スキップしてコンテンツを表示
AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post
re:Postに関して

Transit Gateway 経由でのオンプレミスリソースと Amazon VPC との間の接続をトラブルシューティングする方法を教えてください。

所要時間3分
0

AWS Direct Connect または AWS Site-to-Site Virtual Private Network (Amazon VPC) を使用する AWS Transit Gateway を介して、オンプレミスリソースと Amazon Virtual Private Cloud (Amazon VPC) との間の接続問題をトラブルシューティングしたいと考えています。

解決策

Transit Gateway を介したオンプレミスリソースと VPC 間の接続をトラブルシューティングするには、以下のアクションを実行します。

インスタンスのセキュリティグループとネットワーク ACL ルールを確認する

次の手順を実行します。

  1. Amazon Elastic Compute Cloud (Amazon EC2) コンソールを開きます。
  2. ナビゲーションペインで [インスタンス] をクリックします。
  3. Amazon EC2 インスタンスを選択します。
  4. [セキュリティ] タブをクリックします。
  5. インバウンドルールアウトバウンドルールがオンプレミスネットワークとの間のトラフィックを許可しているかどうかを確認します。
  6. Amazon VPC コンソールを開きます。
  7. ナビゲーションペインで [ネットワーク ACL] をクリックします。
  8. インスタンスのサブネット用のネットワークアクセスコントロールリスト (ネットワーク ACL) を選択します。
  9. [インバウンドルール][アウトバウンドルール] をクリックします。次に、これらのルールがオンプレミスネットワークとの間のトラフィックを許可しているかどうかを確認します。

Transit Gateway アタッチメントを確認する

次の手順を実行します。

  1. ナビゲーションペインで、[Transit Gateway アタッチメント] をクリックします。
  2. VPC アタッチメントを選択します。
  3. [詳細] で、VPC アタッチメントに Amazon EC2 インスタンスのアベイラビリティゾーンに属するサブネット ID が含まれているかどうかを確認します。
  4. VPC アタッチメントにインスタンスのアベイラビリティゾーンに属するサブネットが含まれていない場合は、インスタンスのアベイラビリティゾーンからサブネットを選択します。手順については、「Modify a VPC attachment in AWS Transit Gateway」(AWS Transit Gateway で VPC アタッチメントを変更する) を参照してください。
    注: VPC アタッチメントのサブネットを追加または変更すると、変更状態がデータトラフィックに影響する可能性があります。

Transit Gateway インターフェイスのネットワーク ACL を確認する

次の手順を実行します。

  1. Amazon EC2 コンソールを開きます。
  2. ナビゲーションペインで [ネットワークインターフェイス] をクリックします。
  3. 検索バーに Transit Gateway と入力します。
  4. Transit Gateway がインターフェイスを作成したサブネットの ID を書き留めます。
  5. Amazon VPC コンソールを開きます。
  6. ナビゲーションペインで [ネットワーク ACL] をクリックします。
  7. 検索バーに、先ほど書き留めたサブネット ID を入力します。結果には、サブネットのネットワーク ACL が表示されます。
  8. インバウンドルールアウトバウンドルールで VPC CIDR ブロックとオンプレミスネットワーク CIDR ブロックが許可されているかどうかを確認します。
  9. VPC に関連付けられている各 Transit Gateway ネットワークインターフェイスに対し、手順 6 ~ 8 を繰り返します。

注: VPN または Direct Connect 接続からのトラフィックは、インスタンスのアベイラビリティゾーンとは異なるアベイラビリティゾーンまたはサブネット経由で VPC に流入する場合があります。ネットワークインターフェイスを含むすべてのサブネットのネットワーク ACL を確認します。ネットワーク ACL ルール適用の詳細については、「Network ACLs for transit gateways in AWS Transit Gateway」(AWS Transit Gateway の Transit Gateway のネットワーク ACL) を参照してください。

サブネットルートテーブルの設定を確認する

次の手順を実行します。

  1. Amazon VPC コンソールを開きます。
  2. ナビゲーションペインで [ルートテーブル] をクリックします。
  3. 送信元インスタンスのルートテーブルを選択します。
  4. [ルート] タブをクリックします。
  5. [送信先]オンプレミスネットワークが表示されているかどうかを確認します。
  6. [ターゲット] に Transit Gateway ID が表示されているかどうかを確認します。

Transit Gateway を指す送信先 CIDR ブロックのルートエントリを確認します。ルートエントリが表示されない場合は、Transit Gateway を指すエントリをそれぞれのルートテーブルに追加します。

