Comment puis-je résoudre les problèmes liés aux tables de routage Amazon VPC ?

Lecture de 9 minute(s)
0

Je souhaite résoudre les problèmes que je rencontre avec mes tables de routage Amazon Virtual Private Cloud (Amazon VPC).

Brève description

Chaque sous-réseau d'un Amazon VPC est associé à une table de routage qui contrôle le routage du sous-réseau. Les options de routage pour votre Amazon VPC dépendent du type de passerelle ou de connexion que vous utilisez. Un sous-réseau public dispose d'une route directe vers une passerelle Internet. Les ressources d'un sous-réseau public accèdent à l'Internet public. Un sous-réseau privé ne possède pas de route directe vers une passerelle Internet. Les ressources d'un sous-réseau privé nécessitent un périphérique NAT pour accéder à l'Internet public.

Résolvez les problèmes liés à votre sous-réseau et à vos tables de routage en fonction des types de passerelles ou de connexions de votre sous-réseau :

  • Sous-réseaux publics qui utilisent une passerelle Internet comme cible pour la route par défaut (0.0.0.0/0 pour IPv4 et ::/0 pour IPv6)
  • Sous-réseaux privés qui utilisent des instances ou des passerelles NAT
  • Sous-réseaux privés qui utilisent des connexions d'appairage de VPC
  • Sous-réseaux privés qui utilisent le réseau privé virtuel AWS (VPN AWS)
  • Sous-réseaux privés qui utilisent AWS Direct Connect
  • Sous-réseaux privés qui utilisent les points de terminaison de la passerelle Amazon VPC
  • Sous-réseaux privés qui utilisent les points de terminaison de l'interface virtuelle Amazon VPC
  • Sous-réseaux privés qui utilisent AWS Transit Gateway

Utilisez également la carte des ressources pour comprendre vos ressources Amazon VPC et la manière dont le trafic circule depuis vos sous-réseaux vers les passerelles et les connexions. Les ressources suivantes sont visibles dans la carte des ressources :

  • VPC
  • Sous-réseaux
  • Tables de routage
  • Passerelles Internet
  • Passerelles Internet de sortie uniquement
  • Passerelles NAT
  • Points de terminaison de passerelle

Résolution

Sous-réseaux publics

Sous-réseaux publics utilisant une passerelle Internet comme cible pour la route par défaut

  1. Ouvrez la console Amazon VPC.
  2. Dans le volet de navigation, sous l'onglet Sous-réseaux, choisissez votre sous-réseau public.
  3. Choisissez la vue Table de routage.
  4. Vérifiez que la destination de la table de routage possède une route par défaut (0.0.0.0/0 pour IPv4 et ::/0 pour IPv6) qui pointe vers une passerelle Internet.

Pour en savoir plus, consultez la page Comment résoudre les problèmes de connectivité entre Internet et les instances Amazon EC2 au sein de mon VPC ?

Sous-réseaux privés

Sous-réseaux privés utilisant des instances ou des passerelles NAT

  1. Ouvrez la console Amazon VPC.
  2. Dans le volet de navigation, sous l'onglet Sous-réseaux, sélectionnez votre sous-réseau privé.
  3. Choisissez la vue Table de routage. Vérifiez que la table de routage possède une route par défaut (0.0.0.0/0) qui pointe vers une passerelle ou une instance NAT.
  4. Vérifiez que le périphérique NAT est créé dans un sous-réseau public. Effectuez ensuite les vérifications requises pour les sous-réseaux publics, présentées dans la section Sous-réseaux publics ci-dessus.
    Remarque : si vous utilisez une instance NAT, veillez à désactiver la vérification de la source/destination.
  5. Pour configurer votre Amazon VPC avec IPv6 afin que le trafic Internet ne soit pas acheminé vers vos instances via un sous-réseau privé, vous devez utiliser des passerelles Internet de sortie uniquement. Pour en savoir plus, consultez la page Activer le trafic IPv6 sortant à l'aide d'une passerelle Internet de sortie uniquement.

Sous-réseaux privés utilisant des connexions d'appairage de VPC

  1. Ouvrez la console Amazon VPC.
  2. Dans le volet de navigation, choisissez Connexions d'appairage, puis sélectionnez votre connexion d'appairage.
  3. Vérifiez que le statut est Actif.
  4. Dans le volet de navigation, choisissez Sous-réseaux, puis sélectionnez les sous-réseaux de l'Amazon VPC.
  5. Choisissez la vue Tables de routage, puis vérifiez que les tables de routage comportent l'une des routes suivantes :
    Vers le CIDR avec des sous-réseaux Amazon VPC appairés spécifiques.
    Vers l'intégralité du CIDR de l'Amazon VPC appairé. Cela inclut la connexion d'appairage que vous avez choisie à l'étape 2.
  6. Vérifiez que les tables de routage incluent tous les sous-réseaux de l'Amazon VPC appairé.
  7. Effectuez les mêmes vérifications sur l'Amazon VPC appairé.

