Transit Gateway 経由でのオンプレミスリソースと VPC 間の接続をトラブルシューティングする方法を教えてください。

解決策

前提条件 AWS Global Networks でグローバルネットワークを作成すること。Route Analyzer を使用してTransit Gateway のルートテーブル内のルートを分析するために必要です。

サブネットルートテーブルの設定を確認する

次の手順を実行します。

1. Amazon Virtual Private Cloud (Amazon VPC) コンソールを開きます。
2. ナビゲーションペインで [ルートテーブル] を選択します。
3. ソース Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのルートテーブルを選択します。
4. [ルート] タブを選択します。
5. [宛先] にオンプレミスネットワークが表示されているかどうかを確認します。
6. [ターゲット] に Transit Gateway ID が表示されているかどうかを確認します。

Transit Gateway アタッチメントを確認する

次の手順を実行します。

1. ナビゲーションペインで、[Transit Gateway アタッチメント] を選択します。
2. VPC アタッチメントを選択します。
3. [詳細] で、VPC アタッチメントに Amazon EC2 インスタンスのアベイラビリティーゾーンに属する サブネット ID が含まれているかどうかを確認します。

VPC アタッチメントに EC2 インスタンスのアベイラビリティーゾーンに属するサブネットが含まれていない場合は、EC2 インスタンスのアベイラビリティーゾーンからサブネットを選択します。手順については、「Amazon VPC Transit Gateway を使用して VPC アタッチメントを変更する」を参照してください。

注: VPC アタッチメントのサブネットを追加または変更すると、変更状態がデータトラフィックに影響する可能性があります。

VPC アタッチメントのルートテーブルを確認する

次の手順を実行します。

1. ナビゲーションペインで [Transit Gateway ルートテーブル] を選択します。
2. VPC アタッチメントに関連付けられているルートテーブルを選択します。
3. [ルート] タブで、使用するオンプレミスネットワーク用のルートが存在するかどうかを確認します。さらに、[ターゲット] に DXGW/VPN アタッチメントが表示されるかどうかも確認します。
4. 静的ルートで Site-to-Site VPN を使用する場合は、オンプレミスネットワーク用の静的ルートを作成し、ターゲットとして VPNアタッチメント を選択します。

Direct Connect ゲートウェイまたは VPN アタッチメントのルートテーブルを確認する

次の手順を実行します。

1. ナビゲーションペインで [Transit Gateway ルートテーブル] を選択します。
2. AWS Direct Connect ゲートウェイまたは VPN アタッチメントに関連付けられているルートテーブルを選択します。
3. [ルート] タブで、VPC CIDR ブロック用のルートが存在するかどうかを確認します。次に、ルートのターゲットが正しい Transit Gateway VPC アタッチメントに設定されているかどうかを確認します。

Direct Connect ゲートウェイで許可されているプレフィックスを確認する

次の手順を実行します。

1. Direct Connect コンソールを開きます。
2. ナビゲーションペインで、[Direct Connect ゲートウェイ] を選択します。
3. Transit Gateway に関連付けられている Direct Connect ゲートウェイを選択します。
4. [ゲートウェイの関連付け] の [許可されたプレフィックス] フィールドに VPC CIDR ブロックが含まれていることを確認します。

インスタンスのセキュリティグループとネットワークアクセスコントロールリストのルールを確認する

次の手順を実行します。

1. Amazon EC2 コンソールを開きます。
2. ナビゲーションペインで [インスタンス] を選択します。
3. 該当する EC2 インスタンスを選択します。
4. [セキュリティ] タブを選択します。
5. インバウンドルールとアウトバウンドルールがオンプレミスネットワークとの間のトラフィックを許可しているかどうかを確認します。
6. Amazon VPC コンソールを開きます。
7. ナビゲーションペインで [ネットワーク ACL] を選択します。
8. EC2 インスタンスのサブネット用のネットワーク ACL を選択します。
9. [インバウンドルール] と [アウトバウンドルール] を選択します。次に、これらのルールがオンプレミスネットワークとの間のトラフィックを許可しているかどうかを確認します。

Transit Gateway インターフェイス用のネットワークアクセスコントロールリストを確認する

次の手順を実行します。

1. Amazon EC2 コンソールを開きます。
2. ナビゲーションペインで [ネットワークインターフェイス] を選択します。
3. 検索バーに Transit Gateway と入力します。
4. Transit Gateway がインターフェイスを作成したサブネットのサブネット ID を書き留めます。
5. Amazon VPC コンソールを開きます。
6. ナビゲーションペインで [ネットワーク ACL] を選択します。
7. 書き留めたサブネット ID を検索バーに入力します。結果には、サブネット用のネットワークアクセスコントロールリスト (ネットワーク ACL) が表示されます。
8. インバウンドルールとアウトバウンドルールで VPC CIDR ブロックとオンプレミスネットワーク CIDR ブロックが許可されているかどうかを確認します。
9. VPC に関連付けられている各 Transit Gateway ネットワークインターフェイスに対し、ステップ 6 ～ 8 を繰り返します。

注: VPN または Direct Connect 接続からのトラフィックは、インスタンスのアベイラビリティーゾーンとは異なるアベイラビリティーゾーンまたはサブネット経由で VPC に流入する場合があります。ネットワークインターフェイスを含むすべてのサブネットのネットワーク ACL を確認します。

オンプレミスのファイアウォールデバイスで VPC トラフィックルールの有無を確認する

オンプレミスのファイアウォールデバイスが VPC CIDR ブロックへのインバウンドトラフィックとアウトバウンドトラフィックを許可していることを確認します。手順については、使用するファイアウォールベンダーのマニュアルを参照してください。

Route Analyzer でルートを分析する

次の手順を実行します。

1. Amazon VPC コンソールを開きます。
2. ナビゲーションペインで [Network Manager] を選択します。
3. Transit Gateway が登録されているグローバルネットワークを選択します。
4. ナビゲーションペインで [Transit Gateway] を選択します。次に、[Route Analyzer] を選択します。
5. [送信元] と [宛先] に Transit Gateway、Transit Gateway アタッチメント、および IP アドレスを入力します。[送信元] と [宛先] フィールドでは両方とも、同じ Transit Gateway を使用していることを確認してください。
6. [ルート解析を実行] を選択します。

注: ルート解析を実行すると、Route Analyzer に Connected または Not Connected というステータスが表示されます。ステータスが Not Connected の場合は、Route Analyzer によるルーティングの推奨事項を適用し、解析を再実行します。

関連情報

Transit Gateway 経由での VPC 間接続のトラブルシューティング方法を教えてください

AWS Transit Gateway Network Manager の Route Analyzer を使用してトラフィック中断を診断する