Comment résoudre les problèmes de connectivité VPC à VPC via une passerelle de transit ?

Brève description

Pour résoudre les problèmes de connectivité entre deux instances Amazon VPC attachées à la même passerelle de transit, vérifiez vos configurations réseau. Si vous configurez correctement les configurations, résolvez vos problèmes de connectivité.

Résolution

Vérifier les configurations de votre réseau

Vérifiez les configurations d'AWS Transit Gateway, des VPC et de l'instance Amazon Elastic Compute Cloud (Amazon EC2).

Vérifier la configuration de votre groupe de sécurité

Vérifiez si le groupe de sécurité et les listes de contrôle d'accès au réseau (ACL réseau) associés à l'interface réseau Elastic source ou au sous-réseau autorisent le trafic nécessaire.

Remarque : les groupes de sécurité doivent autoriser le trafic uniquement dans les règles de sortie. Cependant, les ACL réseau doivent autoriser à la fois le trafic sortant et entrant.

Vérifier que le groupe de sécurité et l'ACL réseau de l'instance Amazon EC2 autorisent le trafic

Procédez comme suit :

1. Ouvrez la console Amazon EC2.
2. Dans le volet de navigation, choisissez Instances.
3. Sélectionnez l'instance sur laquelle vous effectuez le test de connectivité.
4. Choisissez l’onglet Sécurité.
5. Vérifiez que les règles entrantes et les règles sortantes du groupe de sécurité autorisent le trafic nécessaire.
6. Ouvrez la console Amazon VPC.
7. Dans le volet de navigation, sélectionnez ACL réseau.
8. Sélectionnez l'ACL réseau qui est associée au même sous-réseau que l'instance.
9. Sélectionnez les règles entrantes et les règles sortantes pour vérifier que les règles autorisent le trafic.

Vérifiez si la table de routage VPC du sous-réseau source utilise une route qui pointe vers le bloc CIDR de destination via la passerelle de transit

Procédez comme suit :

1. Ouvrez la console Amazon VPC.
2. Dans le volet de navigation, choisissez Tables de routage.
3. Sélectionnez la table de routage utilisée par l'instance source.
4. Choisissez l'onglet Routes.
5. Vérifiez qu'il existe une route pour le bloc CIDR d'adresse du VPC distant sous Destination. Puis, vérifiez que la Cible est définie sur ID de la passerelle de transit.

Vérifier que vous avez attaché les VPC à la même passerelle de transit

Si votre connexion utilise une passerelle de transit, procédez comme suit :

1. Ouvrez la console Amazon VPC.
2. Dans le volet de navigation, sélectionnez Attachements de la passerelle de transit.
3. Vérifiez que les attachements du VPC sont associés au même ID de la passerelle de transit.

Remarque : si vous utilisez plusieurs passerelles de transit ou si vous utilisez l’appairage de passerelles de transit, vérifiez que vous avez attaché les VPC source et de destination à leurs passerelles de transit correspondantes.

Vérifier que la table de routage Transit Gateway est associée à un attachement de VPC

Procédez comme suit :

1. Ouvrez la console Amazon VPC.
2. Dans le volet de navigation, sélectionnez Tables de routage de la passerelle de transit.
3. Choisissez les tables de routage associées à l’attachement de VPC de la passerelle de transit du VPC source.
4. Choisissez l'onglet Routes.
5. Vérifiez qu'il existe une route pour Plage IP du VPC distant avec Cible comme attachement de VPC de la passerelle de transit qui correspond à la valeur du VPC distant.
6. Choisissez les tables de routage associées à l’attachement de VPC de la passerelle de transit du VPC distant.
7. Choisissez l'onglet Routes.
8. Vérifiez qu'il existe une route pour Plage IP du VPC source avec Cible comme Attachement de VPC. Vérifiez que la route correspond à la valeur du VPC source.

Vérifier que l'ACL réseau associée aux sous-réseaux de VPC de la passerelle de transit autorise votre trafic

Procédez comme suit :

1. Ouvrez la console AmazonEC2.
2. Dans le volet de navigation, sélectionnez Interfaces réseau.
3. Dans la barre de recherche, saisissez Transit Gateway. Toutes les interfaces réseau de la passerelle de transit apparaissent. Notez l'ID de sous-réseau associé à l'emplacement où vous avez créé les interfaces de passerelle de transit.
4. Ouvrez la console Amazon VPC.
5. Dans le volet de navigation, sélectionnez ACL réseau.
6. Dans la barre de recherche, entrez l'ID de sous-réseau que vous avez noté à l'étape 3 pour trouver l'ACL réseau associée au sous-réseau.
7. Vérifiez que les règles entrantes et les règles sortantes de l’ACL réseau autorisent le trafic. Pour plus d'informations sur la configuration de vos règles d’ACL réseau, consultez la section ACL réseau pour les passerelles de transit dans AWS Transit Gateway.

Vérifier les zones de disponibilité pour l’attachement de VPC de la passerelle de transit, les VPC source et distant

Lorsque vous attachez un VPC à une passerelle de transit, vous devez spécifier un sous-réseau pour chaque zone de disponibilité. Les sous-réseaux que vous spécifiez sont les points d'entrée et de sortie du trafic de votre passerelle de transit. Par exemple, si votre source se trouve dans us-east-1a, vous devez configurer les attachements de VPC source et de destination avec au moins un sous-réseau dans us-east-1a.

