Como soluciono problemas de conectividade entre recursos do Direct Connect e da AWS?

Breve descrição

O Direct Connect usa interfaces virtuais (VIF) privadas, públicas e de trânsito, dependendo do recurso que você está acessando na AWS. Conectar-se aos recursos da AWS on-premises usando uma VIF do Direct Connect pode resultar em vários problemas de conectividade, dependendo do tipo de VIF que você está usando.

Resolução

Se a VIF com a qual você está tendo problemas estava em uso e parou de funcionar repentinamente, conclua as seguintes etapas:

• Verifique seu AWS Health Dashboard para ver se há alguma manutenção contínua ou concluída recentemente da AWS que possa afetar sua conexão Direct Connect ou VIF.
• Faça login no console do Direct Connect e verifique se o status da VIF é ATIVO. Se o status for DOWN, o Protocolo de Gateway da Borda (BGP) não está estabelecido. Para solucionar isso, consulte Solucionar problemas do AWS Direct Connect.

Solucionar seus problemas de conectividade com base no seu tipo de VIF

Para solucionar problemas de conectividade, determine seu tipo de VIF e conclua as seguintes etapas:

Interfaces virtuais privadas

As interfaces virtuais privadas são usadas para acessar recursos em uma Amazon Virtual Private Cloud (Amazon VPC). Elas acessam os recursos usando o endereço IP privado atribuído pelo intervalo CIDR da Amazon VPC. Se tiver problemas para se conectar a um recurso em uma Amazon VPC, conclua as seguintes etapas:

1.    Verifique se o grupo de segurança da instância de destino e a lista de controle de acesso (ACL) de rede da sub-rede têm regras de entrada e saída apropriadas. A conectividade bidirecional entre a AWS e o local deve ser permitida dependendo do endereço IP de origem e destino e da porta que está sendo usada.

2.    Verifique a configuração de roteamento BGP no roteador on-premises para garantir que as rotas necessárias estejam sendo direcionadas para a AWS. Se você estiver usando a propagação de rotas na tabela de rotas da Amazon VPC, as rotas devem estar visíveis na tabela. Além disso, o gateway privado virtual correto deve ser o destino.

3.    Verifique se seu roteador on-premises está recebendo rotas para o CIDR da Amazon VPC por meio do BGP. As rotas devem ser recebidas do endereço IP do par da AWS associado ao Direct Connect VIF.

• Se não estiver recebendo rotas do endereço IP do par da AWS, verifique se o gateway privado virtual está associado à Amazon VPC correta.
• Se sua VIF privada terminar no gateway Direct Connect, certifique-se de que o gateway privado virtual correto esteja associado ao gateway Direct Connect. Verifique se os prefixos permitidos estão configurados para permitir que o CIDR da Amazon VPC seja direcionado para o roteador on-premises.

4.    Execute um traceroute do roteador on-premises para a instância da Amazon VPC e inverta a direção da seguinte forma:

Traceroute baseado em ICMP:

sudo traceroute -n -I <private-IP-of-EC2-instance/on-premises-host>

Observação: se seu roteador ou firewall on-premises bloquear solicitações de traceroute baseadas em ICMP, execute um traceroute baseado em TCP na porta TCP apropriada.

Traceroute baseado em TCP:

sudo traceroute -n -T -p 22 <private-IP-of-EC2-instance/on-premises-host>

Observação: no comando anterior, -n -T -p 22 executa um rastreamento na porta 22. Você pode usar qualquer porta na qual seu aplicativo esteja escutando.

5.    Verifique os resultados do traceroute para confirmar a visibilidade e o comportamento do roteador on-premises e dos IPs de pares da AWS associados à sua VIF.

