Direct Connect から AWS リソースへの接続に関する問題をトラブルシューティングする方法を教えてください。

簡単な説明

Direct Connect は、AWS 内でアクセスするリソースに応じて、プライベート、パブリック、およびトランジット仮想インターフェイス (VIF) を使用します。Direct Connect VIF を使用してオンプレミスから AWS リソースに接続すると、使用している VIF のタイプによっては、複数の接続の問題が発生する可能性があります。

解決方法

問題が発生している VIF が使用中に突然動作しなくなった場合は、次の手順を実行してください。

• AWS Health Dashboard で、Direct Connect 接続や VIF に影響する可能性のある、現在実施中または最近完了した AWS メンテナンスがないか確認します。
• Direct Connect コンソールにログインし、VIF ステータスが UP になっていることを確認します。ステータスが DOWN の場合、ボーダーゲートウェイプロトコル (BGP) は確立されていません。これをトラブルシューティングするには、「AWS Direct Connect のトラブルシューティング」を参照してください。

VIF タイプに基づく接続の問題のトラブルシューティング

接続に関する問題をトラブルシューティングするには、VIF タイプを確認して、次の手順を実行してください。

プライベート仮想インターフェイス

プライベート仮想インターフェイスは、Amazon Virtual Private Cloud (Amazon VPC) 内のリソースにアクセスするために使用されます。このインターフェイスでは、Amazon VPC CIDR 範囲から割り当てられたプライベート IP アドレスを使用してリソースにアクセスします。Amazon VPC 内のリソースへの接続に問題がある場合は、次の手順を実行してください。

1.    宛先インスタンスのセキュリティグループとサブネットネットワークアクセスコントロールリスト (ACL) に適切なインバウンドルールとアウトバウンドルールがあることを確認します。使用する送信元と宛先の IP アドレスとポートによっては、AWS とオンプレミス間の双方向接続を許可する必要があります。

2.    オンプレミスルーターの BGP ルーティング設定をチェックして、必要なルートが AWS に向けられていることを確認します。Amazon VPC ルートテーブルでルート伝播を使用している場合、ルートは Amazon VPC ルートテーブルに表示されるはずです。また、正しい仮想プライベートゲートウェイをターゲットにする必要があります。

3.    オンプレミスルーターが BGP 経由で Amazon VPC CIDR のルートを受信していることを確認します。ルートは、ダイレクトコネクト VIF に関連付けられた AWS ピア IP アドレスから受信する必要があります。

• AWS ピア IP アドレスからルートを受信していない場合は、仮想プライベートゲートウェイが正しい Amazon VPC に関連付けられているかどうかを確認してください。
• プライベート VIF が Direct Connect ゲートウェイで終了する場合は、正しい仮想プライベートゲートウェイが Direct Connect ゲートウェイに関連付けられていることを確認してください。許可されたプレフィックスが Amazon VPC CIDR をオンプレミスルーターに送信できるように設定されていることを確認します。

4.    オンプレミスルーターから Amazon VPC インスタンスへのトレースルートを実行し、次のように方向を逆にします。

ICMP ベースのトレースルート:

sudo traceroute -n -I <private-IP-of-EC2-instance/on-premises-host>

**注:**オンプレミスのルーターまたはファイアウォールが ICMP ベースのトレースルート要求をブロックしている場合は、適切な TCP ポートで TCP ベースのトレースルートを実行します。

TCP ベースのトレースルート:

