Passer au contenu
En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation
AWS re:Postre:Post
À propos de re:Post

Comment puis-je dépanner et résoudre les problèmes de connectivité inter-comptes via la passerelle de transit ?

Lecture de 8 minute(s)
0

Les ressources ne se connectent pas entre les clouds privés virtuels (VPC) qui se trouvent dans différents comptes AWS via la passerelle de transit.

Résolution

Remarque : Le compte qui possède la passerelle de transit est le compte propriétaire. Le compte qui reçoit l'accès à la passerelle de transit est le compte partagé.

Vérification des paramètres de partage des ressources de la passerelle de transit

Remarque : Si vous avez une organisation dans AWS Organizations, activez le partage des ressources. Lorsque vous activez le partage des ressources, AWS partage et accepte automatiquement les passerelles de transit entre les comptes membres.

Procédez comme suit :

  1. Connectez-vous à la console AWS Resource Access Manager (AWS RAM) avec le compte propriétaire.
  2. Dans le volet de navigation, choisissez Ressources partagées.
  3. Sélectionnez la passerelle de transit.
  4. Vérifiez si vous avez partagé la passerelle de transit avec le bon compte ou la bonne organisation.
  5. Vérifiez que Statut du partage est Associé et qu'il n'affiche pas En attente d'acceptation.

Vérification du statut des attachements de la passerelle de transit dans les comptes propriétaire et partagé

Procédez comme suit :

  1. Ouvrez la console Amazon Virtual Private Cloud (Amazon VPC).
  2. À la fois dans les comptes propriétaire et partagé, choisissez Attachements de la passerelle de transit dans le volet de navigation.
  3. Vérifiez que l'État de l'attachement est Disponible.
    Remarque : Chaque compte qui se connecte à la passerelle de transit nécessite un attachement dont l'état est Disponible.
  4. Confirmez que l'attachement utilise un sous-réseau depuis chaque zone de disponibilité pour le routage du trafic.

Si l'attachement indique En attente d'acceptation dans le compte partagé, procédez alors comme suit :

  1. Dans le compte partagé, choisissez Attachements de la passerelle de transit.
  2. Sélectionnez l'attachement en attente.
  3. Choisissez Actions, puis choisissez Accepter.

Vérification des paramètres de la table de routage et de la propagation de routage

Procédez comme suit :

  1. Connectez-vous à la console AWS Transit Gateway avec le compte propriétaire.
  2. Dans le volet de navigation, choisissez Tables de routage de la passerelle de transit.
  3. Vérifiez si chaque attachement s'associe à la bonne table de routage.
  4. Vérifiez que la table de routage contient des routages vers les blocs CIDR des autres VPC. Les routages peuvent être statiques ou propagés et ils doivent pointer vers le bon attachement de la passerelle de transit pour chaque VPC.
  5. (Facultatif) Si vous utilisez un VPC de sécurité pour inspecter le trafic, confirmez alors que les pare-feux et les dispositifs de sécurité autorisent le trafic.
  6. Confirmez que les plages source et de destination ne se chevauchent pas.
    Remarque : Une passerelle de transit ne peut pas router des plages d'adresses IP qui se chevauchent.

Une bonne pratique consiste à créer des tables de routage segmentées pour les environnements. Par exemple, si vous avez des environnements de développement et de production, les tables de routage segmentées isolent alors le trafic entre eux, car chaque environnement possède sa propre table de routage.

Vérification que les tables de routage VPC pointent vers la passerelle de transit

Procédez comme suit :

  1. Ouvrez la console Amazon VPC.
  2. Dans le volet de navigation, choisissez Tables de routage.
  3. Choisissez la table de routage qui est associée aux sous-réseaux de la ressource.
  4. Dans l'ongletRoutages, vérifiez que les routages vers le bloc CIDR des autres VPC pointent vers l'ID de passerelle de transit correct.

Remarque : Confirmez que les groupes de sécurité et les listes de contrôle d'accès au réseau (ACL réseau) autorisent le trafic entre les VPC.

Vérification des configurations des groupes de sécurité et des ACL réseau

Effectuez les actions suivantes :

  • Vérifiez si les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) autorisent le trafic entrant et sortant pour les blocs CIDR et les ports corrects.
  • Configurez les groupes de sécurité pour autoriser les protocoles requis entre les charges de travail. Par exemple, vérifiez le port TCP 443 et le port TCP 22.
  • Vérifiez si les ACL réseau autorisent le flux de trafic entre les VPC.
  • Vérifiez les règles des ACL réseau et assurez-vous qu'elles ne bloquent pas le trafic vers la passerelle de transit.

Remarque : Les ACL réseau sont sans état. Vous devez autoriser à la fois le trafic entrant et sortant dans les règles des ACL réseau.

Analyse des chemins avec l'analyseur d'accessibilité

Remarque : Pour utiliser l'analyseur d'accessibilité des VPC et analyser les chemins entre les comptes, activez l'accès de confiance dans AWS Organizations.

