Come faccio a risolvere i problemi di connettività da Direct Connect alle risorse AWS?
Desidero risolvere i problemi di connettività che ho tra AWS Direct Connect e le risorse AWS.
Breve descrizione
Direct Connect utilizza interfacce virtuali (VIF) private, pubbliche e di transito a seconda della risorsa a cui accedi in AWS. La connessione alle risorse AWS dall'ambiente on-premise tramite una VIF di Direct Connect può causare diversi problemi di connettività, a seconda del tipo di VIF che stai utilizzando.
Risoluzione
Se l'interfaccia virtuale con cui riscontri problemi era in uso e improvvisamente ha smesso di funzionare, completa i seguenti passaggi:
- Controlla la tua Dashboard AWS Health per eventuali interventi di manutenzione AWS in corso o completati di recente che potrebbero influire sulla connessione Direct Connect o sulla VIF.
- Accedi alla tua console Direct Connect e controlla se lo stato della VIF è ATTIVO. Se lo stato è INATTIVO, il Border Gateway Protocol (BGP) non è stato stabilito. Per risolvere questo problema, consulta Risoluzione dei problemi di AWS Direct Connect.
Risolvi i problemi di connettività in base al tipo di VIF
Per risolvere i problemi di connettività, determina il tipo di VIF e completa i seguenti passaggi:
Interfacce virtuali private
Le interfacce virtuali private vengono utilizzate per accedere alle risorse all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Accedono alle risorse utilizzando l'indirizzo IP privato assegnato dall'intervallo CIDR di Amazon VPC. Se riscontri problemi di connessione a una risorsa all'interno di un Amazon VPC, completa i seguenti passaggi:
1. Verifica che il gruppo di sicurezza dell'istanza di destinazione e la sottorete della lista di controllo degli accessi (ACL) dispongano di regole in entrata e in uscita appropriate. La connettività bidirezionale tra AWS e on-premise deve essere consentita a seconda dell'indirizzo IP e della porta di origine e di destinazione utilizzati.
2. Controlla la configurazione del routing BGP sul router on-premise per assicurarti che i percorsi richiesti vengano indirizzati verso AWS. Se utilizzi la propagazione di routing sulla tabella di routing di Amazon VPC, i routing devono essere visibili in questa tabella. Inoltre, l'obiettivo dovrebbe essere il gateway privato virtuale corretto.
3. Verifica che il tuo router on-premise riceva i routing per Amazon VPC CIDR tramite BGP. I routing devono essere ricevuti dall'indirizzo IP peer AWS associato alla VIF di Direct Connect.
- Se non ricevi i routing dall'indirizzo IP peer di AWS, controlla se il gateway privato virtuale è associato all'Amazon VPC corretto.
- Se la tua VIF privata termina sul gateway Direct Connect, assicurati che il gateway privato virtuale corretto sia associato a quello di Direct Connect. Assicurati che i prefissi consentiti siano configurati per consentire l'indirizzamento del CIDR di Amazon VPC verso il router on-premise.
4. Esegui un traceroute dal router on-premise all'istanza Amazon VPC e inverti la direzione come segue:
Traceroute basato su ICMP:
sudo traceroute -n -I <private-IP-of-EC2-instance/on-premises-host>
Nota: Se il router o il firewall on-premise bloccano le richieste di traceroute basate su ICMP, esegui un traceroute basato su TCP sulla porta TCP appropriata.
Traceroute basato su TCP:
sudo traceroute -n -T -p 22 <private-IP-of-EC2-instance/on-premises-host>
Nota: Il comando precedente,-n -T -p 22 esegue un tracciamento sulla porta 22. Puoi usare qualsiasi porta su cui l'applicazione è in ascolto.
5. Controlla i risultati del traceroute per confermare la visibilità e il comportamento del router on-premise e degli IP peer AWS associati alla tua VIF.
- Se il traceroute si ferma all'IP peer del router on-premise, il traffico diminuisce dopo averlo raggiunto. Controlla le impostazioni del firewall di rete on-premise per assicurarti che la connettività bidirezionale sia consentita sulla porta selezionata.
