"AWSSupport-TroubleshootVPN" 자동화 런북을 사용하여 AWS Site-to-Site VPN의 IKEv1 와 IKEv2 문제를 해결하는 방법

안내

이 자동화 런북은 발견된 오류를 자동으로 수정하지는 않습니다. 지정한 시간범위에서 Amazon Cloudwatch Log Group에서 발견되는 에러의 원인을 확인하는 데 사용할 수 있습니다.

 

개요

Site-to-Site VPN 사용 시 연결 터널과 관련된 IKEv1 또는 IKEv2 오류가 발생되어 터널 상태에 영향을 줄 수 있습니다.

 

이러한 경우 긴급히 이슈를 해결하기 위해 AWS Support로 지원 케이스를 생성하고 문제 해결을 시도할 수 있지만, AWS 지원 자동화 워크플로우(Support Automation Workflow) 런북을 이용하면 AWS Support으로 케이스를 생성하지 않고 직접 빠르게 이슈를 파악하고 해결할 수도 있습니다.

AWS 지원 자동화 워크플로우는 AWS Systems Manager 셀프 서비스 자동화 런북 모음입니다. 이러한 런북은 AWS Support Engineering 팀에서 고객 문제를 해결하며 수집한 모범 사례를 바탕으로 작성되었습니다. 이를 통해 AWS 고객은 AWS 리소스의 일반적인 문제를 진단, 수정, 해결할 수 있습니다. 또한 네트워크 문제를 사전에 식별하고 로그 수집 및 분석의 다양한 작업을 수행할 수 있습니다. AWS 지원 자동화 워크플로우 런북은 AWS 모범 사례에 따라 수동 작업 및 관리 오버헤드, 인적 오류를 줄일 수 있습니다. [1]

AWS 지원 자동화 워크플로우에서 제공되는 "AWSSupport-TroubleshootVPN" 런북을 이용하면 AWS Site-to-Site VPN 연결에 발생한 문제를 직접 빠르게 진단하고 해결하는데 사용할 수 있습니다. [2]

 

"AWSSupport-TroubleshootVPN" 런북은 사용자를 대신하여 아래와 같은 매개변수 검증을 수행합니다.

• 입력 매개변수에 포함된 Amazon Cloudwatch 로그 그룹이 존재하는지 확인합니다.
• VPN 터널 로깅에 해당하는 로그 스트림이 로그 그룹안에 있는지 확인합니다.
• VPN 연결 ID가 존재하는지 확인합니다.
• 터널 IP가 존재하는지 확인합니다.

  이 자동화 런북은 VPN 로깅을 위해 구성된 CloudWatch 로그 그룹에서 Logs Insights API를 호출합니다.

참고 : Cloudwath 로그 인사이트 API의 비용에 관련된 내용은 Amazon Cloudwatch 비용 페이지에서 확인하실 수 있습니다.

 

문제 진단 및 해결 예시

필수 단계

• VPN 연결에 로깅이 활성화 되어 있어야 합니다.
• AWS Identity and Access Management (IAM) 유저나 역할이 아래의 필요한 IAM 권한을 갖고 있어야 합니다.

logs:DescribeLogGroups
logs:GetQueryResults
logs:DescribeLogStreams
logs:StartQuery
ec2:DescribeVpnConnections

 

런북 자동화 실행 절차

1. AWS Systems Manager 콘솔로 이동하여 왼편의 네비게이션 바에서 '공유 리소스 - 문서 (Document)' 메뉴를 선택합니다. 이후 진단하려는 VPN연결이 있는 리전이 선택되었는지 확인합니다.

 

2. 검색창에서 "AWSSupport-TroubleshootVPN"를 입력한 후 엔터를 통해 검색된 런북을 클릭합니다.

 

3. 우측 상단 "Execute Automation (자동화 실행)" 버튼을 클릭합니다.

 

4. 기본적으로 Simple execution으로 선택되어 있으며, 필요에 따라 다른 유형을 선택할 수 있습니다.

