Довольно распространено работать в среде, где у вас есть VPC, подключенный к нескольким другим VPC, либо через VPC Peering, либо для транзитного шлюза, для меня это ничем не отличается. Я работал над развертыванием приложения на нашей внутренней контейнерной платформе. Эта контейнерная платформа размещена в другой учетной записи/VPC, и она должна была подключиться к экземплярам Elasticache Redis, размещенных в нашей учетной записи VPC/. Я изучал тайм -ауты, подключающиеся к экземпляру Redis из контейнеров приложения, и я подумал, что это будет хорошее время, чтобы проверить VPC Analyzer Анкет
Инструмент Analyzer Analyzer VPC — это сетевой диагностический инструмент от AWS. Вы можете получить доступ к нему в разделе VPC консоли AWS. Нажав на анализатор достижения, вы вводите источник, пункт назначения, дополнительные посредники и нажимаете на «анализ пути», чтобы AWS отслеживал путь между источником и пунктом назначения.
Я хотел проверить соединение из заглядного соединения с Elasticache в частной подсети. Я заметил, что в раскрывающемся направлении для пункта назначения (и источника) не было отдельных услуг AWS. Это отбросило меня, так как я не мог выбрать там Elasticache, но Бен Бридтс указал, что каждый из узлов Elasticache будет прикреплен ENI, поэтому предоставление ENI в качестве места назначения должно работать. Тем не менее, поиск ENI не был самым простым вариантом — мне пришлось отправиться в Elasticache, забрать URL -адрес узела, сделать раскопку на DNS узла, чтобы найти IP -адрес и поиск IP -адреса на странице ENI На консоли AWS (интерфейсы Elastic Network отображаются как функция EC2, чтобы сделать вас еще более запутанным). Я думаю, что могут быть возможности упростить этот рабочий процесс здесь.
Я создал несколько испытательных путей, чтобы проверить, как это работает, и опыт был в основном положительным.
Для первого теста я создал анализ пути с подключением к пирингу в качестве источника и ENI Elasticache Redis в качестве пункта назначения. Тем не менее, я случайно выбрал неправильное подключение к пирингу. Когда тест был завершен, он показал неудачу, и я был приятно удивлен подробным сообщением об ошибке, в котором описано, почему тест не удался:
Для следующей попытки я попытался проанализировать путь между правильным подключением к пирингу и кластером Redis, и трассировкой пути не удалась — и, опять же, сообщение обратной связи и ошибки было довольно подробно, указывая, где это идет неправильно. Он показал два места, где соединение не удалось:
- В таблице маршрутов не было правильных записей для маршрута трафика из мощности в частную подсеть.
- Правила группы безопасности были неправильно настроены и не разрешали подключения от пирингового соединения с портом Redis.
Нажатие на детали показывает полную информацию о том, какую таблицу маршрутов, какая группа безопасности предотвращает сетевую связь.
Как только я исправил ошибки, анализатор досягаемости сказал, что все было хорошо!
Я все еще видел ошибки тайм -аута из контейнера приложения. И в этом заключается проблема с анализатором достижения VPC — если у вас есть несколько маршрутов в пункт назначения, анализатор, похоже, рассматривает самый быстрый путь и игнорирует маршруты сбоя. Это показывается кратко, когда вы создаете анализ, и в нем упоминается использование конкретного промежуточного компонентного фильтра для анализа альтернативных путей. Промежуточными компонентами могут быть балансировщики нагрузки, шлюзы NAT и пиринговые соединения, но не группы безопасности, ACL, сетевые интерфейсы или таблицы маршрутов. В этом конкретном случае, похоже, нет способа показать альтернативные пути. Я бы хотел, чтобы анализатор достижения мог использовать разные подсети в качестве фильтра промежуточного компонента. Это должно показать альтернативные пути, где существуют несколько маршрутов через разные подсети в разных зонах доступности, будут показывать все применимые пути, а какие из них не удалены.
Analyzer VPC Analyzer по -прежнему остается фантастическим инструментом для отладки проблем с подключением к сети, и я часто вижу, как я использую это. Анализ пути взимается по ставке 0,10 долл. США за анализ пути. И тот факт, который делается без отправки какого -либо сетевого трафика по пути, довольно круто. Для получения более подробной информации вы можете ссылаться на это Re: Invent Talk для получения подробной информации о HW AWS делает это с помощью автоматических рассуждений.
Оригинал: «https://dev.to/aws-heroes/checking-for-connectivity-of-elasticache-redis-instances-across-peering-connections-using-vpc-reachability-analyzer-2pd3»