如何使用 VPC Reachability Analyzer 来解决 Amazon VPC 资源的连接性问题？

简短描述

要对 Amazon VPC 连接性问题进行故障排除，请使用 Reachability Analyzer 来检查以下常见问题：

• 安全组配置
• 网络访问控制列表（网络 ACL）配置
• 路由表配置

解决方法

**重要提示：**VPC Reachability Analyzer 依赖于来自其他 AWS 服务的数据。如果该工具无法运行，那么请确认以下事项：

• 您拥有所需的 API 权限。
• 源、目标和中间组件受 Reachability Analyzer 支持。

从 AWS 管理控制台使用 Reachability Analyzer

1.    打开 Amazon VPC 控制台。

2.    在导航窗格中，选择 Reachability Analyzer。

3.    选择您的资源所在的区域。

4.    对于源类型，请选择实例。然后，选择您的源资源。

5.    对于目标类型，请选择互联网网关。然后，选择您的目标资源。

6.    对于协议，请根据您的使用案例选择 TCP 或 UDP。

7.    选择创建并分析路径。

8.    路径分析完成后，选择查看结果。

如果 Reachability 状态为不可达，则说明路径中存在问题。

您可以通过指定中间组件来分析现有路径。通过执行以下步骤，找到遍历中间组件的替代可达路径：

1.    选择路径，然后选择分析路径。

2.    确定中间组件的 Amazon 资源名称 (ARN)。

例如，网络地址转换 (NAT) 网关的 ARN 是：

arn:aws:ec2:us-east-1:123456789012:nat-gateway/nat-012345678901234ab

3.    输入中间组件的 ARN，然后选择 确认。

4.    刷新页面，然后查看与中间跃点路径一起显示的新分析 ID。

从 AWS CLI 使用 Reachability Analyzer

注意：如果您在运行 AWS Command Line Interface (AWS CLI) 命令时收到错误讯息，请确保您运行的是最新版本的 AWS CLI。

按照通过 AWS CLI 开始使用 VPC Reachability Analyzer 中的步骤进行操作。

例如，假设您正在诊断以下几个点之间的连接性问题：

• 源 = Amazon Elastic Compute Cloud (Amazon EC2) instance i-ab001122334455667
• 目标 = Internet gateway igw-00aabb11223344556 on port 22 in an Amazon VPC

1.    使用以下示例命令创建路径：

aws ec2 create-network-insights-path --source i-ab001122334455667 --destination igw-00aabb11223344556 --destination-port 22 --protocol TCP

示例输出：

{
    "NetworkInsightsPath": {
        "NetworkInsightsPathId": "nip-01a23b456c789101d1",
        "NetworkInsightsPathArn": "arn:aws:ec2:us-east-1:123456789012:network-insights-path/nip-01a23b456c789101d1",
        "CreatedDate": "2021-06-01T01:00:00.000000+00:00",
        "Source": "i-ab001122334455667",
        "Destination": "igw-00aabb11223344556",
        "Protocol": "tcp",
        "DestinationPort": 22
    }
}

2.    通过将网络洞察路径 ID 作为参数添加到以下示例命令中来分析路径：

aws ec2 start-network-insights-analysis --network-insights-path-id nip-01a23b456c789101d1

示例输出：

{
    "NetworkInsightsAnalysis": {
        "NetworkInsightsAnalysisId": "nia-0fb371a9ea7ce9712",
        "NetworkInsightsAnalysisArn": "arn:aws:ec2:us-east-1:123456789012:network-insights-analysis/nia-0fb371a9ea7ce9712",
        "NetworkInsightsPathId": "nip-01a23b456c789101d1",
        "StartDate": "2021-06-01T01:00:00.000000+00:00",
        "Status": "running"
    }
}

3.    通过将上一步中获得的 NetworkInsightsAnalysisIds 参数添加到以下示例命令中来获取路径分析的结果：

aws ec2 describe-network-insights-analyses --network-insights-analysis-ids nia-0fb371a9ea7ce9712

当路径不可达时，NetworkPathFound 为 false 并且 ExplanationCode 会包含一个解释代码。有关每个解释代码的更多信息，请参阅 VPC Reachability Analyzer 解释代码。

---

相关信息

全新 – VPC Reachability Analyzer