Wie behebe ich Verbindungsprobleme von Direct Connect zu AWS-Ressourcen?

Lösung

Überprüfen des Status der virtuellen Schnittstelle

Wenn die virtuelle Schnittstelle nicht mehr funktioniert, gehe wie folgt vor:

• Suche im AWS-Servicestatus-Dashboard nach laufenden oder kürzlich abgeschlossenen AWS-Wartungsarbeiten, die sich auf die Direct-Connect-Verbindung oder virtuelle Schnittstelle auswirken könnten.
• Überprüfe den Status der virtuellen Schnittstelle. Wenn der Status DOWN lautet, wurde die Border Gateway Protocol (BGP)-Peering-Sitzung nicht eingerichtet. Informationen zur Behebung von BGP-Problemen findest du unter Problembehandlung bei Direct Connect.

Problembehandlung bei privaten virtuellen Schnittstellen

Regeln für eingehenden und ausgehenden Datenverkehr konfigurieren

Konfiguriere Regeln für eingehenden und ausgehenden Datenverkehr für die Sicherheitsgruppe der Ziel-Instance und die Netzwerk-Zugriffssteuerungsliste (Netzwerk-ACL) des Subnetzes. Die Regeln müssen eine bidirektionale Konnektivität zwischen AWS und On-Premises-Ressourcen ermöglichen.

Hinweis: Die spezifischen Regeln hängen von der Quell-IP-Adresse, Ziel-IP-Adresse und dem Port ab. Wenn du über eine On-Premises-Inspektionsfirewall verfügst, konfiguriere diese so, dass bidirektionaler Datenverkehr zulässig ist.

Überprüfen der BGP-Routing-Konfiguration

Stelle für die BGP-Routing-Konfiguration des On-Premises-Routers sicher, dass du die erforderlichen Routen an AWS weiterleitest.

Wenn du die Routenverbreitung in der Amazon Virtual Private Cloud (Amazon VPC)-Routing-Tabelle aktiviert hast, sorge dafür, dass die Routen in der Routing-Tabelle sichtbar sind. In den Amazon-VPC-Routing-Tabellen müssen die On-Premises-Routen auf das virtuelle Gateway als nächsten Hop oder Ziel verweisen. Wenn der On-Premises-Router beispielsweise 10.0.0.0/8 ankündigt und auf AWS verweist, enthält die Routing-Tabelle einen Routeneintrag für 10.0.0.0/8. Der Eintrittspunkt zeigt auf das virtuelle Gateway, das der VPC als nächster Hop oder Ziel zugeordnet ist.

Überprüfen des On-Premises-Routers

Stelle sicher, dass der On-Premises-Router Routen für das VPC-CIDR über das BGP empfängt. Der Router muss Routen von der IP-Adresse des AWS-Peers empfangen, der der virtuellen Direct-Connect-Schnittstelle zugeordnet ist.

Wenn du keine Routen von der IP-Adresse des AWS-Peers erhältst, ordne das virtuelle private Gateway der richtigen VPC zu.

Wenn die private virtuelle Schnittstelle auf dem Direct-Connect-Gateway endet, ordne dem Direct-Connect-Gateway das richtige virtuelle private Gateway zu. Konfiguriere die zulässigen Präfixe so, dass das VPC-CIDR zum On-Premises-Router weitergeleitet wird.

Eine Traceroute ausführen

Führe den folgenden Befehl aus, um eine auf dem bidirektionalen Internet Control Message Protocol (ICMP) basierende Traceroute vom On-Premises-Router zur VPC-Instance auszuführen:

sudo traceroute -n -I YOUR_IP_ADDRESS

Hinweis: Ersetze YOUR_IP_ADDRESS durch die private IP-Adresse der Amazon Elastic Compute Cloud (Amazon EC2)-Instance oder des On-Premises-Hosts.

Wenn der On-Premises-Router oder die Firewall ICMP-basierte Traceroute-Anforderungen blockiert, führe die folgende TCP-basierte Traceroute auf dem entsprechenden TCP-Port aus:

sudo traceroute -n -T -p 22 YOUR_IP_ADDRESS

Hinweis: Ersetze YOUR_IP_ADDRESS durch die private IP-Adresse. Im vorherigen Befehl führt -n -T -p 22 eine Traceroute auf Port 22 aus. Du kannst jeden Port, den die Anwendung verwendet, als Listener verwenden.

Überprüfen der Traceroute-Ergebnisse

Überprüfe die Sichtbarkeit und das Verhalten der On-Premises-Router- und AWS-Peer-IP-Adressen, die der virtuellen Schnittstelle zugeordnet sind.

