Comment résoudre les problèmes de connexion entre Direct Connect et les ressources AWS ?

Lecture de 10 minute(s)
0

Je souhaite résoudre les problèmes de connexion entre AWS Direct Connect et les ressources AWS.

Brève description

Direct Connect utilise des interfaces virtuelles privées, publiques et de transit (VIF) en fonction de la ressource à laquelle vous accédez au sein d'AWS. La connexion aux ressources AWS depuis votre site à l'aide d'une VIF Direct Connect peut entraîner de nombreux problèmes, selon le type de VIF que vous utilisez.

Résolution

Si la VIF, à l’origine des problèmes, était en cours d'utilisation et a soudainement cessé de fonctionner, procédez comme suit :

Résoudre les problèmes de connexion en fonction de votre type de VIF

Pour résoudre vos problèmes de connexion, déterminez votre type de VIF et procédez comme suit :

Interface virtuelle privée

Les interfaces virtuelles privées sont utilisées pour accéder aux ressources d'un Amazon Virtual Private Cloud (Amazon VPC). Ils accèdent aux ressources en utilisant l'adresse IP privée attribuée à partir de la plage d'adresses CIDR Amazon VPC. Si des problèmes se produisent pendant votre connexion à une ressource au sein d'un Amazon VPC, procédez comme suit :

1.Vérifiez que le groupe de sécurité de l'instance de destination et la liste de contrôle d'accès (ACL) du sous-réseau disposent de règles entrantes et sortantes appropriées. La connexion bidirectionnelle entre AWS et sur site doit être autorisée en fonction de l'adresse IP source et de destination et du port utilisés.

2.Vérifiez la configuration du routage BGP sur le routeur sur site pour vous assurer que les itinéraires requis sont dirigés vers AWS. Si vous utilisez la propagation de routage sur la table de routage Amazon VPC, les routages doivent être visibles sur la table de routage Amazon VPC. De plus, la passerelle privée virtuelle appropriée doit être la cible.

3.Vérifiez que votre routeur sur site reçoit des routages pour le CIDR Amazon VPC via le BGP. Les routages doivent provenir de l'adresse IP homologue AWS associée à la VIF Direct Connect.

  • Si vous ne recevez pas de routages provenant de l'adresse IP homologue AWS, vérifiez si la passerelle privée virtuelle est associée au VPC Amazon approprié.
  • Si votre VIF privée prend fin sur la passerelle Direct Connect, assurez-vous que la passerelle privée virtuelle appropriée est associée à la passerelle Direct Connect. Assurez-vous que les préfixes autorisés sont configurés pour permettre au CIDR Amazon VPC d'être dirigé vers le routeur sur site.

4.Effectuez une détermination d'itinéraire depuis le routeur sur site vers l'instance Amazon VPC et inversez le sens comme suit :

Détermination d'itinéraire basée sur ICMP :

sudo traceroute -n -I <private-IP-of-EC2-instance/on-premises-host>

Remarque : Si votre routeur ou pare-feu sur site bloque les demandes de détermination d'itinéraire basées sur ICMP, exécutez une détermination d'itinéraire basée sur TCP sur le port TCP approprié.

détermination d'itinéraire basée sur TCP :

sudo traceroute -n -T -p 22 <private-IP-of-EC2-instance/on-premises-host>

**Remarque :**Dans la commande précédente, -n -T -p 22 effectue un traçage sur le port 22. Vous pouvez utiliser tout port sur lequel votre application écoute.

5.Vérifiez les résultats de votre détermination d'itinéraire pour confirmer la visibilité et le comportement du routeur sur site et des adresses IP homologues AWS associées à votre VIF.

