"AWSSupport-ConnectivityTroubleshooter" 자동화 런북을 사용하여 AWS 리소스 및 인터넷 연결 리소스 사이의 연결 문제를 진단하는 방법

5분 분량
콘텐츠 수준: 중급
3

본 기사는 AWS 지원 자동화 워크플로우(Support Automation Workflow) 의 "AWSSupport-ConnectivityTroubleshooter" 런북을 사용하여 AWS 리소스 및 인터넷 연결 리소스 사이의 연결 문제를 진단하는 방법에 대해 설명합니다.

개요

Amazon Virtual Private Cloud(VPC) 내에 새로 생성한 AWS 리소스에서 다른 AWS 리소스 또는 인터넷 연결 리소스 사이에 통신이 불가능한 경우가 발생할 수 있습니다. 이 경우에는 먼저, 리소스들의 네트워크 인터페이스(Network Interface)에 연결되어 있는 보안 그룹(Security Group) 및 서브넷에 연결되어 있는 NACL(Network ACL), 라우팅 테이블(Route Table)을 확인하여 각 설정에 통신이 불가능한 원인이 있지 않은지 확인하여야 합니다.

이런 경우에 긴급한 이슈를 해결하기 위해 AWS Support로 지원 케이스를 생성하고 문제 해결을 시도할 수 있지만, AWS Support의 도움을 받아 각 설정을 일일히 확인하기에 시간이 부족한 경우에는 AWS 지원 자동화 워크플로우(Support Automation Workflow) 런북을 이용하면 AWS Support의 도움 없이 직접 빠르게 이슈를 해결할 수도 있습니다.

     

AWS 지원 자동화 워크플로우는 AWS Systems Manager 셀프 서비스 자동화 런북 모음입니다. 이러한 런북은 AWS Support Engineering 팀에서 고객 문제를 해결하며 수집한 모범 사례를 바탕으로 작성되었습니다. 이를 통해 AWS 고객은 AWS 리소스의 일반적인 문제를 진단, 수정, 해결할 수 있습니다. 또한 네트워크 문제를 사전에 식별하고 로그 수집 및 분석의 다양한 작업을 수행할 수 있습니다. AWS 지원 자동화 워크플로우 런북은 AWS 모범 사례에 따라 수동 작업 및 관리 오버헤드, 인적 오류를 줄일 수 있습니다. [1]

AWS 지원 자동화 워크플로우에서 제공되는 "AWSSupport-ConnectivityTroubleshooter" 런북을 이용하면 AWS 리소스 및 인터넷 연결 리소스 사이의 연결에 발생한 문제를 직접 빠르게 진단하고 해결하는데 사용할 수 있습니다. [2]

     

"AWSSupport-ConnectivityTroubleshooter" 런북은 사용자를 대신하여 아래 리소스들 사이의 연결 및 통신에 대한 분석을 수행합니다.

  • Amazon Virtual Private Cloud (Amazon VPC) 내에 있는 AWS 리소스들 사이의 연결 및 통신
  • VPC peering을 통해 연결되어 있는 같은 리전 내 두 Amazon VPC에 존재하는 AWS 리소스들 사이의 연결 및 통신
  • Amazon VPC 내에 있는 AWS 리소스들과 Internet Gateway를 통해 통신할 수 있는 인터넷 연결 리소스들 사이의 연결 및 통신
  • Amazon VPC 내에 있는 AWS 리소스들과 NAT Gateway를 통해 통신할 수 있는 인터넷 연결 리소스들 사이의 연결 및 통신

"AWSSupport-ConnectivityTroubleshooter" 런북에서는 IPv6에 대한 통신 분석리전 간 VPC Peering(inter-region VPC peering), Transit Gateway를 통한 통신에 대한 분석을 지원하지 않습니다.

   

본 기사에서는 "AWSSupport-ConnectivityTroubleshooter" 런북을 이용하여 Amazon Virtual Private Cloud (Amazon VPC) 내에 있는 AWS 리소스들 사이의 연결 및 통신 에 대한 분석 예제를 제공합니다.

     

분석 예시

  1. AWS Systems Manager 콘솔로 이동하여 왼쪽 네비게이션에서 자동화(Automation)을 선택합니다.

 

  1. 오른쪽의 자동화 실행(Execute automation) 버튼을 클릭합니다.

Execute automation

 

  1. 중앙의 자동화 런북에서 AWSSupport-ConnectivityTroubleshooter"을 검색하고 선택한 뒤 하단에서 다음(Next)를 클릭합니다.