• Se o traceroute parar no IP do par do roteador on-premises, o tráfego cairá depois de chegar ao roteador. Verifique as configurações do firewall de rede on-premises para garantir que a conectividade bidirecional seja permitida na porta selecionada.
• Se o traceroute parar no IP do par da AWS, verifique a ACL da rede e a configuração do grupo de segurança na etapa 1. Você também pode usar logs de fluxo da Amazon VPC para verificar se os pacotes enviados do roteador local são recebidos em uma interface de rede elástica específica.
• Se você não vê o IP de par on-premises ou da AWS associado ao VIF, o tráfego está sendo encaminhado por um caminho incorreto. Verifique seu roteador on-premises para confirmar se ele tem uma rota mais específica ou preferencial para o mesmo CIDR por meio de um par diferente.
• Se o traceroute da AWS para o roteador on-premises não contiver o endereço IP do par da AWS, verifique se a outra VIF também está sendo encerrada. Verifique se outra VIF está sendo encerrada no mesmo gateway privado virtual ou gateway Direct Connect que anuncia a mesma rota on-premises. Em caso afirmativo, verifique se há conexões VPN de site a site anunciando rotas específicas para o roteador on-premises na tabela de rotas da Amazon VPC.

6.    Compare os traceroutes da AWS com o roteador on-premises e do roteador on-premises com a AWS. Se os dois traceroutes tiverem saltos diferentes, isso indica roteamento assimétrico. Certifique-se de que a mesma interface virtual privada do Direct Connect seja preferida bidirecionalmente por meio do uso de políticas de roteamento.

Interfaces virtuais públicas

As interfaces virtuais públicas acessam todos os serviços públicos da AWS usando endereços IP públicos. Para solucionar problemas de conectividade de interface virtual pública, conclua as seguintes etapas:

1.    Verifique se o roteador on-premises que está hospedando sua interface virtual pública recebe rotas de prefixos públicos do endereço IP do par da AWS. Se você estiver usando um filtro de prefixo de entrada e um mapa de rotas para filtrar as rotas, certifique-se de que o filtro de prefixo corresponda aos prefixos necessários.

2.    Verifique se você está anunciando o endereço IP de par público para a AWS no BGP se estiver realizando a conversão de endereços de rede (NAT) para as redes on-premises.

Exemplo de cenário:

• O endereço IP do par local é 69.210.74.146/31
• O endereço IP do par remoto é 69.210.74.147/31
• Se estiver executando o NAT para o tráfego da rede local on-premises para o endereço IP do par local, anuncie 69.210.74.146/32 para a AWS.

Observação: Certifique-se de se conectar a partir de um prefixo anunciado on-premises à AWS por meio da VIF pública. Você não pode se conectar a partir de um prefixo que não seja anunciado a uma VIF pública.

3.    Execute um traceroute on-premises até a AWS para verificar se o tráfego está sendo encaminhado pela VIF pública do Direct Connect.

• Se o tráfego estiver sendo encaminhado pela VIF pública, o traceroute deverá ter os IPs locais (on-premises) e remotos (AWS) associados.
• Se você precisar verificar o caminho de rede usado na AWS, inicie uma instância pública do Amazon Elastic Compute Cloud (Amazon EC2). A instância deve ter a mesma região do seu serviço da AWS. Depois de iniciar a instância, execute um traceroute até o local. Se o traceroute indicar que o tráfego está sendo encaminhado pela Internet ou por meio de uma VIF diferente, pode haver uma rota específica sendo anunciada.

Observação: a AWS usa AS_PATH, e a correspondência de prefixo mais longa é usada para determinar o caminho de roteamento. O Direct Connect é o caminho preferido para o tráfego proveniente da Amazon.

4.    Verifique se sua conectividade com um serviço público da AWS (como o Amazon Simple Storage Service ou o Amazon S3) está funcionando para a região de destino correta. Em seguida, verifique se você está usando tags da comunidade do BGP nos prefixos públicos que você anuncia na Amazon.

Observação: as tags da comunidade do BGP determinam até que ponto seus prefixos devem ser propagados na rede Amazon.

