跳至內容
使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款
AWS re:Postre:Post
關於 re:Post

如何對透過 Transit Gateway 進行內部部署資源與 VPC 之間的連線問題進行疑難排解?

3 分的閱讀內容
0

我有一個以 AWS Transit Gateway 為終點的 AWS Direct Connect 或 AWS Site-to-Site VPN 連線。我的虛擬私有雲端 (VPC) 連線到同一個傳輸閘道,但我無法在內部部署資源和 VPC 之間建立連線。

解決方法

**先決條件:**使用 AWS Global Networks 建立全球網路。這是使用 Route Analyzer 分析傳輸閘道路由表中的路由所必需的。

確認子網路由表組態

請完成下列步驟:

  1. 開啟 Amazon Virtual Private Cloud (Amazon VPC) console (Amazon Virtual Private Cloud (Amazon VPC) 主控台)。
  2. 在導覽窗格中,選擇 Route Tables (路由表)。
  3. 選取來源 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的路由表。
  4. 選擇 Routes (路由) 索引標籤。
  5. 檢查 Destination (目的地) 是否顯示內部部署網路
  6. 檢查 Target (目標) 是否顯示傳輸閘道 ID。

檢查傳輸閘道連接

請完成下列步驟:

  1. 在導覽窗格中,選擇 Transit Gateway Attachments (傳輸閘道連接)。
  2. 選取 VPC 連接。
  3. Details (詳細資料) 下,檢查 VPC 連接是否包含來自 Amazon EC2 執行個體可用區域的子網路 ID

如果 VPC 連接不包含來自您的 EC2 執行個體可用區域的子網路,請從您的 EC2 執行個體可用區域中選取子網路。如需說明,請參閱使用 Amazon VPC Transit Gateway 修改 VPC 連接

**注意:**新增或修改 VPC 連接子網路時,修改狀態可能會影響資料流量。

檢查 VPC 連接的路由表

請完成下列步驟:

  1. 在導覽窗格中,選擇 Transit Gateway Route Tables (傳輸閘道路由表)。
  2. 選取與 VPC 連接關聯的路由表。
  3. Routes (路由) 索引標籤上,檢查您的內部部署網路是否有路由。另請檢查 Target (目標) 是否顯示 DXGW/VPN 連接
  4. 如果您使用具有靜態路由的 Site-to-Site VPN,請為您的內部部署網路建立靜態路由,並選擇 VPN attachment (VPN 連接) 作為目標。

檢查 Direct Connect 閘道或 VPN 連接的路由表

請完成下列步驟:

  1. 在導覽窗格中,選擇 Transit Gateway Route Tables (傳輸閘道路由表)。
  2. 選取與 AWS Direct Connect 閘道或 VPN 連接相關聯的路由表。
  3. Routes (路由) 索引標籤上,檢查您的 VPC CIDR 區塊是否有路由。然後,檢查路由的目標是否為正確的傳輸閘道 VPC 連接。

檢查 Direct Connect 閘道是否允許首碼

請完成下列步驟:

  1. 開啟 Direct Connect console (Direct Connect 主控台)。
  2. 在導覽窗格中,選擇 Direct Connect gateways (Direct Connect 閘道)。
  3. 選取與傳輸閘道相關聯的 Direct Connect 閘道。
  4. Gateway association (閘道關聯) 下,確認 Allowed prefixes (允許首碼) 欄位是否包含您的 VPC CIDR 區塊。

檢查執行個體安全群組和網路存取控制清單規則

請完成下列步驟:

  1. 開啟 Amazon EC2 console (Amazon EC2 主控台)。
  2. 在導覽窗格中,選擇 Instances (執行個體)。
  3. 選取 EC2 執行個體。
  4. 選擇 Security (安全) 索引標籤。
  5. 檢查傳入規則傳出規則是否允許流量進出您的內部部署網路。
  6. 開啟 Amazon VPC console (Amazon VPC 主控台)。
  7. 在導覽窗格中,選擇 Network ACLs (網路 ACL)。
  8. 為您的 EC2 執行個體的子網路選取網路 ACL。
  9. 選取 Inbound rules (傳入規則) 和 Outbound rules (傳出規則)。然後,檢查這些規則是否允許流量進出您的內部部署網路。

檢查傳輸閘道介面的網路存取控制清單

請完成下列步驟:

  1. 開啟 Amazon EC2 console (Amazon EC2 主控台)。
  2. 在導覽窗格中,選擇 Network Interfaces (網路介面)。
  3. 在搜尋欄中輸入 Transit Gateway
  4. 請記下 Transit Gateway 建立介面的子網路 ID
  5. 開啟 Amazon VPC console (Amazon VPC 主控台)。
  6. 在導覽窗格中,選擇 Network ACLs (網路 ACL)。
  7. 在搜尋欄中,輸入您先前記下的子網路 ID。結果會顯示子網路的網路存取控制清單 (網路 ACL)。
  8. 檢查傳入規則傳出規則是否允許 VPC CIDR 區塊和內部部署網路 CIDR 區塊。
  9. 對與 VPC 關聯的每個傳輸閘道網路介面重複執行步驟 6-8。

**注意:**來自 VPN 或 Direct Connect 連線的流量,可能會透過與您執行個體所在可用區域不同的可用區域或子網路進入 VPC。檢查所有具有網路介面子網路的網路 ACL。

檢查內部部署防火牆裝置的 VPC 流量規則

確認您的內部部署防火牆裝置是否允許傳入和傳出流量到 VPC CIDR 區塊。如需說明,請參閱防火牆供應商文件。

使用 Route Analyzer 分析路由

請完成下列步驟:

  1. 開啟 Amazon VPC console (Amazon VPC 主控台)。
  2. 在導覽窗格中,選擇 Network Manager
  3. 選擇您傳輸閘道註冊的全球網路。
  4. 在導覽窗格中,選擇 Transit Gateway Network (傳輸閘道網路)。然後,選擇 Route Analyzer
  5. Source (來源) 和 Destination (目的地) 中,輸入傳輸閘道、傳輸閘道連接和 IP 位址。請確定在 Source (來源) 和 Destination (目的地) 欄位中使用相同的傳輸閘道。
  6. 選擇 Run route analysis (執行路由分析)。

注意:執行路由分析後,Route Analyzer 會顯示已連線未連線狀態。如果狀態為未連線,則套用 Route Analyzer 提供的路由建議,然後再次執行分析。

相關資訊

如何對透過傳輸閘道進行的 VPC-to-VPC 連線問題進行疑難排解?

使用 AWS Transit Gateway Network Manager Route Analyzer 診斷流量中斷

主題
Networking & Content Delivery
標籤
AWS Transit Gateway
語言
中文 (繁體)
AWS 官方已更新 6 個月前
沒有評論

相關內容