Saltar al contenido
Al usar AWS re:Post, aceptas las AWS re:Post Términos de uso
AWS re:Postre:Post
Acerca de re:Post

¿Cómo enfoco y soluciono los problemas de conectividad entre cuentas a través de mi puerta de enlace de tránsito?

8 minutos de lectura
0

Mis recursos no se conectan entre nubes virtuales privadas (VPC) que se encuentran en diferentes cuentas de AWS a través de mi puerta de enlace de tránsito.

Resolución

Nota: La cuenta que posee la puerta de enlace de tránsito es la cuenta del propietario. La cuenta a la que se le concede acceso a la puerta de enlace de tránsito es la cuenta compartida.

Comprobación de la configuración de uso compartido de recursos de tu puerta de enlace de tránsito

Nota: Si tienes una organización en AWS Organizations, activa el uso compartido de recursos. Al activar el uso compartido de recursos, AWS comparte y acepta automáticamente las puertas de enlace de tránsito entre las cuentas de miembro.

Sigue estos pasos:

  1. Inicia sesión en la consola de AWS Resource Access Manager (AWS RAM) con la cuenta del propietario.
  2. En el panel de navegación, selecciona Recursos compartidos.
  3. Selecciona tu puerta de enlace de tránsito.
  4. Comprueba si has compartido la puerta de enlace de tránsito con la cuenta u organización correcta.
  5. Comprueba que Estado compartido sea Asociado y que no muestre ** Aceptación pendiente**.

Comprobación del estado de conexión de puerta de enlace de tránsito en las cuentas de propietario y compartidas

Sigue estos pasos:

  1. Abre la consola de Amazon Virtual Private Cloud (Amazon VPC).
  2. Tanto en la cuenta de propietario como en la compartida, selecciona Conexiones de puerta de enlace de tránsito en el panel de navegación.
  3. Verifica que elEstado de la conexión esté en Disponible.
    Nota: Cada cuenta que se conecta a la puerta de enlace de tránsito requiere una conexión con el estado Disponible.
  4. Confirma que la conexión utilice una subred de cada zona de disponibilidad para enrutar el tráfico.

Si la conexión aparece como Aceptación pendiente en la cuenta compartida, sigue estos pasos:

  1. Desde la cuenta compartida, selecciona Conexiones de puerta de enlace de tránsito.
  2. Selecciona la conexión pendiente.
  3. Selecciona Acciones y, a continuación, selecciona Aceptar.

Comprobación de la configuración de la tabla de enrutamiento y la propagación de rutas

Sigue estos pasos:

  1. Inicia sesión en la consola de AWS Transit Gateway con la cuenta del propietario.
  2. En el panel de navegación, selecciona Tablas de enrutamiento de Transit Gateway.
  3. Comprueba si cada conexión está asociada a la tabla de enrutamiento correcta.
  4. Verifica que la tabla de enrutamiento contenga rutas a los bloques de CIDR de otras VPC. Las rutas pueden ser estáticas o propagadas, y deben apuntar a la conexión de puerta de enlace de tránsito correcta para cada VPC.
  5. (Opcional) Si usas una VPC de seguridad para inspeccionar el tráfico, confirma que los firewalls y los dispositivos de seguridad permiten el tráfico.
  6. Confirma que los rangos de origen y destino no se solapen.
    Nota: Una puerta de enlace de tránsito no puede enrutar rangos de direcciones IP que se solapen.

Se recomienda crear tablas de enrutamiento segmentadas para sus entornos. Por ejemplo, si tienes entornos de desarrollo y producción, las tablas de enrutamiento segmentadas aíslan el tráfico entre ellos porque cada entorno tiene su propia tabla de enrutamiento.

Verificar que las tablas de enrutamiento de la VPC apunten a la puerta de enlace de tránsito

Sigue estos pasos:

  1. Abre la consola de Amazon VPC.
  2. En el panel de navegación, selecciona Tablas de enrutamiento.
  3. Selecciona la tabla de enrutamiento asociada a las subredes del recurso.
  4. En la pestañaRutas, verifica que las rutas al bloque de CIDR de otras VPC apunten al ID de puerta de enlace de tránsito correcto.

Nota: Confirma que los grupos de seguridad y las listas de control de acceso a la red (ACL de la red) permiten el tráfico entre las VPC.

Verificar las configuraciones de ACL de red y grupos de seguridad

Haz lo siguiente:

  • Comprueba si los grupos de seguridad de Amazon Elastic Compute Cloud (Amazon EC2) permiten el tráfico entrante y saliente para los bloques de CIDR y puertos correctos.
  • Configura los grupos de seguridad para permitir los protocolos necesarios entre las cargas de trabajo. Por ejemplo, comprueba el puerto TCP 443 y el puerto TCP 22.
  • Comprueba si las ACL de la red permiten el flujo de tráfico entre las VPC.
  • Verifica las reglas de ACL de la red y verifica que no bloqueen el tráfico hacia la puerta de enlace de tránsito.

Nota: Las ACL de red no tienen estado. Debes permitir el tráfico entrante y saliente en las reglas de ACL de la red.

