Transit Gateway와 VPC에서 실행 중인 타사 가상 어플라이언스 간의 연결 문제를 해결하려면 어떻게 해야 합니까?

4분 분량
0

Virtual Private Cloud(VPC)에서 Transit Gateway와 SD-WAN(Software-defined Wide Area Network) 인스턴스 간에 연결을 설정하는 AWS Transit Gateway Connect 연결이 있습니다. 하지만 Transit Gateway Connect 연결을 통해 VPC에서 원격 네트워크를 연결할 수 없습니다. 이 문제를 해결하려면 어떻게 해야 합니까?

간략한 설명

Transit Gateway Connect 연결로 연결된 소스 네트워크와 원격 네트워크 간의 연결 문제를 해결하려면 다음을 확인합니다.

  • Connect 연결 설정
  • 가용 영역
  • 라우팅 테이블
  • 네트워크 보안 설정

해결 방법

Transit Gateway 및 Connect 연결 설정 문제 해결

Transit Gateway 및 Connect 연결 설정 구성 확인

  1. Amazon Virtual Private Cloud(Amazon VPC) 콘솔을 엽니다.
  2. 탐색 창에서 [Transit Gateway 연결(Transit Gateway Attachments)]을 선택합니다.
  3. 원격 또는 온프레미스 호스트와 통신해야 하는 리소스가 있는 소스 VPC 연결을 선택합니다. 이 연결이 올바른 Transit Gateway ID와 연결되어 있는지 확인합니다.
  4. 전송 게이트웨이와 VPC에서 실행 중인 타사 가상 어플라이언스 간의 연결을 설정하는 데 사용되는 연결인 Connect 연결에 대해 3단계를 반복합니다.
  5. 전송 게이트웨이와 SD-WAN 간에 GRE(Generic Routing Encapsulation) 설정을 설정하는 전송 메커니즘으로 사용되는 연결인 전송 VPC 연결에 대해 3단계를 반복합니다.
  6. 탐색 창에서 [Transit Gateway 라우팅 테이블(Transit Gateway Route Tables)]을 선택합니다.
  7. 각 연결 시간에 대해 [Transit Gateway 라우팅 테이블(Transit Gateway Route Table)]을 선택하고 다음을 확인합니다.
    소스 VPC 및 SD-WAN VPC가 전송 게이트웨이에 연결되어 있습니다. 이는 동일하거나 다른 전송 게이트웨이 또는 리전일 수 있습니다.
    소스 VPC 및 SD-WAN VPC 연결이 올바른 전송 게이트웨이 라우팅 테이블과 연결되어 있습니다.
    Connect 연결이 올바른 전송 게이트웨이에 연결되어 있습니다.
    Connect 연결이 올바른 VPC 전송 연결(SD-WAN 어플라이언스의 VPC 연결)을 사용하며 사용 가능 상태입니다.

Connect 피어가 올바르게 구성되었는지 확인

  1. Amazon VPC 콘솔을 엽니다.
  2. 탐색 창에서 [Transit Gateway 연결(Transit Gateway Attachments)]을 선택합니다.
  3. [Connect 연결(Connect attachment)]을 선택합니다.
  4. [Connect 피어(Connect Peers)]를 선택합니다. 다음 사항을 확인합니다.
    피어 GRE 주소가 GRE 터널을 생성하려는 SD-WAN 인스턴스의 프라이빗 IP 주소입니다.
    Transit Gatewa GRE 주소가 Transit Gatewa CIDR에서 사용 가능한 IP 주소 중 하나입니다.
    IP 내부의 BGP가 IPv4의 169.254.0.0/16 범위 중에서 /29 CIDR 블록의 일부입니다. 선택적으로 IPv6의 fd00::/8 범위에서 /125 CIDR 블록을 지정할 수 있습니다. 예약되어 사용할 수 없는 CIDR 블록 목록은 Transit Gateway Connect 피어를 참조하세요.

