Direkt zum Inhalt
Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post
Über re:Post

Wie behebe und löse ich kontoübergreifende Verbindungsprobleme über mein Transit-Gateway?

Lesedauer: 6 Minute
0

Meine Ressourcen stellen über mein Transit-Gateway keine Verbindung zwischen Virtual Private Clouds (VPCs) her, die sich in verschiedenen AWS-Konten befinden.

Lösung

**Hinweis:**Das Konto, dem das Transit-Gateway gehört, ist das Eigentümerkonto. Das Konto, das Zugriff auf das Transit-Gateway erhält, ist das gemeinsame Konto.

Überprüfen der Einstellungen für die gemeinsame Nutzung der Transit-Gateway-Ressourcen

**Hinweis:**Wenn du eine Organisation in AWS Organizations hast, aktiviere die gemeinsame Nutzung von Ressourcen. Wenn du die gemeinsame Nutzung von Ressourcen aktivierst, teilt und akzeptiert AWS automatisch Transit-Gateways zwischen Mitgliedskonten.

Führe die folgenden Schritte aus:

  1. Melde dich mit dem Eigentümerkonto bei der AWS Resource Access Manager-Konsole (AWS RAM) an.
  2. Wähle im Navigationsbereich Geteilte Ressourcen aus.
  3. Wähle dein Transit-Gateway aus.
  4. Prüfe, ob du das Transit-Gateway mit dem richtigen Konto oder der richtigen Organisation geteilt hast.
  5. Vergewissere dich, dass der ** Freigabestatus **„Verknüpft“ lautet und nicht „Annahme ausstehend“ angezeigt wird.

Überprüfen des Status des Transit-Gateway-Anhangs im Eigentümer- und gemeinsamen Konto

Führe die folgenden Schritte aus:

  1. Öffne die Amazon Virtual Private Cloud (Amazon VPC)-Konsole.
  2. Wähle sowohl für das Eigentümer- als auch für das gemeinsame Konto im Navigationsbereich die Option Transit-Gateway-Anhänge aus.
  3. Stelle sicher, dass der Anhangstatus Verfügbar ist.
    **Hinweis:**Für jedes Konto, das eine Verbindung zum Transit-Gateway herstellt, ist ein Anhang mit dem Status Verfügbar erforderlich.
  4. Vergewissere dich, dass der Anhang ein Subnetz aus jeder Availability Zone für das Traffic Routing verwendet.

Wenn im Anhang für das gemeinsame Konto Annahme ausstehend angezeigt wird, führe die folgenden Schritte aus:

  1. Wähle im gemeinsamen Konto die Option Transit-Gateway-Anhänge aus.
  2. Wähle den ausstehenden Anhang aus.
  3. Wähle Aktionen und dann Akzeptieren aus.

Überprüfen der Routing-Tabelleneinstellungen und der Routing-Verbreitung

Führe die folgenden Schritte aus:

  1. Melde dich mit dem Eigentümerkonto bei der AWS Transit Gateway-Konsole an.
  2. Wähle im Navigationsbereich Transit Gateway-Routing-Tabellen aus.
  3. Prüfe, ob jeder Anhang mit der richtigen Routing-Tabelle verknüpft ist.
  4. Stelle sicher, dass deine Routing-Tabelle Routen zu den CIDR-Blöcken anderer VPCs enthält. Die Routen können entweder statisch oder propagiert sein und müssen für jede VPC auf den richtigen Transit-Gateway-Anhang verweisen.
  5. (Optional) Wenn du eine Sicherheits-VPC zur Überprüfung des Datenverkehrs verwendest, stelle sicher, dass Firewalls und Sicherheits-Appliances den Datenverkehr zulassen.
  6. Vergewissere dich, dass sich Quell- und Zielbereiche nicht überschneiden.
    **Hinweis:**Ein Transit-Gateway kann sich überschneidende IP-Adressbereiche nicht weiterleiten.

Es hat sich bewährt, segmentierte Routing-Tabellen für deine Umgebungen zu erstellen. Wenn du beispielsweise über Entwickler- und Produktionsumgebungen verfügst, isolieren segmentierte Routing-Tabellen den Verkehr zwischen ihnen, da jede Umgebung ihre eigene Routing-Tabelle hat.

