Ir para o conteúdo
Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso
AWS re:Postre:Post
sobre o re:Post

Como soluciono problemas de conectividade de VPC para VPC por meio de um gateway de trânsito?

9 minuto de leitura
0

Quero solucionar problemas de conectividade entre duas instâncias do Amazon Virtual Private Cloud (Amazon VPC) conectadas ao mesmo AWS Transit Gateway.

Breve descrição

Para solucionar problemas de conectividade entre duas instâncias da Amazon VPC anexadas ao mesmo gateway de trânsito, verifique suas configurações de rede. Se você tiver definido as configurações corretamente, solucione seus problemas de conectividade.

Resolução

Verifique suas configurações de rede

Verifique as configurações do AWS Transit Gateway, das VPCs e da instância do Amazon Elastic Compute Cloud (Amazon EC2).

Verifique a configuração do seu grupo de segurança

Verifique se o grupo de segurança e as listas de controle de acesso à rede (ACLs da rede) associados à interface de rede elástica de origem ou sub-rede permitem o tráfego necessário.

Observação: os grupos de segurança devem permitir tráfego somente nas regras de saída. No entanto, as ACLs da rede precisam permitir tanto o tráfego de saída quanto o de entrada.

Confirme se o grupo de segurança e a ACL da rede da instância do Amazon EC2 permitem o tráfego

Conclua as etapas a seguir:

  1. Abra o console do Amazon EC2.
  2. No painel de navegação, clique em Instâncias.
  3. Selecione a instância em que você realiza o teste de conectividade.
  4. Clique na guia Segurança.
  5. Verifique se as regras de Entrada e Saída do grupo de segurança associado permitem o tráfego necessário.
  6. Abra o console da Amazon VPC.
  7. No painel de navegação, clique em ACLs da rede.
  8. Selecione a ACL da rede associada à mesma sub-rede da instância.
  9. Selecione as regras de Entrada e as regras de Saída para verificar se elas permitem o tráfego.

Verifique se a tabela de rotas da VPC da sub-rede de origem tem uma rota que aponta para o bloco CIDR de destino por meio do gateway de trânsito

Conclua as etapas a seguir:

  1. Abra o console da Amazon VPC.
  2. No painel de navegação, clique em Tabelas de rotas.
  3. Selecione a tabela de rotas pela instância de origem.
  4. Clique na guia Rotas.
  5. Verifique se há uma rota para o bloco CIDR da VPC remota em Destino. Em seguida, verifique se o Destino está definido como ID do Transit Gateway.

Confirme se você anexou as VPCs ao mesmo gateway de trânsito

Se sua conexão usar um gateway de trânsito, conclua as seguintes etapas:

  1. Abra o console da Amazon VPC.
  2. No painel de navegação, clique em Anexos do gateway de trânsito.
  3. Verifique se os anexos da VPC estão associados ao mesmo ID do Transit Gateway.

Observação: se você usa vários gateways de trânsito ou emparelhamento de gateway de trânsito, verifique se você anexou as VPCs de origem e destino aos seus gateways de trânsito correspondentes.

Confirme se a tabela de rotas do gateway de trânsito está associada a um anexo da VPC

Conclua as etapas a seguir:

  1. Abra o console da Amazon VPC.
  2. No painel de navegação, clique em Tabelas de rotas do gateway de trânsito.
  3. Selecione as tabelas de rotas associadas ao anexo da VPC do gateway de trânsito da VPC de origem.
  4. Clique na guia Rotas.
  5. Verifique se há uma rota para o intervalo de IP da VPC remota com o Destino como anexo da VPC do gateway de trânsito que corresponda ao valor da VPC remota.
  6. Selecione as tabelas de rotas associadas ao anexo da VPC do gateway de trânsito da VPC remota.
  7. Clique na guia Rotas.
  8. Verifique se há uma rota para o intervalo de IP da VPC de origem com o Destino como anexo da VPC. Verifique se a rota corresponde ao valor da VPC de origem.

Confirme se a ACL da rede associada às sub-redes da VPC do gateway de trânsito permite seu tráfego

Conclua as etapas a seguir:

  1. Abra o console do Amazon EC2.
  2. No painel de navegação, clique em Interfaces de rede.
  3. Na barra de pesquisa, insira Transit Gateway. Todas as interfaces de rede do gateway de trânsito são exibidas. Anote o ID da sub-rede associada ao local em que você criou as interfaces do gateway de trânsito.
  4. Abra o console da Amazon VPC.
  5. No painel de navegação, clique em ACLs da rede.
  6. Na barra de pesquisa, insira o ID da sub-rede que você anotou na etapa 3 para encontrar a ACL da rede associada à sub-rede.
  7. Confirme se as regras de Entrada e as regras de Saída da ACL da rede permitem o tráfego. Para obter detalhes sobre como configurar suas regras de ACL da rede, consulte Rede ACLs para gateways de trânsito no AWS Transit Gateway.

Verifique as Zonas de disponibilidade para ver o anexo da VPC do gateway de trânsito, as VPCs de origem e remotas

Ao anexar uma VPC a um gateway de trânsito, você deve especificar uma sub-rede de cada Zona de disponibilidade. As sub-redes que você especifica são os pontos de entrada e saída do tráfego do gateway de trânsito. Por exemplo, se sua origem estiver em us-east-1a, você deve configurar os anexos da VPC de origem e destino com pelo menos uma sub-rede em us-east-1a.