타사 어플라이언스 구성 확인

타사 어플라이언스 구성이 모든 요구 사항 및 고려 사항과 일치하는지 확인합니다. 어플라이언스에 둘 이상의 인터페이스가 있는 경우 올바른 인터페이스에서 GRE 패킷을 전송하도록 OS 라우팅이 구성되어 있는지 확인합니다.

SD-WAN 어플라이언스와 동일한 가용 영역에 Transit Gateway 연결이 있는지 확인

  1. Amazon VPC 콘솔을 엽니다.
  2. 탐색 창에서 [서브넷(Subnets)]을 선택합니다.
  3. VPC 연결 및 SD-WAN 인스턴스에서 사용하는 [서브넷(Subnets)]을 선택합니다.
  4. 두 서브넷의 가용 영역 ID가 동일한지 확인합니다.

라우팅 테이블 및 라우팅 문제 해결

소스 인스턴스 및 SD-WAN 인스턴스의 VPC 라우팅 테이블 확인

  1. Amazon VPC 콘솔을 엽니다.
  2. 탐색 창에서 [라우팅 테이블(Route tables)]을 선택합니다.
  3. 인스턴스에서 사용하는 라우팅 테이블을 선택합니다.
  4. [경로(Routes)] 탭을 선택합니다.
  5. Transit Gateway ID로 올바른 대상 CIDR 블록과 대상을 가진 경로가 있는지 확인합니다. 소스 인스턴스의 경우 대상 CIDR 블록은 원격 네트워크 CIDR입니다. SD-WAN 인스턴스의 경우 대상 CIDR 블록은 Transit Gateway CIDR 블록입니다.

Transit Gateway 연결 및 소스 VPC 연결의 라우팅 테이블 확인

  1. Amazon VPC 콘솔을 엽니다.
  2. [전송 게이트웨이 라우팅 테이블(Transit gateway route tables)]을 선택합니다.
  3. 소스 VPC 연결의 연결된 라우팅 테이블에 원격 네트워크의 Connect 연결에서 전파되는 경로가 있는지 확인합니다.
  4. Transit Gateway Connect 연결의 연결된 라우팅 테이블에 소스 VPC 및 SD-WAN 어플라이언스의 VPC에 대한 경로가 있는지 확인합니다.

네트워크 보안 문제 해결

네트워크 ACL이 트래픽을 허용하는지 확인

  1. Amazon VPC 콘솔을 엽니다.
  2. 탐색 창에서 [서브넷(Subnets)]을 선택합니다.
  3. VPC 연결 및 SD-WAN 인스턴스에서 사용하는 [서브넷(Subnets)]을 선택합니다.
  4. [네트워크 ACL(Network ACL)] 탭을 선택합니다. 다음 사항을 확인합니다.
    SD-WAN 인스턴스의 네트워크 ACL이 GRE 트래픽을 허용합니다.
    소스 인스턴스의 네트워크 ACL이 트래픽을 허용합니다.
    전송 게이트웨이 네트워크 인터페이스와 연결된 네트워크 ACL이 트래픽을 허용합니다.

소스 인스턴스 및 SD-WAN EC2 인스턴스의 보안 그룹이 트래픽을 허용하는지 확인

  1. Amazon EC2 콘솔을 엽니다.
  2. 탐색 창에서 [인스턴스(Instances)]를 선택합니다.
  3. 적절한 인스턴스를 선택합니다.
  4. [보안(Security)] 탭을 선택합니다.
  5. SD-WAN 인스턴스의 보안 그룹이 인바운드 규칙에서 GRE 초기화를 수락하거나 아웃바운드 규칙에서 GRE 세션을 시작하도록 GRE 트래픽을 허용하는지 확인합니다. 소스 인스턴스의 보안 그룹이 트래픽을 허용하는지 확인합니다.

AWS 공식
AWS 공식업데이트됨 2년 전