- Se il traceroute si ferma all'IP peer AWS, controlla l'ACL di rete e la configurazione del gruppo di sicurezza sin dal passaggio 1. Puoi anche utilizzare Amazon VPC Flow Logs per verificare se i pacchetti inviati dal router on-premise vengono ricevuti su una specifica interfaccia di rete elastica.
- Se non vedi l'IP peer AWS o on-premise associato alla VIF, significa che il traffico viene inoltrato su un percorso errato. Controlla il tuo router on-premise per verificare se dispone di un routing più specifico o preferito per lo stesso CIDR attraverso un peer diverso.
- Se il traceroute da AWS al router on-premise non contiene l'indirizzo IP peer di AWS, controlla se anche un’altra VIF sta terminando. Controlla se un’altra VIF sta terminando sullo stesso gateway privato virtuale o gateway Direct Connect che pubblicizza lo stesso routing on-premise. In tal caso, controlla le connessioni VPN sito-sito esistenti che pubblicizzano routing specifici per il router on-premise nella tabella di routing Amazon VPC.
6. Confronta i traceroute da AWS al router on-premise e dal router on-premise ad AWS. Se entrambi i traceroute hanno salti diversi, vuol dire che il routing è asimmetrico. Assicurati che la stessa interfaccia virtuale privata di Direct Connect sia preferita in modo bidirezionale attraverso l'uso di policy di routing.
Interfacce virtuali pubbliche
Le interfacce virtuali pubbliche accedono a tutti i servizi pubblici di AWS utilizzando indirizzi IP pubblici. Per risolvere i problemi di connettività dell'interfaccia virtuale pubblica, completa i seguenti passaggi:
1. Verifica se il router on-premise che ospita la tua interfaccia virtuale pubblica riceve routing da prefissi pubblici dall'indirizzo IP del peer AWS. Se stai utilizzando un filtro per i prefissi in entrata e una mappa di routing per filtrare i routing, assicurati che il filtro contenga i prefissi richiesti.
2. Verifica di stare pubblicizzando l'indirizzo IP peer pubblico su AWS tramite BGP se stai eseguendo la Network Address Translation (NAT) per le reti on-premise.
Scenario di esempio:
- L'indirizzo IP del peer locale è 69.210.74.146/31
- L'indirizzo IP del peer remoto è 69.210.74.147/31
- Se esegui la NAT per il traffico di rete on-premise verso l'indirizzo IP del peer locale, allora pubblicizza 69.210.74.146/32 ad AWS.
Nota: Assicurati di connetterti da un prefisso pubblicizzato dall'ambiente on-premise ad AWS tramite la VIF pubblica. Non puoi connetterti da un prefisso non pubblicizzato verso una VIF pubblica.
3. Esegui un traceroute dall'ambiente on-premise ad AWS per verificare se il traffico viene inoltrato tramite la VIF pubblica di Direct Connect.
- Se il traffico viene inoltrato tramite la VIF pubblica, al traceroute devono essere associati gli IP peer locali (locali) e remoti (AWS).
- Se devi verificare il percorso di rete utilizzato in AWS, avvia un'istanza pubblica di Amazon Elastic Compute Cloud (Amazon EC2). L'istanza deve avere la stessa regione del servizio AWS. Dopo aver avviato l'istanza, esegui un traceroute verso l'ambiente on-premise. Se il traceroute indica che il traffico viene inoltrato su Internet o tramite una VIF diversa, è possibile che venga pubblicizzato un routing specifico.
Nota: AWS utilizza AS_PATH e Longest Prefix Match viene utilizzato per determinare il percorso di routing. Direct Connect è il percorso preferito per il traffico proveniente da Amazon.
4. Verifica che la tua connettività a un servizio AWS pubblico (come Amazon Simple Storage Service o Amazon S3) funzioni per la regione di destinazione corretta. Successivamente, controlla se stai utilizzando i tag della community BGP sui prefissi pubblici che promuovi su Amazon.
Nota: I tag della community BGP determinano fino a che punto propagare i tuoi prefissi sulla rete Amazon.