  • Si la détermination d'itinéraire s'arrête sur l'adresse IP homologue du routeur sur site, le trafic chute une fois qu'il a atteint le routeur sur site. Vérifiez les paramètres du pare-feu réseau sur site pour vous assurer que la connexion bidirectionnelle est autorisée sur le port sélectionné.
  • Si la détermination d'itinéraire s'arrête à l'adresse IP homologue d'AWS, vérifiez l'ACL réseau et la configuration du groupe de sécurité à l'étape 1. Vous pouvez également utiliser les journaux de flux Amazon VPC pour vérifier si les paquets envoyés depuis le routeur sur site sont reçus sur une interface réseau élastique spécifique.
  • Si vous ne voyez pas l'adresse IP homologue AWS ou sur site associée à la VIF, cela signifie que le trafic est transféré via un chemin inapproprié. Vérifiez votre routeur sur site pour vérifier s'il possède un itinéraire plus spécifique ou préféré pour le même CIDR via un homologue différent.
  • Si la détermination d'itinéraire reliant AWS au routeur sur site ne contient pas l'adresse IP homologue AWS, vérifiez si une autre VIF se termine également. Vérifiez si une autre VIF se termine sur la même passerelle privée virtuelle ou sur la même passerelle Direct Connect qui annonce le même itinéraire sur site. Si tel est le cas, vérifiez s'il existe des connexions VPN de site à site proposant des itinéraires spécifiques pour le routeur sur site sur la table de routage Amazon VPC.

6.Comparez les déterminations d'itinéraires d'AWS au routeur sur site et du routeur sur site à AWS. Si les deux déterminations d'itinéraire ont des sauts différents, cela indique un routage asymétrique. Assurez-vous que la même interface virtuelle privée Direct Connect est préférée de manière bidirectionnelle grâce à l'utilisation de politiques de routage.

Interfaces virtuelles publiques

Les interfaces virtuelles publiques accèdent à tous les services publics d'AWS à l'aide d'adresses IP publiques. Pour résoudre les problèmes de connexion de votre interface virtuelle publique, procédez comme suit :

1.Vérifiez si le routeur sur site qui héberge votre interface virtuelle publique reçoit des itinéraires provenant de préfixes publics provenant de l'adresse IP homologue AWS. Si vous utilisez un filtre de préfixe entrant et une carte d'itinéraires pour filtrer les itinéraires, assurez-vous que le filtre de préfixe correspond aux préfixes requis.

2.Vérifiez que vous publiez l'adresse IP homologue publique auprès d'AWS via le BGP si vous effectuez une traduction d'adresses réseau (NAT) pour les réseaux sur site.

Exemple de scénario :

  • L'adresse IP homologue locale est 69.210.74.146/31
  • L'adresse IP homologue distante est 69.210.74.147/31
  • Si vous effectuez une NAT pour le trafic du réseau local sur site vers l'adresse IP homologue locale, annoncez 69.210.74.146/32 auprès d'AWS.

**Remarque :**Assurez-vous de vous connecter à AWS via la VIF publique à partir d'un préfixe annoncé sur site. Vous ne pouvez pas vous connecter à une VIF publique à partir d'un préfixe qui n'est pas annoncé.

3.Effectuez une détermination d'itinéraire depuis votre site vers AWS pour vérifier si le trafic est transféré via la VIF publique Direct Connect.

  • Si le trafic est transféré via la VIF publique, les adresses IP homologues locales (sur site) et distantes (AWS) doivent être associées à la détermination d'itinéraire.
  • Si vous devez vérifier le chemin réseau utilisé dans AWS, lancez une instance publique Amazon Elastic Compute Cloud (Amazon EC2). L'instance doit avoir la même région que votre service AWS. Après avoir lancé l'instance, effectuez une détermination d'itinéraire vers une instance sur site. Si la détermination d'itinéraire indique que le trafic est transféré via Internet ou via une autre VIF, il se peut qu'un itinéraire spécifique soit annoncé.

Remarque : AWS utilise AS_PATH et Longest Prefix Match est utilisé pour déterminer le chemin de routage. Direct Connect est le chemin préféré pour le trafic provenant d'Amazon.

4.Vérifiez que votre connexion à un service AWS public (tel qu'Amazon Simple Storage Service ou Amazon S3) fonctionne pour la bonne région de destination. Vérifiez ensuite si vous utilisez des balises de communauté BGP sur les préfixes publics que vous publiez sur Amazon.

Remarque : Les balises de communauté BGP déterminent jusqu'où vous souhaitez propager vos préfixes sur le réseau Amazon.

