跳至內容
使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款
AWS re:Postre:Post
關於 re:Post

如何對透過 Transit Gateway 進行內部部署資源與 Amazon VPC 之間的連線問題進行疑難排解?

3 分的閱讀內容
0

我想要對透過 AWS Transit Gateway 搭配 AWS Direct Connect 或 AWS Site-to-Site Virtual Private Network (Amazon VPC) 的內部部署資源與 Amazon Virtual Private Cloud (Amazon VPC) 之間的連線問題進行疑難排解。

解決方法

若要對透過 Transit Gateway 的內部部署資源與 VPC 之間的連線進行疑難排解,請完成以下動作:

檢查執行個體安全群組與網路 ACL 規則

請完成以下步驟:

  1. 開啟 Amazon Elastic Compute Cloud (Amazon EC2) console (Amazon Elastic Compute Cloud (Amazon EC2) 主控台)。
  2. 在導覽窗格中,選擇 Instances (執行個體)。
  3. 選取 Amazon EC2 執行個體。
  4. 選擇 Security (安全性) 索引標籤。
  5. 檢查 Inbound rules (傳入規則) 和 Outbound rules (傳出規則) 是否允許流量往返您的內部部署網路。
  6. 開啟 Amazon VPC console (Amazon VPC 主控台)。
  7. 在導覽窗格中,選擇 Network ACLs (網路 ACL)。
  8. 選取您執行個體子網路的網路存取控制清單 (網路 ACL)。
  9. 選取 Inbound rules (傳入規則) 和 Outbound rules (傳出規則)。接著,檢查這些規則是否允許流量往返您的內部部署網路。

檢查傳輸閘道連接

請完成以下步驟:

  1. 在導覽窗格中,選擇 Transit Gateway Attachments (傳輸閘道連接)。
  2. 選取 VPC 連接。
  3. Details (詳細資訊) 下,檢查 VPC 連接是否包含您 Amazon EC2 執行個體可用區域中的子網路 ID
  4. 如果 VPC 連接未包含您執行個體可用區域中的子網路,請從您執行個體的可用區域選取子網路。如需指示,請參閱在 AWS Transit Gateway 中修改 VPC 連接
    **注意:**新增或修改 VPC 連接子網路時,修改狀態可能會影響資料流量。

檢查傳輸閘道介面的網路 ACL

請完成以下步驟:

  1. 開啟 Amazon EC2 主控台。
  2. 在導覽窗格中,選擇 Network Interfaces (網路介面)。
  3. 在搜尋列中輸入 Transit Gateway
  4. 記下 Transit Gateway 建立介面所在的子網路 ID
  5. 開啟 Amazon VPC 主控台。
  6. 在導覽窗格中,選擇 Network ACLs (網路 ACL)。
  7. 在搜尋列中,輸入您稍早記下的子網路 ID。結果會顯示該子網路的網路 ACL。
  8. 檢查 Inbound rules (傳入規則) 和 Outbound rules (傳出規則) 是否允許 VPC CIDR 區塊和內部部署網路 CIDR 區塊。
  9. 針對與 VPC 相關聯的每個傳輸閘道網路介面,重複執行步驟 6-8。

**注意:**來自 VPN 或 Direct Connect 連線的流量,可能會透過不同於您執行個體可用區域的可用區域或子網路進入 VPC。檢查所有具有網路介面的子網路網路 ACL。如需更多有關網路 ACL 規則套用方式的資訊,請參閱 AWS 傳輸閘道中傳輸閘道的網路 ACL

確認子網路由表組態

請完成以下步驟:

  1. 開啟 Amazon VPC 主控台。
  2. 在導覽窗格中,選擇 Route Tables (路由表)。
  3. 選取來源執行個體的路由表。
  4. 選擇 Routes (路由) 索引標籤。
  5. 檢查 Destination (目的地) 是否顯示內部部署網路
  6. 檢查 Target (目標) 是否顯示傳輸閘道ID。