 

5. Input Parameter에 대해 필요한 값들을 입력 후 우측 하단 Execute(실행)을 클릭합니다..

• AutomationAssumeRole (선택 사항): 사용자를 대신하여 Systems Manager Automation을 통해 작업을 수행할 수 있도록 허용하는 AWS Identity and Access Management(IAM) 역할의 Amazon 리소스 이름(ARN)입니다. 역할을 지정하지 않은 경우, Systems Manager Automation에서는 이 실행서를 시작하는 사용자의 권한을 사용합니다.

• LogGroupName (필수): 검증할 Amazon CloudWatch 로그 그룹 이름입니다. VPN이 로그를 전송하도록 구성된 CloudWatch 로그 그룹이어야 합니다.

• VpnConnectionId (필수): VPN 오류에 대해 로그 그룹을 추적하는 AWS Site-to-Site VPN 연결 ID입니다.

• TunnelAIPAddress(필수): AWS Site-to-Site VPN 연결과 관련된 터널 A IP 주소입니다.

• TunnelBIPAddress(선택 사항): AWS Site-to-Site VPN 연결과 관련된 터널 B IP 주소입니다.

• IKEVersion(필수): 사용 중인 IKEversion을 선택합니다. 허용된 값: IKEv1, IKEv2.

• StartTimeinEpoch (선택 사항): 오류를 쿼리할 시간 범위의 시작입니다. 범위가 포함되므로, 지정된 시작 시간이 쿼리에 포함됩니다. 1970년 1월 1일 00:00:00 UTC 이후의 초 수인 UNIX 시간으로 지정됩니다.

• EndTimeinEpoch (선택 사항): 오류를 쿼리할 시간 범위의 끝입니다. 범위가 포함되므로, 지정된 종료 시간이 쿼리에 포함됩니다. 1970년 1월 1일 00:00:00 UTC 이후의 초 수인 UNIX 시간으로 지정됩니다.

• LookBackPeriod (필수): 오류에 대한 쿼리를 다시 검토하는 데 걸리는 시간(시간)입니다.

참고 : 에러를 추적할 시간 범위를 정하기 위해, StartTimeinEpoch 과 EndTimeinEpoch 를 사용하거나 혹은 LookBackPeriod 를 사용할 수 있습니다. 만약, 모두 입력하게 되면 LookBackPeriod 가 우선하여 적용됩니다.

LookBackPeriod에 대해서는 01 - 99 (시간) 사이 두자리 정수를 사용하여 자동화 런북 실행 시점으로부터 입력한 시간만큼 전까지 발생한 에러를 확인할 수 있습니다. 만약, 에러가 과거 특정 시간 범위 안에서 발생했다면 StartTimeinEpoch 와 EndTimeinEpoch 를 사용하여 쿼리할 수 있습니다.

 

 

6. 자동화 런북이 실행 완료되면 아래와 같은 화면의 Status(상태)를 볼 수 있으며, Outputs(결과) 부분을 클릭하여 자세한 진단 결과와 발견된 각각의 에러에 대한 조치방법을 함께 확인할 수 있습니다.

 

만약, 위와 같이 AWS 지원 자동화 워크플로우 (Support Automation Workflow) 런북을 진행하여 나온 조치를 취한 이후에도 이슈가 해결되지 않거나 이슈 해결에 보다 전문적인 도움이 필요한 경우 위와 같이 앞서 실행한 런북 실행 ID 및 실행 결과 등의 정보를 포함하여 AWS Support 에 문의하여 도움을 요청해 주시길 바랍니다.

 

참고 자료:

[1] AWS 지원 자동화 워크플로우(AWS Support Automation Workflow - AWS SAW)

https://aws.amazon.com/ko/premiumsupport/technology/saw/

[2] AWSSupport-TroubleshootVPN

https://docs.aws.amazon.com/ko_kr/systems-manager-automation-runbooks/latest/userguide/automation-aws-troubleshoot-vpn.html