Sicherstellen, dass VPC-Routing-Tabellen auf das Transit-Gateway verweisen

Führe die folgenden Schritte aus:

  1. Öffne die Amazon VPC-Konsole.
  2. Wähle im Navigationsbereich Routing-Tabellen aus.
  3. Wähle die Routing-Tabelle aus, die den Subnetzen deiner Ressource zugeordnet ist.
  4. Stelle auf der Registerkarte Routen sicher, dass Routen zum CIDR-Block anderer VPCs auf die richtige Transit-Gateway-ID verweisen.

**Hinweis:**Stelle sicher, dass deine Sicherheitsgruppen und Netzwerk-Zugriffssteuerungslisten (Netzwerk-ACLs) den Verkehr zwischen deinen VPCs zulassen.

Überprüfen der Sicherheitsgruppen- und Netzwerk-ACL-Konfigurationen

Ergreife die folgenden Maßnahmen:

  • Prüfe, ob Amazon Elastic Compute Cloud (Amazon EC2)-Sicherheitsgruppen eingehenden und ausgehenden Datenverkehr für die richtigen CIDR-Blöcke und -Ports zulassen.
  • Konfiguriere deine Sicherheitsgruppen so, dass die erforderlichen Protokolle zwischen deinen Workloads zugelassen werden. Überprüfe beispielsweise TCP-Port 443 und TCP-Port 22.
  • Überprüfe, ob Netzwerk-ACLs den Datenverkehrsfluss zwischen VPCs zulassen.
  • Überprüfe deine Netzwerk-ACL-Regeln und stelle sicher, dass sie den Verkehr zum Transit-Gateway nicht blockieren.

**Hinweis:**Netzwerk-ACLs sind zustandslos. Du musst sowohl eingehenden als auch ausgehenden Verkehr in deinen Netzwerk-ACL-Regeln zulassen.

Analysieren von Pfaden mit Reachability Analyzer

**Hinweis:**Um VPC Reachability Analyzer zu verwenden und Pfade zwischen Konten zu analysieren, aktiviere den vertrauenswürdigen Zugriff in AWS Organizations.

Führe die folgenden Schritte aus:

  1. Öffne die AWS Network Manager-Konsole.
  2. Wähle im Navigationsbereich Netzwerk-Manager.
  3. Wähle Reachability Analyzer.
  4. Wähle Pfad erstellen und analysieren.
  5. Gib die folgenden Informationen ein, um die Pfadquelle und das Pfadziel auszuwählen:
    Wähle für Quellkonto die Konto-ID des Quellkontos aus.
    Wähle für Quelltyp den Ressourcentyp aus.
    Wähle unter Quelle die spezifische Ressource aus.
    Wähle für Zielkonto die Konto-ID des Zielkontos aus.
    Wähle für Zieltyp den Ressourcentyp aus.
    Wähle für Quelle die spezifische Ressource aus.
  6. Wähle Pfad analysieren.
  7. Überprüfe die Ergebnisse.

Wenn der Pfad Erreichbar ist, ist deine Netzwerkkonfiguration korrekt. Wenn der Pfad Nicht erreichbar ist, ändere deine Routen und Sicherheitsregeln, um den Datenverkehr zuzulassen.

Überprüfen des Datenverkehrsflusses mit VPC Flow Logs

Bevor du beginnst, erstelle ein VPC-Flow-Protokoll. Es hat sich bewährt, ein benutzerdefiniertes Format zu verwenden, das die Felder pkt-srcaddr und pkt-dstaddr enthält. Die Felder pkt-srcaddr und pkt-dstaddr in den VPC-Flow-Protokollen zeigen den Verkehr mit den ursprünglichen Quell- und Zielhost-IP-Adressen an. Die Standardwerte srcaddr und dstaddr geben die IP-Adressen der zwischengeschalteten Netzwerkschnittstellen an.