Gehe auf der Grundlage des Szenarios wie folgt vor:

• Die Traceroute geht von AWS zu On-Premises-Ressourcen und der Datenverkehr stoppt an der IP-Adresse des On-Premises-Routers: Konfiguriere die Einstellungen der On-Premises-Netzwerk-Firewall so, dass bidirektionale Konnektivität am Port möglich ist.
• Die Traceroute geht von On-Premises-Ressourcen zu AWS und der Datenverkehr stoppt an der IP-Adresse des AWS-Peers: Überprüfe die Netzwerk-ACL und Sicherheitskonfigurationen. Du kannst VPC-Flow-Protokolle auch verwenden, um zu überprüfen, ob eine bestimmte Elastic-Network-Schnittstelle die Pakete empfangen hat, die der On-Premises-Router gesendet hat.
• Die AWS- oder On-Premises-Peer-IP-Adresse ist nicht mit der virtuellen Schnittstelle verknüpft und der Datenverkehr wird über einen falschen Pfad weitergeleitet: Vergewissere dich, dass der On-Premises-Router über eine spezifischere oder bevorzugte Route für dasselbe CIDR über einen anderen Peer verfügt.
• Die Traceroute von AWS zum On-Premises-Router enthält nicht die IP-Adresse des AWS-Peers: Suche nach einem sekundären Pfad, z. B. einer virtuellen Schnittstelle oder einem VPN, mit Datenverkehr, der zum On-Premises-Router fließt. Beispielsweise könnte eine andere virtuelle Schnittstelle auf demselben virtuellen privaten Gateway enden, oder das Direct-Connect Gateway kündigt dieselbe On-Premises-Route an. Oder bestehende Verbindungen von AW Site-to-Site VPN kündigen möglicherweise bestimmte Routen für den On-Premises-Router in der VPC-Routing-Tabelle an.

Vergleiche Traceroutes von AWS zum On-Premises-Router und vom On-Premises-Router zu AWS. Wenn beide Traceroutes unterschiedliche Hops haben, ist das Routing asymmetrisch. Verwende Routing-Richtlinien, um sicherzustellen, dass dieselbe private virtuelle Direct-Connect-Schnittstelle bidirektional bevorzugt wird.

Probleme mit öffentlichen virtuellen Schnittstellen beheben

Validieren von Routen aus öffentlichen Präfixen

Stelle sicher, dass der On-Premises-Router, der die öffentliche virtuelle Schnittstelle hostet, Routen von öffentlichen Präfixen von der IP-Adresse des AWS-Peers empfängt. Wenn du einen eingehenden Präfixfilter und eine Route-Map zum Filtern der Routen hast, stelle sicher, dass der Präfixfilter den erforderlichen Präfixen entspricht.

Die öffentliche Peer-IP-Adresse ankündigen

Wenn du NAT für On-Premises-Netzwerke ausführst, kündige die öffentliche Peer-IP-Adresse über das BGP an AWS an.

Hinweis: Stelle sicher, dass du von einem Präfix, das du von On-Premises-Ressourcen aus angekündigt hast, über die öffentliche virtuelle Schnittstelle eine Verbindung zu AWS herstellst. Du kannst keine Verbindung über ein Präfix herstellen, das du nicht für eine öffentliche virtuelle Schnittstelle angekündigt hast. Außerdem musst du der Liste „Präfixe, die du ankündigen möchtest“ Präfixe hinzufügen, bevor du sie über BGP auf der öffentlichen virtuellen Schnittstelle ankündigen kannst. Das Präfix in der Liste muss identisch oder weniger spezifisch sein als das, das du ankündigen möchtest.

Eine Traceroute ausführen

Führe eine Traceroute von den On-Premises-Ressourcen zu AWS aus und stelle dann sicher, dass der Datenverkehr über die öffentliche virtuelle Direct-Connect-Schnittstelle weitergeleitet wird. Wenn der Datenverkehr über die öffentliche virtuelle Schnittstelle weitergeleitet wird, enthält die Traceroute die IP-Adressen, die der virtuellen Schnittstelle zugeordnet sind.

Wenn du den von AWS verwendeten Netzwerkpfad überprüfen musst, starte eine öffentliche Amazon-EC2-Instance. Die Instance muss dieselbe AWS-Region wie der AWS-Service haben. Nachdem du die Instance gestartet hast, führe eine Traceroute zum On-Premises-Router aus. Wenn die Traceroute zeigt, dass der Datenverkehr über das Internet oder über eine andere virtuelle Schnittstelle weitergeleitet wird, wird möglicherweise eine bestimmte Route angekündigt.

Hinweis: AWS verwendet AS_PATH und die längste Präfixübereinstimmung, um den Routing-Pfad zu bestimmen. Direct Connect ist der bevorzugte Pfad für Datenverkehr, der von AWS stammt. Weitere Informationen findest du unter Routing-Richtlinien für öffentliche virtuelle Schnittstellen.

Testen der Konnektivität zu einem öffentlichen AWS-Service

Stelle sicher, dass die Konnektivität zu einem öffentlichen AWS-Service wie Amazon Simple Storage Service (Amazon S3) für die richtige Zielregion funktioniert. Vergewissere dich dann, dass die öffentlichen Präfixe, die du an AWS ankündigst, mit einem BGP-Community-Tag versehen sind. Weitere Informationen findest du unter BGP-Communitys für öffentliche virtuelle Schnittstellen.