Interfaces virtuais de trânsito

As interfaces virtuais de trânsito acessam um ou mais gateways de trânsito da Amazon VPC (TGW) associados aos gateways do Direct Connect. Para solucionar problemas de conectividade, conclua as seguintes etapas:

1.    Verifique se a tabela de rotas da sub-rede da Amazon VPC do recurso de destino tem uma rota para o CIDR on-premises em direção ao TGW. Certifique-se de que os grupos de segurança da instância ou do recurso e a ACL de rede da sub-rede permitam conectividade bidirecional. Para mais informações, consulte How network ACLs work with transit gateways (Como as ACLs de rede funcionam com gateways de trânsito).

2.    Verifique se o roteador on-premises associado à sua VIF de trânsito está recebendo as rotas corretas pelo BGP do par da AWS. As rotas são para o CIDR da Amazon VPC de destino. Se você não estiver recebendo as rotas necessárias, verifique a seção Allowed Prefixes (Prefixos permitidos). Verifique se os prefixos permitidos para a associação do gateway do Direct Connect com o TGW estão configurados com os prefixos necessários. Somente as rotas configuradas na seção Allowed Prefixes (Prefixos permitidos) são anunciadas pela AWS por meio de uma VIF de trânsito.

3.    Verifique se seu roteador on-premises associado à VIF de trânsito está anunciando os prefixos de rede on-premises necessários para a AWS.

• Se você estiver propagando rotas do gateway do Direct Connect para uma tabela de rotas do TGW, verifique se as rotas estão visíveis na tabela de rotas. Se as rotas não estiverem visíveis, verifique o caminho AS nas rotas anunciadas para garantir que ele não inclua o ASN do TGW.
• Se você estiver anunciando uma rota específica que contém o ASN do TGW no caminho AS, a rota não será instalada na tabela de rotas. Certifique-se de que o ASN usado pelo dispositivo de gateway do cliente (roteador on-premises) seja diferente do ASN do TGW.

4.    Verifique se a tabela do TGW associada ao gateway do Direct Connect e aos anexos da Amazon VPC de destino têm a rota correta para o destino.

• A tabela de rotas do TGW associada ao gateway do Direct Connect deve ter uma rota para o CIDR da Amazon VPC direcionada ao anexo da Amazon VPC.
• A tabela de rotas do TGW associada ao anexo da Amazon VPC deve ter uma rota para o CIDR on-premises direcionado ao anexo do gateway do Direct Connect.

5.    Execute um traceroute bidirecional da AWS para o local (em ambas as direções) para identificar o caminho do tráfego e o salto em que o tráfego cai.

• Se o tráfego cair depois de atingir o endereço IP do par da AWS, verifique o seguinte:
• Se o traceroute da AWS para o local cair no endereço IP do par on-premises, verifique a configuração do firewall on-premises. Verifique se a conectividade bidirecional seja permitida nas portas corretas entre a origem e o destino.

6.    Se o traceroute da AWS para o local não incluir o IP do par associado à sua VIF, verifique o gateway do Direct Connect. Verifique o gateway do Direct Connect para confirmar se você tem outros VIFs de trânsito no mesmo gateway do Direct Connect anunciando as mesmas rotas on-premises. Em caso afirmativo, use essa política de roteamento para a VIF de trânsito para identificar a VIF que deve ser usada para conectividade de saída.

7.    Verifique se o anexo da Amazon VPC do TGW tem uma sub-rede associada da mesma zona de disponibilidade do recurso de destino. Por exemplo, se sua instância estiver localizada em uma zona de disponibilidade específica, o anexo da Amazon VPC do TGW deverá ter uma sub-rede no mesmo local.

Observação: você pode usar os logs de fluxo da Amazon VPC para verificar se o tráfego on-premises chega a uma interface de rede elástica de instância específica. Isso ajuda a identificar se há algum tráfego bidirecional na interface de rede elástica.