VPC で実行されているサードパーティ製仮想アプライアンスにおける、Transit Gateway Connect の問題を解決する方法を教えてください。

解決策

Transite Gateway と接続アタッチメントの設定を確認する

1. Amazon Virtual Private Cloud (Amazon VPC) コンソールを開きます。
2. ナビゲーションペインで [Transit Gateway アタッチメント] を選択します。
3. リモートホストまたはオンプレミスホストと通信する必要があるソース VPC アタッチメントを選択します。アタッチメントが正しい Transit Gateway ID に関連付けられていることを確認します。
4. Connect アタッチメントに対し、ステップ 3 を繰り返します。これにより、Transit Gateway と VPC で実行されているサードパーティの仮想アプライアンスとの接続が確立されます。
5. トランスポート VPC アタッチメントに対し、ステップ 3 を繰り返します。これにより、Transit Gateway と SD-WAN 間の汎用ルーティングカプセル化 (GRE) 接続が確立されます。
6. ナビゲーションペインで [Transit Gateway ルートテーブル] を選択します。次に、各アタッチメントのルートテーブルを選択します。
7. ソースと SD-WAN VPC が同じまたは異なる AWS リージョンの Transit Gateway に接続されていることを確認します。
8. ソースと SD-WAN VPC アタッチメントが正しいルートテーブルに関連付けられていることを確認します。
9. ソース CIDR ブロックとボーダーゲートウェイプロトコル (BGP) のルートが関連するルートテーブルに伝達されていることを確認します。
10. Connect アタッチメントが正しい Transit Gateway に接続されていることを確認します。
11. Connect アタッチメントが SD-WAN アプライアンスに対して正しい VPC トランスポートアタッチメントを使用しており、ステータスが Available であることを確認します。

Connect ピアの設定を確認する

1. Amazon VPC コンソールを開きます。
2. [Transit Gateway アタッチメント] を選択します。
3. 該当する Connect アタッチメントを選択します。
4. [ピアを接続] を選択します。
5. Transit Gateway の GRE アドレスが、GRE トンネルに設定された SD-WAN アプライアンスのプライベート IP アドレスと一致することを確認します。
6. Transit Gateway の GRE アドレスが、Transit Gateway CIDR ブロックの使用可能な IP アドレスと一致することを確認します。
7. IP アドレス内の BGP は、IPv4 において 169.254.0.0/16 の範囲の /29 CIDR ブロックに属していることを確認します。IPv6 では、fd00::/8 の範囲から /125 CIDR ブロックを指定できます。詳細については、「Connect ピア」を参照してください。

注: BGP ピアの AS 番号 (ASN) は省略可能です。ピア の ASN を指定しない場合、Transit Gateway により ASN が割り当てられます。

サードパーティ製アプライアンスの設定を確認する

1. サードパーティ製アプライアンスの構成がすべての要件と考慮事項を満たしていることを確認します。
2. アプライアンスに複数のインターフェイスがある場合は、オペレーティングシステム (OS) のルーティングが適切なインターフェイス経由で GRE パケットを送信するように設定されていることを確認します。
3. セキュリティグループとネットワークアクセスコントロールリスト (ACL) を設定して、Transit Gateway CIDR ブロックからの GRE プロトコルのトラフィック (ポート 47) を許可します。

アベイラビリティーゾーンの設定を確認する

1. Amazon VPC コンソールを開きます。
2. [サブネット] を選択します。
3. VPC アタッチメントと SD-WAN アプライアンスのサブネットを選択します。
4. 両方のサブネットのアベイラビリティーゾーン ID が同じであることを確認します。詳細については、「AWS アベイラビリティーゾーン」を参照してください。

ルートテーブルとルーティングを確認する

1. Amazon VPC コンソールを開きます。
2. [ルートテーブル] を選択します。
3. ソースインスタンスのルートテーブルを選択します。
4. [ルート] タブを選択します。
5. ルートの宛先 CIDR ブロックと Transit Gateway ID が正しいターゲットとして設定されていることを確認します。
6. ソースインスタンスにおいて、リモートネットワーク CIDR が宛先 CIDR ブロックとして設定されていることを確認します。
7. SD-WAN アプライアンスにおいて、Transit Gateway CIDR が宛先 CIDR ブロックとして設定されていることを確認します。

Transit Gateway のルートテーブル設定を確認する

1. Amazon VPC コンソールを開きます。
2. [Transit Gateway ルートテーブル] を選択します。
3. ソース VPC アタッチメントに関連付けられているルートテーブルに、リモートネットワークの Connect アタッチメントから伝達されるルートがあることを確認します。
4. Connect アタッチメントに関連付けられているルートテーブルに、ソース VPC と SD-WAN アプライアンス VPC へのルートがあることを確認します。
5. Connect アタッチメントとソース VPC アタッチメントの両方のルートテーブルでルート伝達が有効になっていることを確認します。
6. 内部 BGP (iBGP) ピアにおいて、ルートの起点が外部 BGP (eBGP) ピアであることを確認します。アプライアンスから Transit Gateway にアドバタイズされるルート数が、1,000 ルートのクォータを超えないようにしてください。

ネットワーク ACL がトラフィックを許可していることを確認する

1. Amazon VPC コンソールを開きます。
2. [サブネット] を選択します。
3. VPC アタッチメントと SD-WAN アプライアンスのサブネットを選択します。
4. [ネットワーク ACL] タブを選択します。
5. SD-WAN アプライアンスのネットワーク ACL が GRE トラフィックを許可していることを確認します。
6. ソースインスタンスのネットワーク ACL がトラフィックを許可していることを確認します。
7. Transit Gateway のネットワークインターフェイスに関連付けられたネットワーク ACL がトラフィックを許可していることを確認します。

セキュリティグループでトラフィックを許可していることを検証する

1. Amazon Elastic Compute Cloud (Amazon EC2) コンソールを開きます。
2. ナビゲーションペインで [インスタンス] を選択します。
3. 該当するソースインスタンスと SD-WAN アプライアンスを選択します。
4. [セキュリティ] タブを選択します。
5. SD-WAN アプライアンスのセキュリティグループがインバウンド GRE 接続を許可していることを確認します。
6. SD-WAN アプライアンスのセキュリティグループがアウトバウンド GRE セッションを許可していることを確認します。
7. ソースインスタンスのセキュリティグループがトラフィックを許可していることを確認します。