Come posso risolvere i problemi di connettività tra risorse on-premises e Amazon VPC tramite Transit Gateway?

Risoluzione

Per risolvere i problemi di connettività tra risorse on-premises e un VPC tramite Transit Gateway, completa le seguenti azioni:

Controlla le regole ACL del gruppo di sicurezza dell'istanza e della rete

Completa i seguenti passaggi:

1. Apri la console Amazon Elastic Compute Cloud (Amazon EC2).
2. Nel pannello di navigazione, scegli Istanze.
3. Seleziona l'istanza Amazon EC2.
4. Scegli la scheda Sicurezza.
5. Verifica se per Regole in entrata e Regole in uscita è consentito il traffico da e verso la rete on-premises.
6. Apri la console Amazon VPC.
7. Nel pannello di navigazione, scegli ACL di rete.
8. Seleziona la lista di controllo degli accessi alla rete (ACL) per la sottorete dell'istanza.
9. Seleziona Regole in entrata e Regole in uscita. Quindi controlla se le regole consentono il traffico da e verso la rete on-premises.

Controlla i collegamenti del gateway di transito

Completa i seguenti passaggi:

1. Nel pannello di navigazione, scegli Collegamenti del gateway di transito.
2. Seleziona il collegamento VPC.
3. In Dettagli, controlla se il collegamento VPC include un **ID di sottorete ** dalla zona di disponibilità dell'istanza Amazon EC2.
4. Se il collegamento VPC non include una sottorete dalla zona di disponibilità dell'istanza, seleziona una sottorete dalla zona di disponibilità dell'istanza. Per istruzioni, consulta Modifica un collegamento VPC in AWS Transit Gateway.
   Nota: lo stato di modifica potrebbe influire sul traffico di dati quando aggiungi o modifichi la sottorete di un collegamento VPC.

Controlla le ACL per le interfacce del gateway di transito

Completa i seguenti passaggi:

1. Apri la console Amazon EC2.
2. Nel pannello di navigazione, scegli Interfacce di rete.
3. Nella barra di ricerca, inserisci Transit Gateway.
4. Annota gli ID di sottorete in cui Transit Gateway ha creato le interfacce.
5. Apri la console Amazon VPC.
6. Nel pannello di navigazione, scegli ACL di rete.
7. Nella barra di ricerca, inserisci un ID di sottorete che hai annotato in precedenza. I risultati mostrano l'ACL della sottorete.
8. Verifica se per Regole in entrata e Regole in uscita è consentito l'intervallo CIDR del VPC e l'intervallo CIDR della rete on-premises.
9. Ripeti i passaggi 6-8 per ogni interfaccia di rete del gateway di transito associata al VPC.

Nota: il traffico proveniente da una connessione VPN o Direct Connect potrebbe entrare nel VPC attraverso una zona di disponibilità o sottorete diversa dalla zona di disponibilità dell'istanza. Controlla le ACL di rete per tutte le sottoreti dotate di interfacce di rete. Per ulteriori informazioni sull'applicazione delle regole dell'ACL, consulta ACL per gateway di transito in AWS Transit Gateway.

Verifica la configurazione della tabella di routing della sottorete

Completa i seguenti passaggi:

1. Apri la console Amazon VPC.
2. Nel pannello di navigazione, scegli Tabelle di routing.
3. Seleziona la tabella di routing per l'istanza di origine.
4. Scegli la scheda Route.
5. Controlla se Destinazione mostra la rete on-premises.
6. Controlla se Destinazione mostra l'ID del gateway di transito.

Verifica la presenza di una route per l'intervallo CIDR di destinazione che punta verso il gateway di transito. Se non la vedi, aggiungi una route alla rispettiva tabella di routing che punti verso il gateway di transito.

Controlla le tabelle di routing di Transit Gateway per i collegamenti VPC

Completa i seguenti passaggi:

1. Nel pannello di navigazione, scegli Tabelle di routing del gateway di transito.
2. Seleziona la tabella di routing associata al collegamento VPC.
3. Nella scheda Route, controlla se esiste una route per la rete on-premises. Controlla anche se Destinazione mostra il collegamento DXGW/VPN.
4. Se utilizzi Site-to-Site VPN con una route statica, crea una route statica per la rete on-premises e scegli il collegamento VPN come destinazione.

Controlla la tabella di routing di Transit Gateway per un gateway Direct Connect o un collegamento VPN

Completa i seguenti passaggi:

1. Nel pannello di navigazione, scegli Tabelle di routing del gateway di transito.
2. Seleziona la tabella di routing associata al gateway AWS Direct Connect o al collegamento VPN.
3. Nella scheda Route, controlla se esiste una route per l'intervallo CIDR del VPC. Quindi controlla se la destinazione della route è il collegamento VPC del gateway di transito corretto.

Controlla i prefissi consentiti per i gateway Direct Connect

Completa i seguenti passaggi:

1. Apri la console Direct Connect.
2. Nel pannello di navigazione, scegli Gateway Direct Connect.
3. Seleziona il gateway Direct Connect associato al gateway di transito.
4. In Gateway association (Associazione gateway), verifica che il campo Prefissi consentiti includa l'intervallo CIDR del VPC.

Controlla la configurazione del Network Firewall o la configurazione dell'appliance firewall di terze parti

Verifica se hai implementato un modello di ispezione centralizzato per ispezionare il traffico nord-sud. Se hai implementato un modello di ispezione centralizzato, verifica che AWS Network Firewall disponga di regole Suricata che consentano tutto il traffico necessario. Per ulteriori informazioni su Suricata, consulta Suricata sul sito web Suricata ufficiale. Per ulteriori informazioni sui modelli di ispezione centralizzati, consulta Deployment models for AWS Network Firewall (Modelli di distribuzione per AWS Network Firewall) e Ispezione del traffico da VPC a on-premises.

Se per l'ispezione utilizzi un'appliance virtuale di terze parti, assicurati che le regole del firewall consentano tutto il traffico necessario.

Controlla le regole del traffico VPC dei dispositivi firewall on-premises

Verifica che i dispositivi firewall on-premises consentano tutto il traffico necessario tra le due reti. Per istruzioni, consulta la documentazione del fornitore del firewall.

Controlla i firewall del server on-premises

Se il server on-premises utilizza un firewall del sistema operativo, verifica che consenta il traffico da e verso l'intervallo CIDR del VPC.

Analizza le route con Route Analyzer

Prerequisito: Crea una rete globale con AWS Global Networks.

Per analizzare le route con Route Analyzer per AWS Network Manager, completa i seguenti passaggi:

1. Apri la console Amazon VPC.
2. Nel pannello di navigazione, scegli Network Manager.
3. Scegli la rete globale in cui hai registrato il gateway di transito.
4. Nel pannello di navigazione, scegli Rete gateway di transito. Quindi scegli Route Analyzer.
5. Per Origine e Destinazione, inserisci un gateway di transito, il collegamento del gateway di transito e un indirizzo IP. Assicurati di utilizzare lo stesso gateway di transito nei campi Origine e Destinazione.
6. Scegli Esegui l'analisi della route.

Nota: dopo aver eseguito l'analisi della route, Route Analyzer mostra lo stato Connesso o Non connesso. Se lo stato è Non connesso, applica i consigli di instradamento forniti da Route Analyzer ed esegui nuovamente l'analisi.

Informazioni correlate

Come posso risolvere i problemi di connettività da VPC a VPC tramite un gateway di transito?

Diagnosing traffic disruption using AWS Transit Gateway Network Manager Route Analyzer (Diagnosi delle interruzioni del traffico utilizzando Route Analyzer di AWS Transit Gateway network manager)