Verwende VPC Flow-Protokolle, um akzeptierten und abgelehnten Verkehr zwischen VPCs zu identifizieren, die über dein Transit-Gateway eine Verbindung herstellen.

Gehe wie folgt vor, um Flow-Protokolle zu analysieren:

  1. Öffne die Amazon CloudWatch-Konsole.

  2. Wähle im Navigationsbereich Protokolle und dann Einblicke protokollieren aus.

  3. Wähle aus der Dropdown-Liste Umfang der Abfrageb die Protokollgruppe für deine VPC-Flow-Protokolle aus. Suche dann in der Elastic Network-Schnittstellen-ID nach der Quell- und Zielressource.

  4. Führe die folgende Beispielabfrage aus, um Protokolle nach Quell- und Ziel-IP-Adressen zu filtern und akzeptierten und abgelehnten Datenverkehr zwischen VPCs zu identifizieren:

    parse @message " *************************" as version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus, vpcid, subnetid, instanceid, tcpflags, type, pktsrcaddr, pktdstaddr, pktsrcawsservice, pktdstawsservice, flowdirection, trafficpath|filter (pktsrcaddr='SOURCE-IP-ADDRESS’ and pktdstaddr=‘DESTINATION-IP-ADDRESS’)|limit 100

    **Hinweis:Ersetze\ *\ *\ *\ *\ *\ *\ *\ *\ *\ *\ *\ *\ *\ *\ *\ *\ *\ *\ *\ *\ *\ *\ *\ *\ *\ *\ *\ *** und die Feldnamen so, dass sie dem Format entsprechen, das du bei der Erstellung der VPC-Flow-Protokolle ausgewählt hast. Die Anzahl der Sternchen und Felder variiert je nach dem von dir ausgewählten Protokollformat. Ersetze SOURCE-IP-ADDRESS durch deine Quell-IP-Adresse und die DESTINATION-IP-ADDRESS durch deine Ziel-IP-Adresse.

Testen der Konnektivität zwischen Amazon EC2 Instances

Führe die folgenden Befehle aus, um Konnektivitätstests zwischen deinen EC2 Instances durchzuführen, die über das Transit-Gateway eine Verbindung herstellen.

**Hinweis:**Ersetze in den folgenden Befehlen DESTINATION-PRIVATE-IP durch die private IP-Adresse deines Ziels und PORT durch die Portnummer, die du testen möchtest.

Führe den folgenden ICMP-Ping-Befehl aus:

ping DESTINATION-PRIVATE-IP

Führe den folgenden Telnet-Befehl aus, um TCP-Ports zu testen:

telnet DESTINATION-PRIVATE-IP PORT

Führe den folgenden curl-Befehl aus, um einen HTTP-Test durchzuführen:

curl -v http://DESTINATION_PRIVATE_IP:PORT

Wenn die Tests fehlschlagen, ergreife die folgenden Maßnahmen:

  • Stelle sicher, dass die Routing-Tabellen in beiden VPCs Einträge enthalten, die auf das Transit-Gateway für CIDR-Blockbereiche verweisen.
  • Stelle sicher, dass die Transit-Gateway-Routing-Tabelle Einträge sowohl für VPCs als auch für Associates mit den richtigen Transit-Gateway-Anhängen enthält.
  • Stelle sicher, dass Sicherheitsgruppen eingehenden und ausgehenden Verkehr zwischen Instances zulassen.
  • Stellen sicher, dass Netzwerk-ACLs in deinen Subnetzen den erforderlichen Datenverkehr zulassen.
  • Wenn du ein gemeinsam genutztes Transit-Gateway hast, stelle sicher, dass du es korrekt mit dem Zielkonto geteilt hast.

Ähnliche Informationen

Wie teile ich mein Transit-Gateway mit einem anderen Konto oder innerhalb einer Organisation?

How Reachability Analyzer works (So funktioniert Reachability Analyzer)

Transit-Gateway-Routentabellen in AWS Transit Gateway

Themen
Networking & Content Delivery
Tags
AWS Transit Gateway
Sprache
Deutsch
AWS OFFICIALAktualisiert vor 5 Monaten

Relevanter Inhalt