkmanagerloggroup in der Region USA West (Oregon)
  • Die CloudWatch-Event-Regel wird mit der CloudWatch-Logs-Protokollgruppe als Ziel konfiguriert.

Wenn Sie CloudWatch Logs Insights nicht integrieren können, überprüfen Sie, ob der IAM-Benutzer oder die IAM-Rolle über die folgenden Berechtigungen verfügt, um diese Aktion durchzuführen:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "events:PutTargets",
                "events:DescribeRule",
                "logs:PutResourcePolicy",
                "logs:DescribeLogGroups",
                "logs:DescribeResourcePolicies",
                "events:PutRule",
                "logs:CreateLogGroup"
            ],
            "Resource": "*"
        }
    ]
}

Hinweis: Sie müssen die Region USA West (Oregon) angeben, wenn Sie AWS CLI oder AWS SDK verwenden.

Informationen zum Hinzufügen oder Ändern von Rollenberechtigungen finden Sie unter Hinzufügen von Berechtigungen zu einem Benutzer (Konsole) oder Ändern einer Rollenberechtigungsrichtlinie (Konsole).

Überprüfen Ihrer CloudWatch-Events-Überwachungskonfiguration

Stellen Sie zunächst sicher, dass Sie ein globales Netzwerk erstellt und CloudWatch Logs Insights integriert haben.

Hinweis: Überwachungsereignisse werden erst erfasst, nachdem das Transit-Gateway im globalen Netzwerk registriert wurde. Alle Änderungen, die vor der Registrierung am Transit-Gateway vorgenommen wurden, werden nicht unter der Ereignisüberwachung angezeigt.

Wenn Sie die Ereignisse immer noch nicht überwachen können, bestätigen Sie Folgendes:

  • Die CloudWatch Event-Regel mit dem Namen DO_NOT_DELETE_networkmanager_rule wurde für jedes erfasste Ereignis aufgerufen. Diese Aktion muss in der Region USA West (Oregon) durchgeführt werden.
  • Das Diagramm FailedInvocations für die Ereignisregel DO_NOT_DELETE_networkmanager_rule ist 0. Suchen Sie das Diagramm FailedInvocations, indem Sie auf die Ereignisregel mit dem Namen DO_NOT_DELETE_networkmanager_rule zugreifen, und wählen Sie dann die Registerkarte Überwachung.
  • Wenn erfolgreiche Regelaufrufe vorhanden sind, die mit erfassten Ereignissen übereinstimmen, bestätigen Sie, dass diese Ereignisse in der CloudWatch-Logs-Protokollgruppe mit dem Namen /aws/events/networkmanagerloggroup in der Region USA West (Oregon) vorhanden sind.
Themen
Vernetzung & Bereitstellung von Inhalten
Tags
Amazon VPCAWS Transit Gateway Network Manager
Sprache
Deutsch
AWS OFFICIAL
AWS OFFICIALAktualisiert vor 2 Jahren

Relevanter Inhalt