排查 VPC 上金丝雀的问题 - Amazon CloudWatch
新的金丝雀处于错误状态或无法更新金丝雀“未返回测试结果”错误
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

排查 VPC 上金丝雀的问题

如果您在创建或更新使用 VPC 的金丝雀后遇到问题,以下其中一部分可能会帮助您解决问题。

新的金丝雀处于错误状态或无法更新金丝雀

如果您创建要在 VPC 上运行的金丝雀,并且它立即进入错误状态,或者您无法更新金丝雀以在 VPC 上运行,则金丝雀的角色可能没有正确的权限。要在 VPC 上运行,金丝雀必须具有权限 ec2:CreateNetworkInterfaceec2:DescribeNetworkInterfacesec2:DeleteNetworkInterface。这些权限包含在 AWSLambdaVPCAccessExecutionRole 托管策略中。有关更多信息,请参阅执行角色和用户权限

如果在创建金丝雀时发生此问题,必须删除此金丝雀,然后创建一个新的金丝雀。如果您使用 CloudWatch 控制台创建新金丝雀,请在 Access Permissions(访问权限)下选择 Create a new role(创建新角色)。此时将创建一个新角色,该角色包含运行金丝雀所需的全部权限。

如果在更新金丝雀时发生此问题,可以再次更新金丝雀并提供具有必要权限的新角色。

“未返回测试结果”错误

如果金丝雀显示“未返回测试结果”错误,以下问题之一可能是导致这个问题的原因:

  • 如果您的 VPC 不具有 Internet 访问权限,则必须使用 VPC 终端节点授予金丝雀对 CloudWatch 和 Amazon S3 的访问权限。您必须在 VPC 中启用 DNS 解析DNS 主机名选项,才能正确解析这些终端节点地址。有关更多信息,请参阅 将 DNS 与 VPC 配合使用 以及 将 CloudWatch 和 CloudWatch Synthetics 与接口 VPC 端点配合使用

  • 金丝雀必须在 VPC 内的私有子网中运行。要检查是否存在此问题,请在 VPC 控制台中打开子网页面。检查您在配置金丝雀时选择的子网。如果它们具有通往互联网网关 (igw-) 的路径,则不是私有子网。

要帮助您解决这些问题,请参阅金丝雀日志。

要查看来自金丝雀的日志事件,请执行以下操作:

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在导航窗格中,选择 Log groups(日志组)

  3. 选择金丝雀日志组的名称。日志组名称以 /aws/lambda/cwsyn-canary-name 开头。