Warum kann ich eine Direct-Connect-Verbindung nicht verwenden, um über eine virtuelle Transitschnittstelle eine Verbindung zu VPC-Ressourcen herzustellen?

Lesedauer: 4 Minute
0

Ich kann meine AWS-Direct-Connect-Verbindung nicht verwenden, um über eine virtuelle Transitschnittstelle eine Verbindung zu Amazon Virtual Private Cloud (Amazon VPC)-Ressourcen herzustellen.

Lösung

Sicherstellen, dass die richtigen On-Premises-Netzwerkpräfixe angekündigt werden

Überprüfen Sie den On-Premises Border Gateway Protocol (BGP)-Router von Direct Connect. Der Router muss dem BGP-Peer von AWS Direct Connect auf der virtuellen Transitschnittstelle die richtigen On-Premises-Präfixe ankündigen.

Überprüfen Sie die angekündigten Routen auf Ihrem lokalen BGP-Router. Ihr lokaler BGP-Router muss die angekündigte Route in die lokale Routing Information Base (RIB) aufnehmen. Die Befehle zum Überprüfen dieser Routen variieren je nach Marke und Modell Ihres On-Premises-BGP-Geräts. Einzelheiten finden Sie in der Dokumentation zu Ihrem Gerät.

Hinweis: Sie können maximal 100 Routen pro BGP-Sitzung auf einer virtuellen Transitschnittstelle ankündigen. Dies ist ein festes Dienstkontingent, das Sie nicht ändern können. Wenn Sie dieses Dienstkontingent überschreiten, geht die BGP-Sitzung in einen Leerlaufzustand über.

Sicherstellen, dass die richtigen Amazon-VPC-Präfixe vom Direct-Connect-Gateway an das On-Premises-Netzwerk angekündigt werden

Wenn Sie Transit-Gateways Direct-Connect-Gateways zuordnen, verwenden Sie Präfixe, die Sie über das Direct-Connect-Gateway an das On-Premises-Netzwerk ankündigen können.

Hinweis: Wenn Sie eines der folgenden Präfixe angeben, kündigt AWS es wieder im On-Premises-Netzwerk an:

  • Ein Subnetzpräfix eines virtuellen privaten Computers (VPC), z. B. 10.1.0.0/24 in einer 10.1.0.0/16-VPC
  • Ein ganzes VPC-Präfix
  • Ein Supernet (zum Beispiel 10.0.0.0/8)

Überprüfen der Transit-Gateway-Einstellungen

Stellen Sie sicher, dass Sie Ihre Transit-Gateway-Einstellungen richtig konfiguriert haben:

  • Beachten Sie unbedingt die Regeln für Transit-Gateway-Verbände. Virtuelle Transitschnittstellen verwenden Direct-Connect-Gateway-Verknüpfungen mit Transit-Gateways, um die Kommunikation zu erleichtern. Diese Kommunikation erfolgt vom On-Premises-Netzwerk zu mehreren VPCs in allen AWS-Regionen und Konten über eine einzige virtuelle Transitschnittstelle.
  • Überprüfen Sie die Routing-Konfiguration Ihres Transit-Gateways. Sie können Routing-Tabellen konfigurieren, um Routen für alle angeschlossenen VPCs, virtuellen privaten Netzwerke (VPNs) oder Direct-Connect-Verbindungen zu verteilen. Sie können den Transit-Gateway-Routing-Tabellen auch statische Routen hinzufügen. Wenn ein Paket von einem Anhang stammt, wird es mithilfe der Routing-Tabelle, die der Ziel-IP-Adresse entspricht, an einen anderen Anhang weitergeleitet.
    Hinweis: Sie können jedem Anhang nur eine Routing-Tabelle zuordnen. Ein Anhang kann seine Routen jedoch an eine oder mehrere Routing-Tabellen weitergeben.
  • Wenn Sie eine VPC an Ihr Transit-Gateway angeschlossen haben, überprüfen Sie Ihre Availability Zones. Stellen Sie sicher, dass Sie die entsprechende Anzahl von Availability Zones für das Transit-Gateway auswählen, um den Datenverkehr an Ressourcen in VPC-Subnetzen weiterzuleiten. Das Transit-Gateway erstellt eine Netzwerkschnittstelle in diesem Subnetz unter Verwendung einer IP-Adresse aus dem Subnetz.
  • Vergewissern Sie sich für Ressourcen in verschiedenen Availability Zones, dass die elastische Netzwerkschnittstelle des Transit-Gateways in dieser Availability Zone vorhanden ist.
    Wichtig: Availability Zones ohne Transit-Gateway-Anhang können das Transit-Gateway nicht erreichen. Wenn Sie den Verkehr von einer Availability Zone, nicht aber von einer anderen weiterleiten können, überprüfen Sie die Transit-Gateway-Netzwerkschnittstelle. Die Transit-Gateway-Netzwerkschnittstelle muss sich in dieser Zone befinden. Für eine hohe Verfügbarkeit empfiehlt es sich, Transit-Gateway-Netzwerkschnittstellen in mehreren Availability Zones zu aktivieren.