Hinweis: BGP-Community-Tags bestimmen, wie weit die Präfixe im AWS-Netzwerk verbreitet werden.

Beheben von Problemen mit virtuellen Transitschnittstellen

Konfigurieren der On-Premises-CIDR-Route für eine Transit-Gateway-Route

Wenn du keine Route vom On-Premises-CIDR zu einem Transit-Gateway für die VPC-Subnetz-Routing-Tabelle der Zielressource konfiguriert hast, konfiguriere eine. Konfiguriere außerdem die Instance- oder Ressourcen-Sicherheitsgruppen und die Netzwerk-ACL des Subnetzes, um eine bidirektionale Konnektivität zu ermöglichen. Weitere Informationen findest du unter Netzwerk-ACLs für Transit-Gateways in AWS Transit Gateway.

BGP-Routen validieren

Stelle sicher, dass der On-Premises-Router, der der virtuellen Transitschnittstelle zugeordnet ist, die richtigen Routen über das BGP vom AWS-Peer empfängt. Die Routen gelten für das Ziel-VPC-CIDR.

Wenn du die erforderlichen Routen nicht erhältst, überprüfe die Liste der zulässigen Präfixe. Konfiguriere die zulässigen Präfixe für das Direct-Connect-Gateway, das dem Transit-Gateway zugeordnet ist, mit den erforderlichen Präfixen. AWS kündigt nur Routen an, die du über eine virtuelle Transitschnittstelle zur Liste der zulässigen Präfixe hinzufügst.

Überprüfen von On-Premises-Netzwerkpräfixen

Kündige für den On-Premises-Router, der mit der virtuellen Transitschnittstelle verknüpft ist, die erforderlichen On-Premises-Netzwerkpräfixe an AWS an. Wenn du Routen vom Direct-Connect-Gateway an eine Transit-Gateway-Routing-Tabelle weitergibst, sorge dafür, dass die Routen in der Transit-Gateway-Routing-Tabelle sichtbar sind. Wenn die Routen nicht sichtbar sind, überprüfe den AS_PATH auf den angekündigten Routen. Der AS_PATH darf die ASN des Transit-Gateways nicht enthalten.

Hinweis: Du kannst keine Routen von einem Transit-Gateway zu einer VPC weitergeben. Du musst also überprüfen, ob die VPC-Routing-Tabelle Routeneinträge enthält, die auf das Transit-Gateway verweisen. Wenn du die Route, die die Transit-Gateway-ASN enthält, auf dem AS_PATH ankündigst, wird die Route nicht in der Routing-Tabelle installiert. Stelle sicher, dass der On-Premises-Router und das Transit-Gateway eine andere ASN verwenden.

Transit-Gateway-Routen validieren

Stelle sicher, dass die Transit-Gateway-Tabelle, die dem Direct-Connect-Gateway und den Ziel-VPC-Anhängen zugeordnet ist, die richtige Route für das Ziel enthält. Die Transit-Gateway-Routing-Tabelle, die dem Direct-Connect-Gateway zugeordnet ist, muss eine Route für das VPC-CIDR enthalten, das du an den VPC-Anhang weiterleitest. Die Transit-Gateway-Routing-Tabelle, die dem VPC-Anhang zugeordnet ist, muss eine Route für den On-Premises-CIDR enthalten, den du an den Direct-Connect-Gateway-Anhang weiterleitest.

Überprüfen der Einstellungen des Direct-Connect-Gateways

Wenn die Traceroute von AWS zu On-Premises-Ressourcen nicht die Peer-IP-Adresse der virtuellen Schnittstelle enthält, überprüfe die Einstellungen des Direct-Connect-Gateways. Du musst über andere virtuelle Transitschnittstellen auf demselben Direct-Connect-Gateway verfügen, die dieselben On-Premises-Routen ankündigen. Um die virtuelle Schnittstelle zu identifizieren, die du für ausgehende Konnektivität verwenden musst, überprüfe die Routing-Richtlinie für virtuelle Transitschnittstellen.

Überprüfen der Subnetzzuordnungen für VPC-Anhänge

Vergewissere dich, dass du dem VPC-Anhang des Transit-Gateways ein Subnetz in derselben Availability Zone wie die Zielressource zugeordnet hast. Beispielsweise muss der Transit-Gateway-VPC-Anhang ein Subnetz in derselben Availability Zone wie die Instance haben.

Hinweis: Um bidirektionalen Datenverkehr auf der Netzwerkschnittstelle zu identifizieren, überprüfe VPC-Flow-Protokolle, um sicherzustellen, dass der On-Premises-Datenverkehr die Netzwerkschnittstelle einer bestimmten Instance erreicht.