ネットワーキング

VPC Reachability Analyzer

Herramienta de resolución de problemas que analiza estáticamente la conectividad de red entre dos recursos dentro de una VPC, identificando la causa de fallos de conectividad

Unos 4 min de lectura

Descripción general

VPC Reachability Analyzer es un servicio que analiza estáticamente la conectividad de red entre dos recursos especificados dentro de una VPC, identificando la causa de fallos de conectividad sin enviar tráfico real. Evalúa todos los componentes de red en la ruta (grupos de seguridad, ACLs de red, tablas de rutas, VPC peering, Transit Gateway, etc.) para determinar si el tráfico puede fluir y, si no, qué componente lo está bloqueando.

Configuración de rutas de análisis y tipos de recursos soportados

El análisis de Reachability Analyzer requiere especificar un origen y un destino. Los tipos de recursos soportados incluyen instancias EC2, interfaces de red (ENIs), Internet Gateways, VPN Gateways, Transit Gateways, conexiones de VPC peering, VPC endpoints y Network Load Balancers. También se pueden especificar direcciones IP y puertos para analizar la conectividad para combinaciones específicas de protocolo y puerto. El análisis evalúa toda la ruta estáticamente usando datos de configuración sin enviar paquetes reales, lo que significa que funciona incluso cuando las instancias están detenidas o los grupos de seguridad bloquean todo el tráfico. Los resultados muestran una ruta alcanzable con todos los saltos listados, o un resultado no alcanzable identificando el componente específico que bloquea el tráfico. El análisis se completa en segundos independientemente de la complejidad de la red.

Patrones de uso para resolución de problemas

El caso de uso más común es diagnosticar por qué una aplicación no puede conectarse a una base de datos o servicio externo. En lugar de verificar manualmente cada grupo de seguridad, NACL y tabla de rutas, se especifica el origen (EC2 de aplicación) y destino (endpoint RDS) y se ve inmediatamente qué componente bloquea la ruta. Para arquitecturas multi-capa, se puede verificar la conectividad entre cada capa: web a app, app a base de datos, app a caché. Cuando cambios de red causan pérdida inesperada de conectividad, Reachability Analyzer identifica rápidamente si el problema es una ruta faltante, una regla de grupo de seguridad restrictiva o una regla de denegación de NACL. También es valioso durante cambios de infraestructura: antes de aplicar modificaciones a grupos de seguridad, se puede verificar que las rutas críticas permanezcan alcanzables.

Verificación continua de red e integración operativa

Más allá de la resolución de problemas ad-hoc, Reachability Analyzer soporta verificación continua de red mediante rutas de análisis guardadas. Se pueden guardar rutas verificadas frecuentemente y re-ejecutarlas periódicamente o después de cambios para detectar deriva de configuración. Automatizar esto mediante Lambda y EventBridge permite verificaciones de conectividad programadas con notificaciones SNS cuando las rutas se vuelven inalcanzables. Para cumplimiento, las rutas guardadas que documentan requisitos de conectividad críticos sirven como evidencia de que la segmentación de red se mantiene. El costo se basa en el número de análisis realizados, siendo económico para verificación regular. La distinción con Network Access Analyzer es clara: Reachability Analyzer responde '¿puede A alcanzar B?' para resolución de problemas punto a punto, mientras que Network Access Analyzer responde '¿qué puede alcanzar qué?' para evaluación integral de postura de seguridad.

共有するXB!

Términos relacionados

Amazon VPCAWS Transit GatewayAWS Network FirewallAWS PrivateLink

Servicios relacionados

Amazon VPCAWS Transit GatewayAmazon CloudWatchAWS Config

Artículos relacionados

Conexión dedicada con AWS Direct Connect - Configuración redundante y control de tráficoDiseñe configuraciones redundantes de conexión dedicada y conéctese a VPCs de múltiples regiones con Direct Connect Gateway. También presentamos la agregación de ancho de banda con LAG y el cifrado MACsec.Red hub-and-spoke con AWS Transit Gateway - Diseño de conectividad multi-VPCAgregación de múltiples VPCs y redes on-premises en topología hub-and-spoke, estableciendo límites de seguridad con separación de tablas de rutas. También presentamos la conectividad multi-región mediante peering.Por qué el CIDR predeterminado de VPC es /16 - Curiosidades y trampas del diseño de direcciones IPExplicamos por qué el CIDR predeterminado de VPC es /16, la historia del espacio de direcciones privadas RFC 1918, las 5 direcciones IP no utilizables en subredes y los patrones de fallo en el diseño CIDR.El mecanismo de sincronización horaria interna de AWS - Amazon Time Sync Service y el diseño de smearing de segundos intercalaresExplicamos el mecanismo de Amazon Time Sync Service operado de forma independiente por AWS, la fuente de tiempo de alta precisión con GPS y relojes atómicos, la decisión de diseño de absorber los segundos intercalares mediante smearing y la importancia de la sincronización horaria en sistemas distribuidos.Implementación de Feature Flags con AWS AppConfig - Despliegue seguro de configuración y rollbackDespliega cambios de configuración de forma independiente al código mediante estrategias Linear y Exponential. Garantiza la seguridad con rollback automático activado por alarmas de CloudWatch.

Términos y artículos similares

VPC Network Access AnalyzerHerramienta de análisis de seguridad que analiza automáticamente las rutas de acceso de red en toda la VPC y detecta exposiciones no intencionadas a Internet o permisos de acceso excesivosAWS Network ManagerServicio que visualiza, monitorea y gestiona de forma centralizada la topología de red global incluyendo VPC, Transit Gateway, VPN y Direct ConnectIAM Access AnalyzerUn servicio que detecta recursos accesibles externamente y permisos de acceso no utilizados