ConnectivityTroubleshooter

 

  1. 자동화 런북 실행 시 4개의 실행 옵션이 있습니다.
  • Simple execution - 단일 출발지/목적지 IP에 대한 연결 및 통신 분석을 위해 간단히 사용하실 수 있습니다.
  • Rate control - 여러개의 출발지/단일 목적지 또는 단일 출발지/여러개의 목적지 IP 또는 여러 목적지 포트에 대한 연결 및 통신 분석을 위해 사용하실 수 있으며 동시 분석(Concurrency) 및 오류 임계치(Error threshold) 발생 시 자동화 런북 종료 기능을 제공합니다.
  • Multi-account and Region - 여러 계정 및 리전에서 동일 자동화 런북을 실행을 위해 사용하실 수 있습니다.
  • Manual execution - Simple execution과 동일하나, 자동화 런북 실행 과정에 대하여 순차적으로 하나씩 선택하여 진행하실 수 있습니다.

런북 실행 방법

본 기사에서는 Simple execution을 통한 단일 출발지/목적지 IP에 대한 연결 및 통신 분석을 자동화 런북으로 실행하는 과정에 대하여 소개하겠습니다.

 

  1. 입력 파라미터(Input parameters) 항목에 필요한 정보를 입력합니다.
  • AutomationAssumeRole(선택항목) : 필요한 경우 해당 자동화 런북을 실행할 IAM Role을 지정하실 수 있습니다. 해당 항목에 입력이 없는 경우 현재 IAM 사용자를 통해 런북을 실행합니다. "AWSSupport-ConnectivityTroubleshooter" 런북 실행에는 다음과 같은 IAM 허용(IAM permission)이 필요합니다.
    • ec2:DescribeNatGateways
    • ec2:DescribeNetworkAcls
    • ec2:DescribeNetworkInterfaces
    • ec2:DescribeRouteTables
    • ec2:DescribeSecurityGroups
    • ec2:DescribeVpcPeeringConnections
  • SourceIP(필수항목) : 출발지 IP를 입력합니다. 해당 IP는 반드시 Amazon VPC 내에 있는 네트워크 인터페이스에 연결되어 있어야 합니다.
  • DestinationIP(필수항목) : 목적지 IP를 입력합니다.
  • DestinationPort(필수항목) : 목적지 포트(TCP)를 입력합니다.
  • SourceVpc(선택항목) : 출발지 IP 또는 리소스가 속한 VPC를 입력합니다.
  • DestinationVpc(선택항목) : 목적지 IP 또는 리소스가 속한 VPC를 입력합니다.
  • SourcePortRange(선택항목) : 출발지 포트(TCP) 또는 포트 범위에 대하여 설정합니다. 기본적으로 0-65535로 설정되어 있습니다.

입력 항목

 

  1. 하단에 실행(Execute)를 클릭합니다.

 

  1. Amazon VPC 내 리소스들 간에 통신 구성에 문제가 없는 경우 아래 그림과 같이 9개의 Step이 완료되는 것을 확인하실 수 있습니다.

Amazon VPC 내 리소스들 간에 통신 구성에 문제가 없는 경우

 

  • 만약에, 보안 그룹 설정이 잘못되어 있어 리소스간 통신이 불가능한 상황인 경우 다음과 같이 evalSecurityGroups step이 Failed로 표시됩니다.

Security Group에 문제가 있는 경우

자동화 런북 실행 시 모든 Execution steps가 실행되지는 않습니다. Amazon VPC 내 리소스 사이의 연결 / VPC Peering을 통한 연결 / Internet Gateway를 통한 인터넷 리소스와의 연결 / NAT Gateway를 통한 인터넷 리소스와의 연결에 따라 실행되는 step의 차이가 있을 수 있습니다.

 

  1. Step ID 를 클릭하시면 해당 Step에서 어떤 작업을 통해 어떤 설정을 확인하였는지 보실 수 있습니다.

Step ID 확인

 

  • 보안 그룹 설정이 잘못되어 evalSecurityGroups step이 Failed로 표시된 경우 해당 Step ID를 클릭하였을 때 어떤 이유로 인하여 통신이 불가한지에 대하여 확인할 수 있습니다.

Failed Step ID

 

  1. 위의 절차를 통해 Amazon VPC 내 리소스에서 다른 리소스로 통신이 불가능한 경우에 대하여 통신이 불가능한 원인이 되는 설정을 쉽게 확인하여 문제를 해결하실 수 있습니다.

     

만약, 이와 같이 지원 자동화 워크플로우를 실행하였으나 이슈가 해결되지 않을 경우, AWS Support 에 문의하여 계속 문제 해결을 시도할 수 있습니다.

이때, 앞서 실행하신 지원 자동화 워크플로우 런북 실행 ID(Execute ID)가 포함된 케이스를 열어 주시면 빠른 지원에 도움이 됩니다.

   

참고 :

[1] AWS 지원 자동화 워크플로우(AWS Support Automation Workflow - AWS SAW)

https://aws.amazon.com/ko/premiumsupport/technology/saw/

[2] AWSSupport-ConnectivityTroubleshooter

https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-connectivitytroubleshooter.html

AWS
지원 엔지니어
게시됨 2달 전1304회 조회
댓글 없음

관련 콘텐츠