檢查是否存在指向傳輸閘道的目的地 CIDR 區塊路由項目。如果您看不到路由項目,請在相對應的路由表中新增指向傳輸閘道的項目

檢查 VPC 連接的 Transit Gateway 路由表

請完成以下步驟:

  1. 在導覽窗格中,選擇 Transit Gateway Route Tables (Transit Gateway 路由表)。
  2. 選取與 VPC 連接相關聯的路由表。
  3. Routes (路由) 索引標籤上,檢查您的內部部署網路是否存在路由。另請檢查 Target (目標) 是否顯示 DXGW/VPN attachment (DXGW/VPN 連接)。
  4. 如果您使用具備靜態路由的 Site-to-Site VPN,請為您的內部部署網路建立靜態路由,並選擇 VPN attachment (VPN 連接) 作為目標。

檢查 Direct Connect 閘道或 VPN 連接的 Transit Gateway 路由表

請完成以下步驟:

  1. 在導覽窗格中,選擇 Transit Gateway Route Tables (Transit Gateway 路由表)。
  2. 選取與 AWS Direct Connect 閘道或 VPN 連接相關聯的路由表。
  3. Routes (路由) 索引標籤上,檢查您的 VPC CIDR 區塊是否存在路由。接著,檢查路由的目標是否為正確的傳輸閘道 VPC 連接。

檢查 Direct Connect 閘道中的允許前綴

請完成以下步驟:

  1. 開啟 Direct Connect console (Direct Connect 主控台)。
  2. 在導覽窗格中,選擇 Direct Connect gateways (Direct Connect 閘道)。
  3. 選取與傳輸閘道相關聯的 Direct Connect 閘道。
  4. Gateway association (閘道關聯) 下,確認 Allowed prefixes (允許前綴) 欄位是否包含您的 VPC CIDR 區塊。

檢查 Network Firewall 組態或第三方防火牆設備組態

確認您是否實作集中式檢查模型,以檢查南北向流量。如果您實作集中式檢查模型,請確認 AWS Network Firewall 是否具有允許所有必要流量的 Suricata 規則。如需更多有關 Suricata 的資訊,請參閱官方 Suricata 網站上的 Suricata。如需更多有關集中式檢查模型的資訊,請參閱 AWS Network Firewall 的部署模型VPC 到內部部署流量檢查

如果您使用第三方虛擬設備進行檢查,請確定防火牆規則允許所有必要流量。

檢查內部部署防火牆裝置的 VPC 流量規則

確認您的內部部署防火牆裝置允許兩個網路之間的所有必要流量。如需指示,請參閱防火牆廠商文件。

檢查內部部署伺服器的防火牆

如果內部部署伺服器使用作業系統 (OS) 防火牆,請確認其允許流量往返 VPC CIDR 區塊。

使用 Route Analyzer 分析路由

**先決條件:**使用 AWS Global Networks 建立全球網路

若要使用 Route Analyzer for AWS Network Manager 分析您的路由,請完成以下步驟

  1. 開啟 Amazon VPC 主控台。
  2. 在導覽窗格中,選擇 Network Manager
  3. 選擇您註冊傳輸閘道的全球網路。
  4. 在導覽窗格中,選擇 Transit Gateway Network (Transit Gateway 網路)。接著,選擇 Route Analyzer
  5. Source (來源) 和 Destination (目的地) 中,輸入傳輸閘道、傳輸閘道連接和 IP 位址。請確定在 Source (來源) 和 Destination (目的地) 欄位中使用相同的傳輸閘道。
  6. 選擇 Run route analysis (執行路由分析)。

注意:執行路由分析後,Route Analyzer 會顯示已連線未連線狀態。如果狀態為未連線,則套用 Route Analyzer 提供的路由建議,然後再次執行分析。

相關資訊

如何對透過傳輸閘道進行的 VPC-to-VPC 連線問題進行疑難排解?

使用 AWS Transit Gateway Network Manager Route Analyzer 診斷流量中斷

主題
Networking & Content Delivery
標籤
AWS Transit Gateway
語言
中文 (繁體)
AWS 官方已更新 6 個月前
沒有評論

相關內容