Procédez comme suit :

  1. Ouvrez la console AWS Network Manager.
  2. Dans le volet de navigation, choisissez Network Manager.
  3. Choisissez Analyseur d'accessibilité.
  4. Choisissez Créer et analyser un chemin.
  5. Saisissez les informations suivantes pour choisir la source du chemin et la destination du chemin :
    Pour Compte source, sélectionnez l'ID de compte du compte source.
    Pour Type de source, sélectionnez le type de ressource.
    Pour Source, sélectionnez la ressource spécifique.
    Pour Compte de destination, sélectionnez l'ID de compte du compte de destination.
    Pour Type de destination, sélectionnez le type de ressource.
    Pour Source, choisissez la ressource spécifique.
  6. Choisissez Analyser le chemin.
  7. Passez en revue les résultats.

Si le chemin est Accessible, la configuration du réseau est alors correcte. Si le chemin est Inaccessible, modifiez alors les routages et les règles de sécurité pour autoriser le trafic.

Vérification des flux de trafic avec les journaux de flux VPC

Avant de commencer, créez un journal de flux VPC. Une bonne pratique consiste à utiliser un format personnalisé qui inclut les champs pkt-srcaddr et pkt-dstaddr. Les champs pkt-srcaddr et pkt-dstaddr des journaux de flux VPC indiquent le trafic avec les adresses IP de l'hôte source et de destination d'origine. Les valeurs par défaut srcaddr et dstaddr indiquent les adresses IP de l'interface réseau intermédiaire.

Utilisez les Journaux de flux VPC pour identifier le trafic accepté et rejeté entre les VPC qui se connectent via la passerelle de transit.

Pour analyser les journaux de flux, procédez comme suit :

  1. Ouvrez la console Amazon CloudWatch.

  2. Dans le volet de navigation, choisissez Journaux, puis choisissez Log Insights.

  3. Dans la liste déroulante Étendue de la requête, sélectionnez le groupe de journaux pour le journal de flux VPC. Recherchez ensuite l'ID d'interface réseau élastique pour la ressource source et de destination.

  4. Exécutez l'exemple de requête suivant pour filtrer les journaux par adresses IP source et de destination afin d'identifier le trafic accepté et rejeté entre les VPC :

    parse @message " *************************" as version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus, vpcid, subnetid, instanceid, tcpflags, type, pktsrcaddr, pktdstaddr, pktsrcawsservice, pktdstawsservice, flowdirection, trafficpath|filter (pktsrcaddr='SOURCE-IP-ADDRESS’ and pktdstaddr=‘DESTINATION-IP-ADDRESS’)|limit 100

    Remarque : Remplacez les ************************ et les noms des champs pour qu'ils correspondent au format que vous avez sélectionné lorsque vous avez créé les journaux de flux VPC. Le nombre d'astérisques et de champs varie en fonction du format de journal choisi. Remplacez SOURCE-IP-ADDRESS par l'adresse IP source et DESTINATION-IP-ADDRESS par l'adresse IP de destination.

Test de la connectivité entre les instances Amazon EC2

Exécutez les commandes suivantes pour effectuer des tests de connectivité entre les instances EC2 qui se connectent via la passerelle de transit.

Remarque : Dans les commandes suivantes, remplacez **DESTINATION-PRIVATE-IP ** par l'adresse IP privée de la destination et PORT par le numéro de port que vous souhaitez tester.

Exécutez la commande ping ICMP suivante :

ping DESTINATION-PRIVATE-IP

Exécutez la commande telnet suivante pour tester les ports TCP :

telnet DESTINATION-PRIVATE-IP PORT

Exécutez la commande curl suivante pour effectuer un test HTTP :

curl -v http://DESTINATION_PRIVATE_IP:PORT

Si les tests échouent, effectuez alors les actions suivantes :

  • Vérifiez que les tables de routage des deux VPC contiennent des entrées qui pointent vers la passerelle de transit pour les plages de blocs CIDR de destination.
  • Vérifiez que la table de routage de la passerelle de transit contient des entrées pour les deux VPC et qu'elle s'associe aux attachements de la passerelle de transit corrects.
  • Vérifiez que les groupes de sécurité autorisent le trafic entrant et sortant entre les instances.
  • Vérifiez que les ACL réseau des sous-réseaux autorisent le trafic requis.
  • Si vous disposez d'une passerelle de transit partagée, vérifiez alors que vous l'avez correctement partagée avec le compte cible.

Informations connexes

Comment puis-je partager la passerelle de transit avec un autre compte ou au sein d'une organisation ?

Comment fonctionne l'analyseur d'accessibilité

Tableaux de routage de la passerelle de transit dans AWS Transit Gateway

Sujets
Networking & Content Delivery
Balises
AWS Transit Gateway
Langue
Français
AWS OFFICIELA mis à jour il y a 6 mois
Aucun commentaire

Contenus pertinents