Come posso risolvere i problemi di connettività tra risorse on-premises e VPC tramite Transit Gateway?

Risoluzione

Prerequisito: Crea una rete globale con AWS Global Networks. Ciò è necessario per analizzare le route nella tabella di routing del gateway di transito con Route Analyzer.

Verifica la configurazione della tabella di routing della sottorete

Completa i seguenti passaggi:

1. Apri la console Amazon Virtual Private Cloud (Amazon VPC).
2. Nel pannello di navigazione, scegli Tabelle di routing.
3. Seleziona la tabella di routing per l'istanza Amazon Elastic Compute Cloud (Amazon EC2) di origine.
4. Scegli la scheda Route.
5. Controlla se Destinazione mostra la rete on-premises.
6. Controlla se Destinazione mostra l'ID del gateway di transito.

Controlla i collegamenti del gateway di transito

Completa i seguenti passaggi:

1. Nel pannello di navigazione, scegli Collegamenti del gateway di transito.
2. Seleziona il collegamento VPC.
3. In Dettagli, controlla se il collegamento VPC include un **ID di sottorete ** dalla zona di disponibilità dell'istanza Amazon EC2.

Se il collegamento VPC non include una sottorete dalla zona di disponibilità dell'istanza EC2, seleziona una sottorete dalla zona di disponibilità dell'istanza EC2. Per istruzioni, consulta Modifica un collegamento VPC utilizzando gateway di transito Amazon VPC.

Nota: lo stato di modifica potrebbe influire sul traffico di dati quando aggiungi o modifichi la sottorete di un collegamento VPC.

Controlla la tabella di routing per il collegamento VPC

Completa i seguenti passaggi:

1. Nel pannello di navigazione, scegli Tabelle di routing del gateway di transito.
2. Seleziona la tabella di routing associata al collegamento VPC.
3. Nella scheda Route, controlla se esiste una route per la rete on-premises. Controlla anche se Destinazione mostra il collegamento DXGW/VPN.
4. Se utilizzi VPN sito-sito con una route statica, crea una route statica per la rete on-premises e scegli il collegamento VPN come destinazione.

Controlla la tabella di routing per il gateway Direct Connect o il collegamento VPN

Completa i seguenti passaggi:

1. Nel pannello di navigazione, scegli Tabelle di routing del gateway di transito.
2. Seleziona la tabella di routing associata al gateway AWS Direct Connect o al collegamentoVPN.
3. Nella scheda Route, controlla se esiste una route per il blocco CIDR del VPC. Quindi controlla se la destinazione della route è il collegamento VPC del gateway di transito corretto.

Controlla i prefissi consentiti per il gateway Direct Connect

Completa i seguenti passaggi:

1. Apri la console Direct Connect.
2. Nel pannello di navigazione, scegli Gateway Direct Connect.
3. Seleziona il gateway Direct Connect associato al gateway di transito.
4. In Gateway association (Associazione gateway), verifica che il campo Prefissi consentiti includa il blocco CIDR del VPC.

Controlla le regole del gruppo di sicurezza dell'istanza e della lista di controllo degli accessi alla rete

Completa i seguenti passaggi:

1. Apri la console Amazon EC2.
2. Nel pannello di navigazione, scegli Istanze.
3. Seleziona l'istanza EC2.
4. Scegli la scheda Sicurezza.
5. Verifica se per Regole in entrata e Regole in uscita è consentito il traffico da e verso la rete on-premises.
6. Apri la console Amazon VPC.
7. Nel pannello di navigazione, scegli Network ACLs (ACL di rete).
8. Seleziona l'ACL di rete per la sottorete dell'istanza EC2.
9. Seleziona Regole in entrata e Regole in uscita. Quindi controlla se le regole consentono il traffico da e verso la rete on-premises.

Controlla le liste di controllo degli accessi alla rete per le interfacce dei gateway di transito

Completa i seguenti passaggi:

1. Apri la console Amazon EC2.
2. Nel pannello di navigazione, scegli Interfacce di rete.
3. Nella barra di ricerca, inserisci Transit Gateway.
4. Annota gli ID di sottorete in cui Transit Gateway ha creato le interfacce.
5. Apri la console Amazon VPC.
6. Nel pannello di navigazione, scegli Network ACLs (ACL di rete).
7. Nella barra di ricerca, inserisci un ID di sottorete che hai annotato in precedenza. I risultati mostrano la lista di controllo degli accessi alla rete (ACL) per la sottorete.
8. Verifica se per Regole in entrata e Regole in uscita è consentito il blocco CIDR del VPC e il blocco CIDR della rete on-premises.
9. Ripeti i passaggi 6-8 per ogni interfaccia di rete del gateway di transito associata al VPC.

Nota: il traffico proveniente da una connessione VPN o Direct Connect potrebbe entrare nel VPC attraverso una zona di disponibilità o sottorete diversa dalla zona di disponibilità dell'istanza. Controlla le ACL di rete per tutte le sottoreti dotate di interfacce di rete.

Controlla le regole del traffico VPC dei dispositivi firewall on-premises

Verifica che i dispositivi firewall on-premises consentano il traffico in entrata e in uscita verso il blocco CIDR del VPC. Per istruzioni, consulta la documentazione del fornitore del firewall.

Analizza le route con Route Analyzer

Completa i seguenti passaggi:

1. Apri la console Amazon VPC.
2. Nel pannello di navigazione, scegli Network Manager.
3. Scegli la rete globale in cui è registrato il gateway di transito.
4. Nel pannello di navigazione, scegli Rete gateway di transito. Quindi scegli Route Analyzer.
5. Per Origine e Destinazione, inserisci un gateway di transito, il collegamento del gateway di transito e un indirizzo IP. Assicurati di utilizzare lo stesso gateway di transito nei campi Origine e Destinazione.
6. Scegli Esegui l'analisi della route.

Nota: dopo aver eseguito l'analisi della route, Route Analyzer mostra lo stato Connesso o Non connesso. Se lo stato è Non connesso, applica i consigli di routing forniti da Route Analyzer ed esegui nuovamente l'analisi.

Informazioni correlate

How do I troubleshoot VPC-to-VPC connectivity through a transit gateway? (Come posso risolvere i problemi di connettività da VPC a VPC tramite un gateway di transito?)

Diagnosing traffic disruption using AWS Transit Gateway Network Manager Route Analyzer (Diagnosi delle interruzioni del traffico utilizzando Route Analyzer di AWS Transit Gateway network manager)