Direct Connect から AWS リソースへの接続に関する問題をトラブルシューティングする方法を教えてください。

解決策

仮想インターフェイスの状態を確認する

仮想インターフェイスが機能しなくなった場合は、次のアクションを実行します。

• Direct Connect 接続または仮想インターフェイスに影響する可能性のある AWS メンテナンスが進行中または最近完了したかどうかを AWS Health Dashboard で確認します。
• 仮想インターフェイスの状態を確認します。ステータスが DOWN の場合、ボーダーゲートウェイプロトコル (BGP) ピアリングセッションは確立されていません。BGP の問題をトラブルシューティングするには、「Troubleshoot Direct Connect」(Direct Connect のトラブルシューティング) を参照してください。

プライベート仮想インターフェイスに関する問題のトラブルシューティング

インバウンドルールとアウトバウンドルールを設定する

送信先インスタンスのセキュリティグループ、およびサブネットのネットワークアクセスコントロールリスト (ネットワーク ACL) に対して、インバウンドルールとアウトバウンドルールを設定します。このルールは、AWS とオンプレミスリソース間の双方向接続を許可する必要があります。

注: 具体的なルールは、送信元 IP アドレス、送信先 IP アドレス、ポートによって異なります。オンプレミスのインスペクションファイアウォールを使用している場合は、双方向トラフィックを許可するように設定します。

BGP ルーティング設定を確認する

オンプレミスルーターの BGP ルーティング設定では、必要なルートを AWS に送信するようにしてください。

Amazon Virtual Private Cloud (Amazon VPC) ルートテーブルでルート伝達を有効にした場合は、ルートをルートテーブルに表示します。Amazon VPC ルートテーブルでは、オンプレミスルートがネクストホップまたは送信先として仮想ゲートウェイを指している必要があります。例えば、オンプレミスルーターが 10.0.0.0/8 をアドバタイズし、AWS を指している場合、ルートテーブルには 10.0.0.0/8 のルートエントリが含まれます。エントリは、ネクストホップまたは送信先として VPC に関連付けられている仮想ゲートウェイを指します。

オンプレミスルーターを確認する

オンプレミスルーターが BGP 経由で VPC CIDR のルートを受信していることを確認してください。ルーターは、Direct Connect 仮想インターフェイスに関連付けられている AWS ピアの IP アドレスからルートを受信する必要があります。

AWS ピアの IP アドレスからルートを受信しない場合は、仮想プライベートゲートウェイを正しい VPC に関連付けてください。

プライベート仮想インターフェイスが Direct Connect ゲートウェイで終了する場合は、正しい仮想プライベートゲートウェイを Direct Connect ゲートウェイに関連付けます。VPC CIDR がオンプレミスルーターに向かうように、許可されたプレフィックスを設定します。

トレースルートを実行する

オンプレミスルーターから VPC インスタンスへの双方向インターネット制御メッセージプロトコル (ICMP) に基づくトレースルートを実行するには、次のコマンドを実行します。

sudo traceroute -n -I YOUR_IP_ADDRESS

注: YOUR_IP_ADDRESS を Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたはオンプレミスホストのプライベート IP アドレスに置き換えてください。

オンプレミスのルーターまたはファイアウォールが ICMP ベースのトレースルートリクエストをブロックする場合は、適切な TCP ポートで次の TCP ベースのトレースルートを実行します。

sudo traceroute -n -T -p 22 YOUR_IP_ADDRESS

注: YOUR_IP_ADDRESS をプライベート IP アドレスに置き換えてください。上記のコマンドでは、-n -T -p 22 はポート 22 でトレースルートを実行します。アプリケーションがリスナーとして使用する任意のポートを使用できます。