Analizar rutas con el analizador de accesibilidad

Nota: Para usar el VPC Reachability Analyzer (analizador de accesibilidad de VPC) y analizar las rutas entre cuentas, activa el acceso de confianza en AWS Organizations.

Sigue estos pasos:

  1. Abre la consola de AWS Network Manager.
  2. En el panel de navegación, selecciona Network Manager.
  3. Selecciona Analizador de accesibilidad.
  4. Selecciona Crear y analizar una ruta.
  5. Introduce la siguiente información para elegir el origen y el destino de la ruta:
    En Cuenta de origen, selecciona el ID de cuenta de la cuenta de origen.
    En Tipo de origen, selecciona el tipo de recurso.
    En Origen, selecciona el recurso específico.
    Para Cuenta de destino, selecciona el ID de cuenta de la cuenta de destino.
    En Tipo de destino, selecciona el tipo de recurso.
    En Origen, selecciona el recurso específico.
  6. Selecciona Analizar ruta.
  7. Revisa los resultados.

Si la ruta es Accesible, la configuración de red es correcta. Si la ruta es No accesible, modifica las rutas y las reglas de seguridad para permitir el tráfico.

Comprobación de los flujos de tráfico con los registros de flujo de la VPC

Antes de empezar, crea un registro de flujo de la VPC. Se recomienda usar un formato personalizado que incluya los campos pkt-srcaddr y pkt-dstaddr. Los campos **pkt-srcaddr ** y pkt-dstaddr de los registros de flujo de la VPC muestran el tráfico con las direcciones IP del host de origen y destino. Los valores predeterminados srcaddr y dstaddr muestran las direcciones IP de la interfaz de red intermedia.

Usa los registros de flujo de la VPC para identificar el tráfico aceptado y rechazado entre las VPC que se conectan a través de tu puerta de enlace de tránsito.

Para analizar los registros de flujo, sigue estos pasos:

  1. Abre la consola de Amazon CloudWatch.

  2. En el panel de navegación, selecciona Registros y, a continuación, selecciona Log Insights.

  3. En la lista desplegableAlcance de la consulta, selecciona el grupo de registro de tu registro de flujo de la VPC. A continuación, busca el recurso de origen y destino en el ID de la interfaz de red elástica.

  4. Ejecuta el siguiente ejemplo de consulta para filtrar los registros por direcciones IP de origen y destino a fin de identificar el tráfico aceptado y rechazado entre las VPC:

    parse @message " *************************" as version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus, vpcid, subnetid, instanceid, tcpflags, type, pktsrcaddr, pktdstaddr, pktsrcawsservice, pktdstawsservice, flowdirection, trafficpath|filter (pktsrcaddr='SOURCE-IP-ADDRESS’ and pktdstaddr=‘DESTINATION-IP-ADDRESS’)|limit 100

    Nota: Sustituye ************************ para que coincidan con el formato que ha seleccionado al crear los registros de flujo de la VPC. La cantidad de asteriscos y campos varía según el formato de registro que hayas elegido. Sustituye SOURCE-IP-ADDRESS por tu dirección IP de origen y DESTINATION-IP-ADDRESS por tu dirección IP de destino.

Realización de pruebas de conectividad entre instancias de Amazon EC2

Ejecuta los siguientes comandos para realizar pruebas de conectividad entre las instancias EC2 que se conectan a través de la puerta de enlace de tránsito.

Nota: En los siguientes comandos, sustituye DESTINATION-PRIVATE-IP por la dirección IP privada de tu destino y PORT por el número de puerto que deseas probar.

Ejecuta el siguiente comando ICMP ping:

ping DESTINATION-PRIVATE-IP

Ejecuta el siguiente comando telnet para probar los puertos TCP:

telnet DESTINATION-PRIVATE-IP PORT

Ejecuta el siguiente comando curl para realizar una prueba de HTTP:

curl -v http://DESTINATION_PRIVATE_IP:PORT

Si las pruebas fallan, haz lo siguiente:

  • Verifica que las tablas de enrutamiento de ambas VPC contengan entradas que apunten a la puerta de enlace de tránsito para los rangos de bloques de CIDR de destino.
  • Verifica que la tabla de enrutamiento de la puerta de enlace de tránsito contenga entradas para ambas VPC y se asocie con las conexiones de la puerta de enlace de tránsito correctas.
  • Verifica que los grupos de seguridad permitan el tráfico entrante y saliente entre instancias.
  • Verifica que las ACL de red de las subredes permitan el tráfico requerido.
  • Si tienes una puerta de enlace de tránsito compartida, verifica que la has compartido correctamente con la cuenta de destino.

Información relacionada

¿Cómo comparto mi puerta de enlace de tránsito con otra cuenta o dentro de una organización?

How Reachability Analyzer works (Cómo funciona el analizador de accesibilidad)

Tablas de enrutamiento de Transit Gateway en AWS Transit Gateway

Temas
Networking & Content Delivery
Etiquetas
AWS Transit Gateway
Idioma
Español
OFICIAL DE AWSActualizada hace 6 meses
Sin comentarios

Contenido relevante