VPC Reachability Analyzer
静态分析 VPC 内两个资源间网络可达性的故障排除工具,无需发送实际流量即可识别连接失败原因
概述
VPC Reachability Analyzer 是一项静态分析 VPC 内指定两个资源间网络可达性的服务,无需发送实际流量即可识别连接失败原因。评估路径上所有网络组件(安全组、网络 ACL、路由表、VPC 对等、Transit Gateway 等),判断流量是否可以通过,如果不能则识别哪个组件在阻止。消除了故障排除时逐层手动验证的耗时工作。
分析路径配置与支持的资源类型
Reachability Analyzer 分析需要指定源和目标。支持的资源类型包括 EC2 实例、网络接口(ENI)、Internet Gateway、VPN Gateway、Transit Gateway、VPC 对等连接、VPC 端点和 Network Load Balancer。还可指定 IP 地址和端口来分析特定协议和端口组合的可达性。分析使用配置数据静态评估整个路径而不发送实际数据包,即使实例已停止或安全组阻止所有流量也能工作。结果显示可达路径(列出所有跳)或不可达结果(识别阻止流量的特定组件)。无论网络复杂度如何,分析在数秒内完成,远快于手动故障排除。
故障排除使用模式
最常见的用例是诊断应用程序为何无法连接到数据库或外部服务。无需手动检查每个安全组、NACL 和路由表,只需指定源(应用程序 EC2)和目标(RDS 端点)即可立即看到哪个组件阻止了路径。对于多层架构,可验证各层间的可达性:Web 到应用、应用到数据库、应用到缓存。当网络变更导致意外连接中断时,Reachability Analyzer 快速识别问题是缺少路由、限制性安全组规则还是 NACL 拒绝规则。在基础设施变更期间也很有价值——在应用安全组修改前,可验证关键路径是否保持可达。与 CloudFormation 集成可将部署前可达性验证作为变更管理流程的一部分。
持续网络验证与运维集成
除了临时故障排除外,Reachability Analyzer 通过保存的分析路径支持持续网络验证。可保存常检查的路径,在变更后定期重新运行以检测配置漂移。通过 Lambda 和 EventBridge 自动化,可实现定期可达性检查,路径不可达时发送 SNS 通知。对于合规性,保存的路径记录关键连接要求,作为网络分段维持的证据。费用基于执行的分析次数,定期验证也很经济。与 Network Access Analyzer 的区别很明确:Reachability Analyzer 回答「A 能到达 B 吗?」用于特定点对点故障排除,Network Access Analyzer 回答「什么能到达什么?」用于全面的安全态势评估。