Interface virtuelle Transit

Les interfaces virtuelles Transit accèdent à une ou plusieurs passerelles de transit (TGW) Amazon VPC associées aux passerelles Direct Connect. Pour résoudre les problèmes de connexion, procédez comme suit :

1.Vérifiez que la table de routage du sous-réseau Amazon VPC de la ressource de destination contient un itinéraire pour le CIDR sur site vers la TGW. Assurez-vous que les groupes de sécurité de l'instance ou des ressources et l'ACL réseau du sous-réseau autorisent une connexion bidirectionnelle. Pour plus d'informations, consultez la section Fonctionnement des listes de contrôle d'accès réseau avec les passerelles de transit.

2.Vérifiez que le routeur sur site associé à votre VIF de transit reçoit les itinéraires corrects via le BGP de la part de l'homologue AWS. Les itinéraires concernent le CIDR Amazon VPC de destination. Si vous ne recevez pas les itinéraires requis, consultez la section Préfixes autorisés. Vérifiez que les préfixes autorisés pour l'association de la passerelle Direct Connect à TGW sont configurés avec les préfixes requis. Seuls les itinéraires configurés dans la section Préfixes autorisés sont annoncés par AWS via une VIF de transit.

3.Vérifiez si votre routeur sur site associé à la VIF de transit publie les préfixes de réseau locaux requis auprès d'AWS.

  • Si vous propagez des itinéraires depuis la passerelle Direct Connect vers une table de routage TGW, vérifiez si les itinéraires sont visibles sur la table de routage. Si les itinéraires ne sont pas visibles, vérifiez le chemin AS sur les itinéraires annoncés pour vous assurer qu'il n'inclut pas l'ASN TGW.
  • Si vous faites de la publicité pour un itinéraire spécifique qui contient l'ASN TGW sur le chemin AS, l'itinéraire ne sera pas installé sur la table de routage. Assurez-vous que l'ASN utilisé par le dispositif de passerelle client (routeur sur site) est différent de l'ASN TGW.

4.Vérifiez que la table TGW associée à la passerelle Direct Connect et aux attachements Amazon VPC de destination possède l’itinéraire approprié pour la destination.

  • La table de routage TGW associée à la passerelle Direct Connect doit comporter un itinéraire pour le CIDR Amazon VPC dirigé vers l'attachement Amazon VPC.
  • La table de routage TGW associée à la pièce jointe Amazon VPC doit comporter un itinéraire pour le CIDR sur site dirigé vers l'attachement de la passerelle Direct Connect.

5.Effectuez une détermination d'itinéraire bidirectionnelle entre AWS et sur site (dans les deux sens) pour déterminer le chemin du trafic et le saut vers lequel le trafic baisse.

  • Si le trafic diminue après avoir atteint l'adresse IP homologue AWS, vérifiez les points suivants :
  • Si la détermination d'itinéraire entre AWS et le site tombe sur l'adresse IP homologue sur site, vérifiez la configuration du pare-feu sur site. Assurez-vous que la connexion bidirectionnelle est autorisée sur les ports appropriés entre la source et la destination.

6.Si la détermination d'itinéraire entre AWS et le site n'inclut pas l'adresse IP homologue associée à votre VIF, vérifiez la passerelle Direct Connect. Vérifiez la passerelle Direct Connect pour savoir s'il existe d'autres VIF de transit sur la même passerelle Direct Connect proposant les mêmes itinéraires sur site. Si tel est le cas, utilisez cette politique de routage pour la VIF de transit afin de cerner le VIF qui doit être utilisé pour la connexion sortante.

7.Vérifiez que la pièce jointe TGW Amazon VPC possède un sous-réseau associé à la même zone de disponibilité que la ressource de destination. Par exemple, si votre instance se trouve dans une zone de disponibilité spécifique, la pièce jointe TGW Amazon VPC doit comporter un sous-réseau au même emplacement.

**Remarque :**Vous pouvez utiliser les journaux de flux Amazon VPC pour vérifier si le trafic sur site atteint une interface Elastic Network d'instance spécifique. Cela permet de savoir s'il existe un trafic bidirectionnel sur l'interface Elastic Network.

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 8 mois