如何通过 Transit Gateway 对本地资源与 VPC 之间的连接问题进行故障排除？

解决方案

**先决条件：**使用 AWS Global Networks 创建全球网络。这是使用路由分析器分析中转网关路由表中的路由必需执行的操作。

验证子网路由表配置

完成以下步骤：

1. 打开 Amazon Virtual Private Cloud (Amazon VPC) 控制台。
2. 在导航窗格中，选择 Route Tables（路由表）。
3. 选择您的源 Amazon Elastic Compute Cloud (Amazon EC2) 实例的路由表。
4. 选择 Routes（路由）选项卡。
5. 检查 Destination（目的地）是否显示本地网络。
6. 检查 Target（目标）是否显示中转网关 ID。

检查中转网关连接

完成以下步骤：

1. 在导航窗格中，选择 Transit Gateway Attachments（中转网关连接）。
2. 选择 VPC 连接。
3. 在 Details（详细信息）下，检查 VPC 连接是否包含您的 Amazon EC2 实例可用区的子网 ID。

如果 VPC 连接不包含 EC2 实例可用区的子网，请从 EC2 实例的可用区中选择一个子网。有关说明，请参阅[使用 Amazon VPC Transit Gateway 修改 VPC 连接](https://docs.aws.amazon.com/vpc/latest/tgw/modify-vpc-attachment.html)。

**注意：**添加或修改 VPC 连接子网时，修改状态可能会影响数据流量。

检查 VPC 连接的路由表

完成以下步骤：

1. 在导航窗格中，选择 Transit Gateway Route Tables（中转网关路由表）。
2. 选择与 VPC 连接关联的路由表。
3. 在 Routes（路由）选项卡中，检查是否存在本地网络的路由。此外，检查 Target（目标）是否显示 DXGW/VPN attachment（DXGW/VPN 连接）。
4. 如果您使用包含静态路由的 Site-to-Site VPN，请为本地网络创建静态路由，并选择 VPN attachment（VPN 连接）作为目标。

检查 Direct Connect 网关或 VPN 连接的路由表

完成以下步骤：

1. 在导航窗格中，选择 Transit Gateway Route Tables（中转网关路由表）。
2. 选择与 AWS Direct Connect 网关或 VPN 连接关联的路由表。
3. 在 Routes（路由）选项卡上，检查是否存在您的 VPC CIDR 块的路由。然后，检查该路由的目标是否是正确的中转网关 VPC 连接。

检查 Direct Connect 网关的允许的前缀

完成以下步骤：

1. 打开 Direct Connect 控制台。
2. 在导航窗格中，选择 Direct Connect gateways（Direct Connect 网关）。
3. 选择与中转网关关联的 Direct Connect 网关。
4. 在 Gateway association（网关关联）下，验证 Allowed prefixes（允许的前缀）字段是否包含您的 VPC CIDR 块。

检查实例安全组和网络访问控制列表规则

完成以下步骤：

1. 打开 Amazon EC2 控制台。
2. 在导航窗格中，选择 Instances（实例）。
3. 选择 EC2 实例。
4. 选择 Security（安全）选项卡。
5. 检查 Inbound rules（入站规则）和 Outbound rules（出站规则）是否允许流量进出您的本地网络。
6. 打开 Amazon VPC 控制台。
7. 在导航窗格中，选择 Network ACLs（网络 ACL）。
8. 选择您的 EC2 实例所在子网的网络 ACL。
9. 选择 Inbound rules（入站规则）和 Outbound rules（出站规则）。然后，检查这些规则是否允许流量进出您的本地网络。

检查中转网关接口的网络访问控制列表

完成以下步骤：

1. 打开 Amazon EC2 控制台。
2. 在导航窗格中，选择 Network Interfaces（网络接口）。
3. 在搜索栏中，输入 Transit Gateway。
4. 记下 Transit Gateway 创建接口时使用的 subnet IDs（子网 ID）。
5. 打开 Amazon VPC 控制台。
6. 在导航窗格中，选择 Network ACLs（网络 ACL）。
7. 在搜索栏中，输入您之前记下的子网 ID。结果将显示该子网的网络访问控制列表（网络 ACL）。
8. 检查 Inbound rules（入站规则）和 Outbound rules（出站规则）是否允许 VPC CIDR 块和本地网络 CIDR 块。
9. 对与 VPC 关联的每个中转网关网络接口重复步骤 6-8。

**注意：**来自 VPN 或 Direct Connect 的流量可能会通过与您实例所在可用区不同的可用区或子网进入 VPC。检查具有网络接口的所有子网的网络 ACL。

检查本地防火墙设备的 VPC 流量规则

验证您的本地防火墙设备是否允许入站和出站流量流向 VPC CIDR 块。有关说明，请参考您的防火墙供应商文档。

使用路由分析器分析路由

完成以下步骤：

1. 打开 Amazon VPC 控制台。
2. 在导航窗格中，选择 Network Manager。
3. 选择注册中转网关时使用的全球网络。
4. 在导航窗格中，选择 Transit Gateway Network（中转网关网络）。然后，选择 Route Analyzer（路由分析器）。
5. 对于 Source（源）和 Destination（目标），输入中转网关、中转网关连接和 IP 地址。确保在 Source（源）和 Destination（目标）字段中使用相同的中转网关。
6. 选择 Run route analysis（运行路由分析）。

**注意：**运行路由分析后，路由分析器会显示 Connected（已连接）或 Not Connected（未连接）状态。如果状态为 Not Connected（未连接），请应用路由分析器提供的路由建议，然后再次运行分析。

相关信息

如何通过中转网关对 VPC 到 VPC 连接进行故障排除？

Diagnosing traffic disruption using AWS Transit Gateway Network Manager Route Analyzer（使用 AWS Transit Gateway Network Manager 路由分析器诊断流量中断）