sudo traceroute -n -T -p 22 <private-IP-of-EC2-instance/on-premises-host>

注:前述のコマンドでは、-n -T -p 22 はポート 22 でトレースを実行します。アプリケーションがリッスンしているポートならどれでも使用できます。

5.    トレースルートの結果をチェックして、オンプレミスルーターと VIF に関連付けられた AWS ピア IP の可視性と動作を確認します。

• トレースルートがオンプレミスルーターのピア IP で停止した場合、トラフィックはオンプレミスルーターに到達した後にドロップされます。オンプレミスネットワークのファイアウォール設定をチェックして、選択したポートで双方向接続が許可されていることを確認します。
• トレースルートが AWS ピア IP で停止する場合は、ステップ 1 のネットワーク ACL とセキュリティグループの設定を確認します。Amazon VPC Flow Logs を使用して、オンプレミスルーターから送信されたパケットが特定の Elastic Network Interface で受信されているかどうかを確認することもできます。
• VIF に関連付けられた AWS またはオンプレミスのピア IP が表示されない場合は、トラフィックが間違ったパスを介して転送されています。オンプレミスルーターをチェックして、同じ CIDR に対して別のピアを経由するより具体的なルートや優先ルートがあるかどうかを確認してください。
• AWS からオンプレミスルーターへのトレースルートに AWS ピア IP アドレスが含まれていない場合は、別の VIF も終端了していないか確認します。別の VIF が、同じオンプレミスルートをアドバタイズしている同じ仮想プライベートゲートウェイまたは Direct Connect ゲートウェイで終端していないか確認します。終端している場合は、Amazon VPC のルートテーブルで、オンプレミスルーターの特定のルートをアドバタイズしている既存のサイト間 VPN 接続がないか確認します。

6.    AWS からオンプレミスルーター、およびオンプレミスルーターから AWS へのトレースルートを比較します。両方のトレースルートのホップが異なる場合は、非対称ルーティングであることを示します。ルーティングポリシーを使用して、同じ Direct Connect プライベート仮想インターフェイスが双方向で優先されるようにしてください。

パブリック仮想インターフェイス

パブリック仮想インターフェイスは、パブリック IP アドレスを使用してすべての AWS パブリックサービスにアクセスします。パブリック仮想インターフェイスの接続に関する問題をトラブルシューティングするには、次の手順を実行してください。

1.    パブリック仮想インターフェイスをホストしているオンプレミスルーターが、AWS ピア IP アドレスのパブリックプレフィックスからルートを受信しているかどうかを確認します。インバウンドプレフィックスフィルターとルートマップを使用してルートをフィルタリングする場合は、プレフィックスフィルターが必要なプレフィックスと一致することを確認してください。

2.    オンプレミスネットワークのネットワークアドレス変換 (NAT) を実行する場合は、パブリックピア IP アドレスを BGP 経由で AWS にアドバタイズしていることを確認します。

シナリオ例:

• ローカルピア IP アドレスは 69.210.74.146/31 です
• リモートピア IP アドレスは 69.210.74.147/31 です
• ローカルピア IP アドレスに対して、オンプレミスのローカルネットワークトラフィックの NAT を実行する場合は、69.210.74.146/32 を AWS にアドバタイズします。

**注:**必ず、オンプレミスからパブリック VIF 経由で AWS にアドバタイズされているプレフィックスから接続してください。パブリック VIF にアドバタイズされていないプレフィックスからは接続できません。

3.    オンプレミスから AWS へのトレースルートを実行して、トラフィックが Direct Connect パブリック VIF を介して転送されているかどうかを確認します。

• トラフィックがパブリック VIF を介して転送されている場合、トレースルートにはローカル (オンプレミス) ピア IP とリモート (AWS) ピア IP が関連付けられている必要があります。
• AWS 内で使用されているネットワークパスを確認する必要がある場合は、パブリック Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを起動してください。インスタンスは AWS サービスと同じリージョンである必要があります。インスタンスを起動したら、オンプレミスへのトレースルートを実行します。トレースルートにトラフィックがインターネット経由または別の VIF 経由で転送されていることが示されている場合は、特定のルートがアドバタイズされている可能性があります。

**注:**AWS は AS\ _PATH を使用し、最長プレフィックスマッチを使用してルーティングパスを決定します。Amazon からのトラフィックには、Direct Connect が推奨されます。

4.    AWS のパブリックサービス (Amazon Simple Storage Service や Amazon S3 など) への接続が正しい宛先リージョンで機能していることを確認します。次に、Amazon にアドバタイズするパブリックプレフィックスで BGP コミュニティタグを使用しているかどうかを確認します。