Interfacce virtuali di transito
Le interfacce virtuali di transito accedono a uno o più gateway di transito Amazon VPC (TGW) associati ai gateway Direct Connect. Per risolvere i problemi di connettività, completa i seguenti passaggi:
1. Verifica che la tabella di routing della sottorete Amazon VPC della risorsa di destinazione abbia un routing per il CIDR on-premise verso il TGW. Assicurati che i gruppi di sicurezza dell'istanza o delle risorse e l'ACL di rete della sottorete consentano la connettività bidirezionale. Per ulteriori informazioni, consulta Come funzionano gli ACL di rete con i gateway di transito.
2. Verifica che il router on-premise associato alla tua VIF di transito riceva i routing corretti tramite BGP dal peer AWS. I routing sono per la destinazione CIDR di Amazon VPC. Se non ricevi i percorsi richiesti, controlla la sezione Prefissi consentiti. Verifica che i prefissi consentiti per l'associazione del gateway Direct Connect con TGW siano configurati con i prefissi richiesti. Solo i routing configurati nella sezione Prefissi consentiti vengono pubblicizzati da AWS tramite una VIF di transito.
3. Verifica se il tuo router on-premise associato alla VIF di transito pubblicizza i prefissi di rete locali richiesti su AWS.
- Se stai propagando i routing dal gateway Direct Connect a una tabella di routing TGW, controlla se i routing sono visibili all'interno della tabella. Se i routing non sono visibili, controlla il percorso AS sui routing pubblicizzati per assicurarti che non includa l'ASN TGW.
- Se pubblicizzi un routing specifico che contiene l'ASN TGW sul percorso AS, questo non verrà installato nella tabella di routing. Assicurati che l'ASN utilizzato dal dispositivo di gateway del cliente (router on-premise) sia diverso dall'ASN TGW.
4. Verifica che la tabella TGW associata al gateway Direct Connect e agli allegati Amazon VPC di destinazione contenga il routing corretto per la destinazione.
- La tabella di routing TGW associata al gateway Direct Connect deve avere un routing per il CIDR di Amazon VPC diretto all'allegato Amazon VPC.
- La tabella di routing TGW associata all'allegato Amazon VPC deve avere un routing per il CIDR on-premise diretto all'allegato gateway Direct Connect.
5. Esegui un traceroute bidirezionale da AWS all'ambiente on-premise (in entrambe le direzioni) per identificare il percorso di traffico e il punto in cui quest'ultimo diminuisce.
- Se il traffico diminuisce dopo aver raggiunto l'indirizzo IP peer di AWS, verifica quanto segue:
- Se il traceroute da AWS all'ambiente on-premise riguarda l'indirizzo IP del peer on-premise, controlla la configurazione del firewall on-premise. Assicurati che la connettività bidirezionale sia consentita sulle porte corrette tra l'origine e la destinazione.
6. Se il traceroute da AWS verso l'ambiente on-premise non include l'IP peer associato alla tua VIF, controlla il gateway Direct Connect. Controlla il gateway Direct Connect per confermare se hai altre VIF in transito sullo stesso gateway che pubblicizzano gli stessi routing on-premise. In tal caso, utilizza questa policy di routing per la VIF di transito per identificare la VIF da utilizzare per la connettività in uscita.
7. Verifica che l'allegato TGW di Amazon VPC abbia una sottorete associata alla stessa zona di disponibilità della risorsa di destinazione. Ad esempio, se l'istanza si trova in una zona di disponibilità specifica, l'allegato TGW di Amazon VPC deve avere una sottorete nella stessa posizione.
Nota: Puoi utilizzare Amazon VPC Flow Logs per verificare se il traffico on-premise raggiunge un'interfaccia di rete elastica dell'istanza specifica. Questo aiuta a capire se esiste traffico bidirezionale sull'interfaccia di rete elastica.
Contenuto pertinente
- AWS UFFICIALEAggiornata 3 anni fa
- AWS UFFICIALEAggiornata 3 anni fa
- AWS UFFICIALEAggiornata un anno fa
- AWS UFFICIALEAggiornata 3 anni fa