Pour vérifier vos zones de disponibilité, procédez comme suit :

1. Ouvrez la console Amazon VPC.
2. Dans le volet de navigation, sélectionnez Attachements de la passerelle de transit.
3. Choisissez l’attachement de VPC source.
4. Sous Détails, recherchez les ID de sous-réseau. Vérifiez que vous avez sélectionné un sous-réseau dans la zone de disponibilité de l'instance source.
5. Retournez à la page Attachements de la passerelle de transit. Choisissez ensuite l’attachement de VPC distant.
6. Sous Détails, recherchez les ID de sous-réseau. Vérifiez que vous avez sélectionné un sous-réseau dans la zone de disponibilité de l'instance distante.
7. Pour ajouter une zone de disponibilité à un attachement de VPC, choisissez Actions. Puis, modifiez l’attachement de la passerelle de transit et sélectionnez n'importe quel sous-réseau dans la zone de disponibilité requise.
   Remarque : l'ajout ou la modification d'un sous-réseau d’attachements de VPC peut avoir un impact sur le trafic de données lorsque l’attachement est à l’état Modification en cours.

Résoudre les problèmes de connectivité

Si la configuration est correctement configurée, utilisez l’Analyseur d’accessibilité ou l’Analyseur de route dans AWS Network Manager pour résoudre vos problèmes de connectivité. Vous pouvez également surveiller les journaux de flux Amazon VPC et les métriques Amazon CloudWatch pour vérifier les pertes de paquets.

Résoudre des problèmes de connectivité avec l'analyseur d'accessibilité Amazon VPC

Utilisez l'analyseur d'accessibilité pour analyser le chemin entre votre ressource et la destination. Pour plus d'informations, consultez la section Mode de fonctionnement de l’analyseur d’accessibilité.

Remarque : pour analyser les chemins entre plusieurs comptes AWS, activez l'accès sécurisé à l'analyseur d'accessibilité auprès de votre organisation depuis AWS Organizations. L'analyseur d'accessibilité prend en charge l'analyse intercompte pour les comptes uniquement au sein de votre organisation.

Vous pouvez également utiliser Amazon Q pour utiliser des requêtes en langage naturel afin de résoudre les problèmes liés à l’analyseur d’accessibilité. Pour plus d'informations, consultez la page Présentation de la prise en charge d’Amazon Q pour résoudre les problèmes liés au réseau (aperçu).

Résoudre les problèmes de connectivité avec l’analyseur de route

Prérequis : créez un réseau mondial et enregistrez votre passerelle de transit. Pour obtenir des instructions, consultez la section Démarrer avec AWS Network Manager pour les passerelles de transit.

Procédez comme suit :

1. Accédez à la console Amazon VPC.
2. Dans le volet de navigation, sélectionnez Network Manager.
3. Choisissez le réseau mondial sur lequel vous avez enregistré votre passerelle de transit.
4. Dans le volet de navigation, sélectionnez Réseau de passerelles de transit. Puis, sélectionnez Analyseur de route.
5. Renseignez les informations de source et de destination si nécessaire. Vérifiez que la source et la destination utilisent la même passerelle de transit.
6. Sélectionnez Exécuter l'analyse de la route. Puis, attendez que l’analyseur de route termine l'analyse.

Vérifiez l'analyse du routage. Si l'état de votre réseau est Non connecté, l’analyseur de route affiche des recommandations de routage. Suivez les recommandations, puis relancez le test pour confirmer la connectivité de votre réseau. Pour en savoir plus, consultez la section Diagnostiquer les interruptions de trafic à l'aide de l'analyseur de route AWS Transit Gateway Network Manager.

Résoudre votre problème avec Amazon VPC Flow Logs et les métriques CloudWatch

Prérequis : Créez des journaux de flux AWS Transit Gateway pour les attachements de la passerelle de transit ou les interfaces réseau. Pour les interfaces réseau, dans Format d'enregistrement de journal, choisissez Format personnalisé, puis incluez pkt-src-addr et pkt-dstaddr dans les champs d'enregistrement du journal de flux.

Pour utiliser les métriques de votre passerelle de transit afin de vérifier s'il existe des pertes de paquets, procédez comme suit :

1. Se connecter à la console de gestion AWS et ouvrir la console Amazon CloudWatch
2. Sélectionnez Toutes les métriques.
3. Sélectionnez VPC- Passerelle de transit.
4. Sélectionnez Métrique par attachement.

Puis, examinez les valeurs de somme pour les métriques suivantes des attachements de la passerelle de transit.

• La métrique PacketDropCountBlackhole indique le nombre d'octets supprimés car ils correspondaient à une route blackhole sur l’attachement de la passerelle de transit.
• La métrique PacketDropCountNoRoute indique le nombre d'octets supprimés car ils ne correspondaient pas à une route sur l’attachement de la passerelle de transit.
• La métrique PacketDropCountTTLExpired indique le nombre de paquets abandonnés en raison de l'expiration du TTL.

Informations connexes

Métriques et événements dans AWS Transit Gateway