VPC アタッチメントの Transit Gateway ルートテーブルを確認する

次の手順を実行します。

  1. ナビゲーションペインで [Transit Gateway ルートテーブル] をクリックします。
  2. VPC アタッチメントに関連付けられているルートテーブルを選択します。
  3. [ルート] タブで、使用するオンプレミスネットワーク用のルートが存在するかどうかを確認します。さらに、[ターゲット]DXGW/VPN アタッチメントが表示されるかどうかも確認します。
  4. 静的ルートで Site-to-Site VPN を使用する場合は、オンプレミスネットワーク用の静的ルートを作成し、ターゲットとして VPN アタッチメントを選択します。

Direct Connect ゲートウェイまたは VPN アタッチメントの Transit Gateway ルートテーブルを確認する

次の手順を実行します。

  1. ナビゲーションペインで [Transit Gateway ルートテーブル] をクリックします。
  2. AWS Direct Connect ゲートウェイまたは VPN アタッチメントに関連付けられているルートテーブルを選択します。
  3. [ルート] タブで、VPC CIDR ブロック用のルートが存在するかどうかを確認します。次に、ルートのターゲットが正しい Transit Gateway VPC アタッチメントに設定されているかどうかを確認します。

Direct Connect ゲートウェイで許可されているプレフィックスを確認する

次の手順を実行します。

  1. Direct Connect コンソールを開きます。
  2. ナビゲーションペインで、[Direct Connect ゲートウェイ] をクリックします。
  3. Transit Gateway に関連付けられている Direct Connect ゲートウェイを選択します。
  4. [ゲートウェイの関連付け][許可されたプレフィックス] フィールドに、使用する VPC CIDR ブロックが含まれていることを確認します。

ネットワークファイアウォールの設定またはサードパーティのファイアウォールアプライアンスの設定を確認する

North-South トラフィックを検査するために集中型検査モデルを実装したかどうかを確認します。集中型検査モデルを実装した場合は、AWS Network Firewall に必要なすべてのトラフィックを許可する Suricata ルールがあることを確認します。Suricata の詳細については、Suricata 公式ウェブサイトの「Suricata」を参照してください。集中型検査モデルの詳細については、「Deployment models for AWS Network Firewall」(AWS Network Firewall のデプロイモデル) と「VPC-to-on-premises traffic inspection」(VPC からオンプレミスへのトラフィック検査) を参照してください。

サードパーティの仮想アプライアンスを使用して検査する場合は、ファイアウォールルールで必要なトラフィックがすべて許可されていることを確認してください。

オンプレミスのファイアウォールデバイスで VPC トラフィックルールの有無を確認する

オンプレミスのファイアウォールデバイスが、両方のネットワーク間で必要なすべてのトラフィックを許可していることを確認します。手順については、使用するファイアウォールベンダーのマニュアルを参照してください。

オンプレミスサーバーのファイアウォールを確認する

オンプレミスサーバーがオペレーティングシステム (OS) のファイアウォールを使用している場合は、VPC CIDR ブロックとの間のトラフィックを許可していることを確認します。

Route Analyzer でルートを分析する

前提条件: AWS Global Networks でグローバルネットワークを作成します。

AWS Network Manager 用 Route Analyzer でルートを分析するには、次の手順を実行します。

  1. Amazon VPC コンソールを開きます。
  2. ナビゲーションペインで [Network Manager] をクリックします。
  3. Transit Gateway が登録されているグローバルネットワークを選択します。
  4. ナビゲーションペインで [Transit Gateway ネットワーク] をクリックします。次に、[Route Analyzer] をクリックします。
  5. [送信元][送信先] に、Transit Gateway、Transit Gateway アタッチメント、および IP アドレスを入力します。[送信元][送信先] フィールドでは両方とも、同じ Transit Gateway を使用していることを確認してください。
  6. [ルート分析を実行] をクリックします。

注: ルート分析を実行すると、Route Analyzer に [接続済み] または [未接続] というステータスが表示されます。ステータスが [未接続] の場合は、Route Analyzer によるルーティングの推奨事項を適用し、分析を再実行してください。

関連情報

Transit Gateway 経由での VPC 間接続のトラブルシューティング方法を教えてください

Diagnosing traffic disruption using AWS Transit Gateway Network Manager Route Analyzer (AWS Transit Gateway Network Manager の Route Analyzer を使用してトラフィック中断を診断する)

トピック
Networking & Content Delivery
タグ
AWS Transit Gateway
言語
日本語
AWS公式更新しました 4ヶ月前
コメントはありません

関連するコンテンツ