トレースルートの結果を確認する

仮想インターフェイスに関連付けられているオンプレミスルーターと AWS ピア IP アドレスの可視性と動作を確認します。

シナリオに基づいて次のアクションを実行してください。

• トレースルートは AWS からオンプレミスリソースに移動し、トラフィックがオンプレミスルーターの IP アドレスで停止する場合: ポートで双方向接続を許可するようにオンプレミスネットワークのファイアウォール設定を構成します。
• トレースルートはオンプレミスのリソースから AWS に移動し、トラフィックが AWS ピアの IP アドレスで停止する場合: ネットワーク ACL とセキュリティ設定を確認してください。VPC フローログを使用して、オンプレミスルーターが送信したパケットを特定の Elastic Network Interface が受信したかどうかを確認することもできます。
• AWS またはオンプレミスのピア IP アドレスが仮想インターフェイスに関連付けられておらず、トラフィックが誤ったパスを経由して転送される場合: オンプレミスルーターに、別のピアを経由する同じ CIDR に対して、より具体的なルートまたは優先ルートがあることを確認します。
• AWS からオンプレミスルーターへのトレースルートに、AWS ピアの IP アドレスが含まれていない場合: オンプレミスルーターに向かってトラフィックが流れるセカンダリパス (仮想インターフェイスや VPN など) を探します。例えば、別の仮想インターフェイスが同じ仮想プライベートゲートウェイで終了したり、Direct Connect ゲートウェイが同じオンプレミスルートをアドバタイズしたりする場合があります。または、既存の AWS Site-to-Site VPN 接続が VPC ルートテーブルでオンプレミスルーターの特定のルートをアドバタイズする場合があります。

AWS からオンプレミスルーター、およびオンプレミスルーターから AWS へのトレースルートを比較します。両方のトレースルートのホップが異なる場合、ルーティングは非対称です。ルーティングポリシーを使用して、同じ Direct Connect プライベート仮想インターフェイスが双方向で優先されるようにします。

パブリック仮想インターフェイスに関する問題のトラブルシューティング

パブリックプレフィックスからのルートを検証する

パブリック仮想インターフェイスをホストしているオンプレミスルーターが、AWS ピアの IP アドレスからパブリックプレフィックスのルートを受信していることを確認します。ルートをフィルタリングするためのインバウンドプレフィックスフィルターとルートマップがある場合は、プレフィックスフィルターが必要なプレフィックスと一致することを確認してください。

パブリックピア IP アドレスをアドバタイズする

オンプレミスネットワークで NAT を実行する場合は、パブリックピア IP アドレスを BGP 経由で AWS にアドバタイズします。

注: オンプレミスのリソースからパブリック仮想インターフェイス経由で AWS にアドバタイズしたプレフィックスから接続していることを確認してください。アドバタイズしていないプレフィックスからパブリック仮想インターフェイスに接続することはできません。また、パブリック仮想インターフェイスで BGP 経由でアドバタイズする前に、「アドバタイズするプレフィックス」リストにプレフィックスを追加する必要があります。リスト内のプレフィックスは、アドバタイズする予定のプレフィックスと同じか、それより具体的でないものにする必要があります。

トレースルートを実行する

オンプレミスのリソースから AWS へのトレースルートを実行し、トラフィックが Direct Connect パブリック仮想インターフェイスを介して転送されていることを確認します。トラフィックがパブリック仮想インターフェイスを介して転送される場合、トレースルートには仮想インターフェイスに関連付けられた IP アドレスが含まれます。

AWS が使用するネットワークパスを確認する必要がある場合は、パブリック Amazon EC2 インスタンスを起動してください。インスタンスには AWS サービスと同じ AWS リージョンが必要です。インスタンスを起動したら、オンプレミスルーターへのトレースルートを実行します。トラフィックがインターネット経由または別の仮想インターフェイスを介して転送されていることがトレースルートに示されている場合、特定のルートがアドバタイズされている可能性があります。

注: AWS は AS_PATH と「最長のプレフィックスの一致」を使用してルーティングパスを決定します。Direct Connect は、AWS から送信されるトラフィックの推奨パスです。詳しくは、「Public virtual interface routing policies」(パブリック仮想インターフェイスのルーティングポリシー) を参照してください。

パブリック AWS サービスへの接続をテストする

Amazon Simple Storage Service (Amazon S3) などの AWS のパブリックサービスへの接続が正しい送信先リージョンで機能していることを確認します。次に、AWS にアドバタイズするパブリックプレフィックスに BGP コミュニティタグが付いていることを確認します。詳しくは、「Public virtual interface BGP communities」(パブリック仮想インターフェイスのルーティングポリシー) を参照してください。