Überprüfen der Amazon-VPC-Einstellungen

Stellen Sie auf Ihrer Amazon VPC sicher, dass Sie die folgenden Einstellungen konfiguriert haben:

  • Die Sicherheitsgruppen ermöglichen eingehenden und ausgehenden Datenverkehr zu und von den angekündigten On-Premises-Netzwerkpräfixen.
  • Sie haben die Netzwerk-Zugriffssteuerungsliste (Netzwerk-ACL) korrekt konfiguriert. Sie können eine Netzwerk-ACL erstellen und sie dann allen Subnetzen zuordnen, die dem Transit-Gateway zugeordnet sind. Halten Sie die Netzwerk-ACL sowohl in eingehender als auch in ausgehender Richtung offen.
  • Die Subnetz-Routing-Tabelle enthält einen Routeneintrag, wobei Ziel auf die Transit-Gateway-ID und Zieladresse auf das On-Premises-Netzwerkpräfix gesetzt ist.

Sicherstellen, dass Anfragen über die gewünschte Direct-Connect-Verbindung gesendet und empfangen werden

**Hinweis:**Verwenden Sie diese Schritte zur Problembehandlung, wenn Sie die folgenden Einstellungen haben:

  • Sie haben redundante physische Direct-Connect-Verbindungen vom On-Premises-Standort aus konfiguriert.
  • Sie haben eine virtuelle Transitschnittstelle pro physischer Direct-Connect-Verbindung konfiguriert.
  • Sie haben ähnliche On-Premises Präfixe über beide virtuellen Transitschnittstellen zu AWS angekündigt.

Um zu überprüfen, ob die Konfiguration Aktiv/Passiv oder Aktiv/Aktiv für Ihre redundanten Verbindungen wie erwartet funktioniert, gehen Sie wie folgt vor:

  • Führen Sie eine bidirektionale Traceroute aus. Überprüfen Sie die BGP-Peer-IP-Adressen von Direct Connect, um herauszufinden, welche virtuelle Transitschnittstelle zum Senden oder Empfangen von Datenverkehr verwendet wird.
  • Verwenden Sie BGP-Community-Tags für lokale Präferenzen, um einen Lastenausgleich und eine bevorzugte Route für eingehenden Datenverkehr in Ihr Netzwerk zu erreichen.
  • Um die Konfiguration Aktiv/Passiv in derselben Region zu verwenden, verwenden Sie die lokale Präferenz und das Präfix AS-path.
    Hinweis: Lokale Präferenzen beeinflussen den ausgehenden Datenverkehr von Ihrem lokalen Rechenzentrum über eine bestimmte Direct-Connect-Verbindung. Das Voranstellen von AS-path beeinflusst den eingehenden Datenverkehr von AWS zurück zum On-Premises-Rechenzentrum.

Verwandte Informationen

Erstellen einer virtuellen Transitschnittstelle zum Direct-Connect-Gateway

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 4 Monaten