Wie behebe ich Probleme bei der Konnektivität zwischen On-Premises-Ressourcen und VPC über Transit Gateway?

Behebung

Voraussetzung: Erstelle ein globales Netzwerk mit AWS Global Networks. Dies ist erforderlich, um Routen in der Transit-Gateway-Routing-Tabelle mit Route Analyzer zu analysieren.

Konfiguration der Subnetz-Routing-Tabelle überprüfen

Führe die folgenden Schritte aus:

1. Öffne die Amazon Virtual Private Cloud (Amazon VPC)-Konsole.
2. Wähle im Navigationsbereich die Option Route Tables.
3. Wähle die Routing-Tabelle für die Amazon Elastic Compute Cloud (Amazon EC2)-Quell-Instance aus.
4. Wähle die Registerkarte Routes.
5. Prüfe, ob in Ziel ein On-Premises-Netzwerk angezeigt wird.
6. Prüfe, ob Ziel die Transit-Gateway-ID anzeigt.

Transit-Gateway-Anhänge überprüfen

Führe die folgenden Schritte aus:

1. Wähle im Navigationsbereich Transit-Gateway-Routing-Tabellen.
2. Wähle den VPC-Anhang aus.
3. Prüfe unter Details, ob der VPC-Anhang eine Subnetz-ID aus der Availability Zone der Amazon EC2-Instance enthält.

Wenn der VPC-Anhang kein Subnetz aus der Availability Zone der EC2-Instance enthält, wähle ein Subnetz aus der Availability Zone der EC2-Instance aus. Anweisungen findest du unter Ändern eines VPC-Anhangs mithilfe von Amazon VPC Transit Gateways.

Hinweis: Der Änderungsstatus kann sich auf den Datenverkehr auswirken, wenn du ein Subnetz des VPC-Anhangs hinzufügst oder änderst.

Die Routing-Tabelle für den VPC-Anhang überprüfen

Führe die folgenden Schritte aus:

1. Wähle im Navigationsbereich Transit-Gateway-Routing-Tabellen aus.
2. Wähle die Routing-Tabelle aus, die dem VPC-Anhang zugeordnet ist.
3. Prüfe auf der Registerkarte Routen, ob eine Route für das On-Premises-Netzwerk existiert. Prüfe auch, ob Ziel einen DXGW/VPN-Anhang anzeigt.
4. Wenn du Site-to-Site-VPN mit einer statischen Route verwendest, erstelle eine statische Route für das On-Premises-Netzwerk und wähle den **VPN-Anhang ** als Ziel aus.

Routing-Tabelle für Direct Connect-Gateway oder VPN-Anhang überprüfen

Führe die folgenden Schritte aus:

1. Wähle im Navigationsbereich Transit-Gateway-Routing-Tabellen aus.
2. Wähle die Routing-Tabelle aus, die dem AWS Direct Connect-Gateway oder dem VPN-Anhang zugeordnet ist.
3. Prüfe auf der Registerkarte Routen, ob eine Route für den VPC-CIDR-Block existiert. Prüfe dann, ob das Ziel der Route der richtige VPC-Anhang des Transit-Gateways ist.

Das Direct Connect-Gateway auf zulässige Präfixe überprüfen

Führe die folgenden Schritte aus:

1. Öffne die Direct-Connect-Konsole.
2. Wähle im Navigationsbereich Direct Connect Gateways.
3. Wähle das Direct Connect-Gateway aus, das dem Transit-Gateway zugeordnet ist.
4. Stelle unter Gateway-Verknüpfung, dass das Feld Zulässige Präfixe den VPC-CIDR-Block enthält.

Überprüfe die Regeln für Instance-Sicherheitsgruppen und Netzwerk-Zugriffssteuerungslisten

Führe die folgenden Schritte aus:

1. Öffne die Amazon-EC2-Konsole.
2. Wähle im Navigationsbereich Instances.
3. Wähle die EC2-Instance.
4. Wähle die Registerkarte Sicherheit.
5. Prüfe, ob Regeln für eingehenden Datenverkehr und Regeln für ausgehenden Datenverkehr zu und vom On-Premises-Netzwerk zulassen.
6. Öffne die Amazon-VPC-Konsole.
7. Wähle im Navigationsbereich Netzwerk-ACLs.
8. Wähle die Netzwerk-ACL für das Subnetz der EC2-Instance.
9. Wähle Regeln für eingehenden Datenverkehr und Regeln für ausgehenden Datenverkehr aus. Prüfe dann, ob diese Regeln den Datenverkehr zu und vom On-Premises-Netzwerk zulassen.

Netzwerk-Zugriffssteuerungslisten für Transit-Gateway-Schnittstellen überprüfen

Führe die folgenden Schritte aus:

1. Öffne die Amazon-EC2-Konsole.
2. Wähle im Navigationsbereich Netzwerkschnittstellen.
3. Gib in der Suchleiste Transit-Gateway ein.
4. Notiere dir die Subnetz-IDs, unter denen Transit-Gateway die Schnittstellen erstellt hat.
5. Öffne die Amazon-VPC-Konsole.
6. Wähle im Navigationsbereich Netzwerk-ACLs.
7. Gib in der Suchleiste eine Subnetz-ID ein, die du zuvor notiert hast. Die Ergebnisse zeigen die Netzwerk-Zugriffssteuerungsliste (Netzwerk-ACL) für das Subnetz.
8. Prüfe, ob die Regeln für eingehenden Datenverkehr und Regeln für ausgehenden Datenverkehr den VPC-CIDR-Block und den CIDR-Block im On-Premises-Netzwerk zulassen.
9. Wiederhole die Schritte 6–8 für jede Transit-Gateway-Netzwerkschnittstelle, die der VPC zugeordnet ist.

Hinweis: Der Datenverkehr von einer VPN- oder Direct Connect-Verbindung kann über eine andere Availability Zone oder ein anderes Subnetz als die Availability Zone der Instance in die VPC gelangen. Überprüfe die Netzwerk-ACLs für alle Subnetze, die über Netzwerkschnittstellen verfügen.

On-Premises-Firewallgeräte auf VPC-Datenverkehrsregeln überprüfen

Stelle sicher, dass die On-Premises-Firewallgeräte eingehenden und ausgehenden Datenverkehr zum VPC-CIDR-Block zulassen. Anweisungen findest du in der Dokumentation des Firewall-Anbieters.

Routen mit Route Analyzer analysieren

Führe die folgenden Schritte aus:

1. Öffne die Amazon-VPC-Konsole.
2. Wähle im Navigationsbereich Netzwerk-Manager.
3. Wähle das globale Netzwerk, in dem das Transit-Gateway registriert ist.
4. Wähle im Navigationsbereich Transit-Gateways. Wähle dann Route Analyzer.
5. Gib für Quelle und Ziel ein Transit-Gateway, den Transit-Gateway-Anhang und eine IP-Adresse ein. Stelle sicher, dass du in den Feldern Quelle und Ziel dasselbe Transit-Gateway verwendest.
6. Wähle Routenanalyse ausführen.

Hinweis: Nachdem du die Routenanalyse ausgeführt hast, zeigt Route Analyzer den Status Verbunden oder Nicht verbunden an. Wenn der Status Nicht verbunden, wende die von Route Analyzer bereitgestellten Routing-Empfehlungen an und führe die Analyse erneut aus.

Ähnliche Informationen

Wie behebe ich Probleme bei der VPC-zu-VPC-Konnektivität über ein Transit-Gateway?

Diagnose von Störungen des Datenverkehrs mit AWS Transit Gateway Network Manager Route Analyzer