¿Cómo puedo ver una lista de mis instancias de Amazon EC2 que están conectadas a Amazon EFS?

Descripción corta

Para realizar un seguimiento del tráfico de la interfaz de red de cada objetivo de montaje de Amazon EFS, utiliza los registros de flujo de Amazon Virtual Private Cloud (Amazon VPC). Publica los registros de flujo en Registros de Amazon CloudWatch. A continuación, usa Información de registros de CloudWatch para filtrar el flujo de tráfico en la interfaz de red del objetivo de montaje. Información de registros de CloudWatch usa una marca de tiempo específica para identificar las instancias de EC2 con sistemas de archivos EFS montados.

Resolución

Nota: Si se muestran errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), consulta Solución de problemas de AWS CLI. Además, asegúrate de utilizar la versión más reciente de la AWS CLI.

Creación de un grupo de registro

Sigue estos pasos:

1. Abre la consola de Amazon CloudWatch.
2. En el panel de navegación, elige Registros y, a continuación, selecciona Grupos de registros.
3. Selecciona Crear grupo de registro.
   En Nombre del grupo de registro, introduce un nombre.
   En Configuración de retención, introduce una configuración de retención.
   (Opcional) Agrega una clave de AWS Key Management Service (AWS KMS), un nombre de recurso de Amazon (ARN) y etiquetas.
4. Selecciona Crear.

Creación de un rol de IAM con permisos para publicar registros de flujo en Registros de CloudWatch

Sigue estos pasos:

1. Abre la consola de AWS Identity and Access Management (IAM).
2. En Administración de acceso, elige Roles.
3. Elige Crear rol y crea un nuevo rol de IAM.
4. En la política de IAM del rol, añade los permisos e incluye una política de confianza para que el servicio asuma el rol.

Obtención de las interfaces de red de objetivo de montaje del sistema de archivos de Amazon EFS

Nota: EFS tiene un destino de montaje diferente para cada Zona de disponibilidad.

Sigue estos pasos:

1. Abre la consola de EFS.
2. En Sistemas de archivos, selecciona tu sistema de archivos EFS y, a continuación, Ver detalles.
3. Haz clic en Red, y anota el ID de interfaz de red de cada objetivo de montaje.

Creación de los registros de flujo

Sigue estos pasos:

1. Abre la consola de EC2.
2. Elige Red y seguridad y, a continuación, Interfaces de red.
3. Elige las interfaces de red que utiliza el destino de montaje.
4. En el menú Acciones, selecciona Crear registro de flujo.
5. Introduce los siguientes valores:
   (Opcional) En Nombre, introduce un nombre de registro de flujo.
   En Filtro, elige Todo.
   En Intervalo máximo de agregación, elige el valor predeterminado de 10 minutos o 1 minuto.
   En Destino, elige Enviar a los registros de CloudWatch.
   En Grupo de registros de destino, elige tu grupo de registros.
   En Rol de IAM, elige tu rol de IAM.
   En Formato de registro, elige el formato predeterminado de AWS o el formato personalizado.
   (Opcional) En Etiquetas, añade etiquetas.
6. Selecciona Crear.
7. Para supervisar el estado del registro de flujo, elige la interfaz de red y, a continuación, elige Registros de flujo. Comprueba que el estado esté activo.

Nota: El sistema de registros de flujo publica el primer registro en Registros de CloudWatch pasados 10 minutos aproximadamente.

Comprobación de que los registros de flujo estén en Registros de CloudWatch

Sigue estos pasos:

1. Abre la consola de CloudWatch.
2. En el panel de navegación, selecciona Grupos de registro.
3. En Grupos de registros, elige tu grupo de registros.
4. Comprueba que aparecen todas las secuencias de registro.
   Nota: Cada interfaz de red tiene una secuencia de registro diferente.

Uso de Información de registros de CloudWatch para ejecutar una consulta

Sigue estos pasos:

1. Abre la consola de CloudWatch.
2. En el panel de navegación, elige Registros y, a continuación, selecciona Información de registros.
3. Elige tu grupo de registro.
4. Elige uno de los siguientes valores de duración: 5 m, 30 m, 1 h, 3 h, 12 h o Personalizado.
5. Ejecuta la siguiente consulta:

   fields @timestamp, @message | filter dstPort="2049" | stats count(*) as FlowLogEntries by srcAddr | sort FlowLogEntries desc

La consulta anterior revisa todos los registros de flujo de todos los objetivos de montaje. La consulta filtra los registros que tienen un puerto de destino establecido en Port=2049. Los clientes EFS se conectan a los objetivos de montaje en el puerto 2049 de NFS. La consulta recupera todas las direcciones IP únicas de los clientes de EFS y las ordena según las conexiones de cliente más activas. El número de entradas del registro de flujo determina el nivel de actividad.

El resultado de la consulta contiene la lista de direcciones IP privadas de todas las instancias con sistemas de archivos EFS montados.

Ejemplo del resultado de una consulta:

#          srcAddr              FlowLogEntries1      111.22.33.44                 782      111.55.66.77                36
3      111.88.99.000                33

Ejecuta el comando start-query

Comprueba que jq esté instalado:

yum install -y jq

A continuación, ejecuta el siguiente comando start-query:

aws logs start-query --log-group-name EFS-ENI-Flowlogs --start-time 1643127618 --end-time 1643128901 --query-string 'filter dstPort="2049" | stats count(*) as FlowLogEntries by srcAddr | sort FlowLogEntries desc' > test.json && sleep 10 && jq .queryId test.json | xargs aws logs get-query-results --query-id

En el comando, define los siguientes parámetros:

• En log-group-name, introduce el nombre de tu grupo de registro.
• En start-time y end-time, introduce tus horas de inicio y fin.
  Nota: Estos valores están expresados en la hora de Unix/Epoch. Para convertir a marcas de tiempo legibles, usa las herramientas de conversión de marcas de tiempo de Epoch y Unix en el sitio web del convertidor de Epoch.
• (Opcional) En test.json, puedes cambiar el nombre del archivo JSON cada vez que ejecutes el comando. Al cambiar el nombre, la salida anterior no se fusiona con la nueva salida.
• En sleep, para revisar los registros de flujo mientras se ejecuta la consulta, especifica el tiempo de retraso en segundos.

Para ver las direcciones IP de los clientes que actualmente montan sistemas de archivos EFS, ejecuta una nueva consulta.