注: BGP コミュニティタグは、AWS ネットワーク上でプレフィックスをどこまで伝達するかを決定します。

トランジット仮想インターフェイスに関する問題のトラブルシューティング

オンプレミス CIDR をトランジットゲートウェイルートに設定する

オンプレミスの CIDR から送信先リソースの VPC サブネットルートテーブル用のトランジットゲートウェイへのルートを設定していない場合は、設定してください。また、インスタンスまたはリソースのセキュリティグループとサブネットのネットワーク ACL を設定して、双方向接続を許可します。詳細については、「Network ACLs for transit gateways in AWS Transit Gateway」(AWS Transit Gateway のトランジットゲートウェイのネットワーク ACL) を参照してください。

BGP ルートを検証する

トランジット仮想インターフェイスに関連付けられているオンプレミスルーターが、AWS ピアから BGP 経由で正しいルートを受信していることを確認します。ルートは送信先の VPC CIDR 用です。

必要なルートが届かない場合は、許可されているプレフィックスリストを確認してください。トランジットゲートウェイに関連付けられている Direct Connect ゲートウェイに許可されるプレフィックスに、必要なプレフィックスを設定します。AWS は、許可されたプレフィックスリストに追加したルートのみをトランジット仮想インターフェイス経由でアドバタイズします。

オンプレミスのネットワークプレフィックスを検証する

トランジット仮想インターフェイスに関連付けられているオンプレミスルーターの場合、必要なオンプレミスネットワークプレフィックスを AWS にアドバタイズします。Direct Connect ゲートウェイからトランジットゲートウェイのルートテーブルにルートを伝達する場合は、そのルートをトランジットゲートウェイのルートテーブルに表示します。ルートが表示されない場合は、アドバタイズされたルートの AS_PATH を確認してください。AS_PATH にはトランジットゲートウェイ ASN を含めないでください。

注: トランジットゲートウェイから VPC にルートを伝達することはできません。そのため、VPC ルートテーブルにトランジットゲートウェイを指すルートエントリがあることを確認する必要があります。AS_PATH でトランジットゲートウェイ ASN を含むルートをアドバタイズすると、そのルートはルートテーブルにインストールされません。オンプレミスルーターとトランジットゲートウェイが別の ASN を使用していることを確認してください。

トランジットゲートウェイルートを検証する

Direct Connect ゲートウェイと送信先 VPC アタッチメントに関連付けられているトランジットゲートウェイテーブルに、送信先への正しいルートがあることを確認します。Direct Connect ゲートウェイに関連付けられているトランジットゲートウェイルートテーブルには、VPC アタッチメントに向かう VPC CIDR のルートが必要です。VPC アタッチメントに関連付けられているトランジットゲートウェイルートテーブルには、Direct Connect ゲートウェイアタッチメントに転送するオンプレミス CIDR のルートが必要です。

Direct Connect ゲートウェイの設定を検証する

AWS からオンプレミスリソースへのトレースルートに仮想インターフェイスのピア IP アドレスが含まれていない場合は、Direct Connect ゲートウェイの設定を確認してください。同じオンプレミスルートをアドバタイズするため、同じ Direct Connect ゲートウェイ上に他のトランジット仮想インターフェイスが必要です。アウトバウンド接続に使用する必要がある仮想インターフェイスを特定するには、トランジット仮想インターフェイスのルーティングポリシーを確認してください。

VPC アタッチメントのサブネットの関連付けを確認する

宛先リソースと同じアベイラビリティーゾーンにあるトランジットゲートウェイ VPC アタッチメントにサブネットを関連付けていることを確認します。例えば、トランジットゲートウェイ VPC アタッチメントには、インスタンスと同じアベイラビリティーゾーンにサブネットが 1 つ必要です。

注: ネットワークインターフェイス上の双方向トラフィックを特定するには、VPC フローログをチェックして、オンプレミストラフィックが特定のインスタンスのネットワークインターフェイスに到達していることを確認します。