Para verificar suas Zonas de disponibilidade, conclua as seguintes etapas:

  1. Abra o console da Amazon VPC.
  2. No painel de navegação, clique em Anexos do gateway de trânsito.
  3. Selecione o anexo da VPC de origem.
  4. Em Detalhes, encontre os IDs de sub-rede. Verifique se você selecionou uma sub-rede da Zona de disponibilidade da instância de origem.
  5. Retorne aos Anexos do gateway de trânsito. Em seguida, selecione o anexo da VPC remota.
  6. Em Detalhes, encontre os IDs de sub-rede. Verifique se você selecionou uma sub-rede da Zona de disponibilidade da instância remota.
  7. Para adicionar uma Zona de disponibilidade a um anexo da VPC, clique em Ações. Em seguida, modifique o anexo do gateway de trânsito e selecione qualquer sub-rede da Zona de disponibilidade necessária.
    Observação: adicionar ou modificar uma sub-rede do anexo da VPC pode afetar o tráfego de dados quando o anexo está no estado Modificando.

Solucione problemas de conectividade

Se a configuração estiver configurada corretamente, use o Reachability Analyzer ou o Route Analyzer no Gerenciador de rede da AWS para solucionar seus problemas de conectividade. Também é possível monitorar os logs de fluxo da Amazon VPC e as métricas do Amazon CloudWatch para verificar se há perdas de pacotes.

Solucione problemas de conectividade com o Amazon VPC Reachability Analyzer

Use o Reachability Analyzer para analisar o caminho entre seu recurso e o destino. Para obter mais informações, consulte How Reachability Analyzer works (Como o Reachability Analyzer funciona).

Observação: para analisar caminhos em várias contas da AWS, ative o acesso confiável do Reachability Analyzer à sua organização a partir do AWS Organizations. O Reachability Analyzer oferece suporte à análise entre contas somente para contas dentro da sua organização.

Também é possível usar o Amazon Q para usar consultas de linguagem natural para solucionar problemas com o Reachability Analyzer. Para obter mais informações, consulte Introducing Amazon Q support for network troubleshooting (preview) (Apresentação do suporte do Amazon Q para solução de problemas de rede (versão prévia)).

Solucione problemas de conectividade com o Route Analyzer

Pré-requisito: crie uma rede global e registre seu gateway de trânsito. Para obter instruções, consulte Get started with AWS Global Networks for Transit Gateways (Primeiros passos no Gerenciador de Rede da AWS para gateways de trânsito).

Conclua as etapas a seguir:

  1. Abra o console da Amazon VPC.
  2. No painel de navegação, clique em Network Manager.
  3. Selecione a rede global na qual seu gateway de trânsito está registrado.
  4. No painel de navegação, clique em Rede do Transit Gateway. Em seguida, selecione Route Analyzer.
  5. Preencha as informações de Origem e Destino conforme necessário. Confirme se a Origem e o Destino têm o mesmo gateway de trânsito.
  6. Clique em Executar análise de rota. Em seguida, aguarde até que o Route Analyzer conclua a análise.

Verifique a análise de roteamento. Se o status da sua rede for Não conectada, o Route Analyzer exibe recomendações de roteamento. Conclua as recomendações e, em seguida, execute novamente o teste para confirmar a conectividade da sua rede. Para obter mais informações, consulte Diagnosing traffic disruption using AWS Transit Gateway Network Manager Route Analyzer (Diagnóstico da interrupção do tráfego usando o Route Analyzer do AWS Transit Gateway Network Manager).

Solucione seu problema com os logs de fluxo da Amazon VPC e as métricas do CloudWatch

Pré-requisito: crie logs de fluxo do AWS Transit Gateway para seus anexos do gateway de trânsito ou interfaces de rede. Para interfaces de rede, em Formato de registro de log, selecione Formato personalizado e inclua pkt-src-addr e pkt-dstaddr nos campos de registro de log de fluxo.

Para usar as métricas do seu gateway de trânsito para verificar se há perdas de pacotes, conclua as seguintes etapas:

  1. Faça login no Console de Gerenciamento da AWS e abra o console do Amazon CloudWatch
  2. Clique em Todas as métricas.
  3. Selecione VPC - Transit Gateway.
  4. Clique em Métrica por anexo.

Em seguida, analise os valores de Soma das seguintes métricas para anexos do gateway de trânsito.

  • A métrica PacketDropCountBlackhole mostra o número de bytes perdidos porque eles corresponderam a uma rota em buraco negro no anexo do gateway de trânsito.
  • A métrica PacketDropCountNoRoute mostra o número de bytes perdidos porque eles não corresponderam a uma rota no anexo do gateway de trânsito.
  • A métrica PacketDropCountTTLExpired mostra o número de pacotes perdidos porque o TTL expirou.

Informações relacionadas

Métricas e eventos no AWS Transit Gateway

Tópicos
Networking & Content Delivery
Tags
AWS Transit Gateway
Idioma
Português
AWS OFICIALAtualizada há 5 meses
Sem comentários

Conteúdo relevante