**注:**BGP コミュニティタグは、Amazon ネットワーク上でプレフィックスをどこまで伝播するかを決定します。

トランジット仮想インターフェイス

トランジット仮想インターフェイスは、Direct Connect ゲートウェイに関連付けられた 1 つ以上の Amazon VPC トランジットゲートウェイ (TGW) にアクセスします。接続に関する問題をトラブルシューティングするには、次の手順を実行してください。

1.    宛先リソースの Amazon VPC サブネットルートテーブルに、TGW へのオンプレミス CIDR のルートがあることを確認します。インスタンスまたはリソースのセキュリティグループとサブネットのネットワーク ACL が双方向接続を許可していることを確認してください。詳細については、「ネットワーク ACL とトランジットゲートウェイの仕組み」を参照してください。

2.    トランジット VIF に関連付けられているオンプレミスルーターが、AWS ピアから BGP 経由で正しいルートを受信していることを確認します。ルートは宛先の Amazon VPC CIDR 用です。必要なルートが届かない場合は、「許可されたプレフィックス」セクションを確認してください。Direct Connect ゲートウェイと TGW の関連付けに使用できるプレフィックスに、必要なプレフィックスが設定されていることを確認します。「許可されたプレフィックス」セクションで設定されたルートのみが、トランジット VIF 経由で AWS からアドバタイズされます。

3.    トランジット VIF に関連付けられているオンプレミスルーターが、必要なオンプレミスネットワークプレフィックスを AWS にアドバタイズしているかどうかを確認してください。

• Direct Connect ゲートウェイから TGW ルートテーブルにルートを伝播する場合は、ルートがルートテーブルに表示されているかどうかを確認してください。ルートが表示されない場合は、アドバタイズされたルートの AS パスをチェックして、TGW ASN が含まれていないことを確認します。
• AS パス上の TGW ASN を含む特定のルートをアドバタイズする場合、そのルートはルートテーブルにインストールされません。カスタマーゲートウェイデバイス (オンプレミスルーター) が使用する ASN が TGW ASN と異なることを確認してください。

4.    Direct Connect ゲートウェイと宛先の Amazon VPC アタッチメントに関連付けられた TGW テーブルに、宛先の正しいルートが設定されていることを確認します。

• Direct Connect ゲートウェイに関連付けられた TGW ルートテーブルには、Amazon VPC アタッチメントに向けられた Amazon VPC CIDR のルートが必要です。
• Amazon VPC アタッチメントに関連付けられた TGW ルートテーブルには、Direct Connect ゲートウェイアタッチメントへのオンプレミス CIDR のルートが必要です。

5.    AWS からオンプレミス (両方向) への双方向トレースルートを実行して、トラフィックパスとトラフィックがドロップするホップを特定します。

• AWS ピア IP アドレスに到達した後にトラフィックが落ちる場合は、次の点を確認してください。
• AWS からオンプレミスへのトレースルートがオンプレミスのピア IP アドレスでドロップされる場合は、オンプレミスのファイアウォールの設定を確認してください。送信元と宛先間の正しいポートで双方向接続が許可されていることを確認してください。

6.    AWS からオンプレミスへのトレースルートに VIF に関連付けられたピア IP が含まれていない場合は、Direct Connect ゲートウェイを確認してください。Direct Connect ゲートウェイを調べて、同じ Direct Connect ゲートウェイに同じオンプレミスルートをアドバタイズする他のトランジット VIF があるかどうかを確認してください。その場合は、このルーティングポリシーをトランジット VIF に使用して、アウトバウンド接続に使用する必要がある VIF を特定してください。

7.    TGW Amazon VPC アタッチメントに、宛先リソースと同じアベイラビリティーゾーンのサブネットが関連付けられていることを確認します。たとえば、インスタンスが特定のアベイラビリティーゾーンにある場合、TGW Amazon VPC アタッチメントには同じ場所に 1 つのサブネットが必要です。

**注:**Amazon VPC フローログを使用して、オンプレミスのトラフィックが特定のインスタンスの Elastic Network Interface (ENI) に到達しているかどうかを確認できます。これは、Elastic Network Interface (ENI) に双方向トラフィックがあるかどうかを識別するのに役立ちます。