Remarque : assurez-vous que les configurations de connexion d'appairage de VPC sont valides.

Pour en savoir plus, consultez la page Comment résoudre les problèmes liés à l'établissement de la communication via l'appairage de VPC ?

Sous-réseaux privés utilisant un VPN AWS

  1. Ouvrez la console Amazon VPC.
  2. Dans le volet de navigation, choisissez Connexions VPN, puis sélectionnez la connexion VPN.
  3. Vérifiez que le VPN présente le statut Disponible et que le statut d'au moins l'un des tunnels est Actif.
    Remarque : si vous utilisez un VPN dynamique, assurez-vous que le VPN AWS reçoit les routes BGP. Activez la propagation des routes pour vérifier que les routes BGP sont propagées vers la passerelle privée virtuelle.
  4. Notez la passerelle privée virtuelle associée à cette connexion VPN.
  5. Dans le volet de navigation, choisissez Sous-réseaux, puis sélectionnez le sous-réseau de l'Amazon VPC.
  6. Choisissez la vue Table de routage et vérifiez ce qui suit :
    Votre réseau est la destination de la route.
    La passerelle privée virtuelle de l'étape 4 est la cible.

Pour en savoir plus, consultez la page Comment résoudre les problèmes de connexion entre un point de terminaison VPN AWS et un VPN basé sur une politique ?

Sous-réseaux privés utilisant AWS Direct Connect

  1. Ouvrez la console AWS Direct Connect.
  2. Dans le volet de navigation, choisissez Interfaces virtuelles, puis sélectionnez l'interface virtuelle privée.
  3. Vérifiez que le statut BGP est UP.
  4. Notez la passerelle privée virtuelle associée à l'interface virtuelle privée.
  5. Ouvrez la console Amazon VPC.
  6. Dans le volet de navigation, sous Sous-réseaux, sélectionnez les sous-réseaux de l'Amazon VPC.
  7. Choisissez la vue Table de routage et vérifiez ce qui suit :
    Votre réseau est la destination de la route.
    La passerelle privée virtuelle de l'étape 4 est la cible.

Remarque : si vous utilisez le protocole BGP, assurez-vous qu'AWS reçoit les routes. Activez la propagation des routes pour vérifier que les routes BGP sont propagées vers la passerelle privée virtuelle.

Pour en savoir plus, consultez la page Résolution des problèmes liés à AWS Direct Connect.

Sous-réseaux privés utilisant les points de terminaison de la passerelle Amazon VPC

  1. Ouvrez la console Amazon VPC.
  2. Dans le volet de navigation, choisissez Points de terminaison, puis sélectionnez le point de terminaison.
  3. Vérifiez qu'il présente le statut Disponible, puis notez l'ID du point de terminaison.
  4. Dans le volet de navigation, sous Sous-réseaux, sélectionnez le sous-réseau de l'Amazon VPC.
  5. Choisissez la vue Table de routage et vérifiez ce qui suit :
    La politique relative aux points de terminaison Amazon VPC autorise la communication avec un service AWS pour les ressources de sous-réseau de votre Amazon VPC. Pour en savoir plus, consultez la page Nouveau - Point de terminaison d'un VPC pour Amazon S3
    Une route est ajoutée à la table de routage dont la destination spécifie l'ID de liste de préfixes AWS du service.
    L'ID du point de terminaison indiqué à l'étape 3 est la cible.

Remarque : si la table de routage du sous-réseau n'affiche aucune entrée dans une liste de préfixes de service AWS et ne présente pas l'ID du point de terminaison cible, ajoutez la table de routage. Pour ajouter la table de routage manuellement, accédez à Points de terminaison, choisissez le point de terminaison, choisissez Tables de routage, puis sélectionnez Gérer les tables de routage. Sélectionnez ensuite la table de routage manquante de l'Amazon VPC.

Pour en savoir plus, consultez la page Pourquoi ne puis-je pas me connecter à un compartiment S3 à l'aide du point de terminaison d'un VPC de passerelle ?

Sous-réseaux privés utilisant les points de terminaison de l'interface virtuelle Amazon VPC

  1. Ouvrez la console Amazon VPC.
  2. Dans le volet de navigation, choisissez Points de terminaison, puis sélectionnez le point de terminaison.
  3. Choisissez la colonne Sous-réseaux, puis vérifiez qu'une interface réseau de point de terminaison est créée dans le sous-réseau associé au service que vous souhaitez connecter.
  4. Dans le volet de navigation, sous Points de terminaison, choisissez la vue Politique.
  5. Vérifiez que le groupe de sécurité autorise l'accès au service AWS.

Remarque : les ressources Amazon VPC utilisent la route locale pour envoyer le trafic via les points de terminaison de l'interface.

Pour en savoir plus, consultez la page Accéder à un service AWS à l'aide du point de terminaison d'un VPC d'interface.

Sous-réseaux privés utilisant Amazon Transit Gateway

  1. Ouvrez la console Amazon VPC.
  2. Dans le volet de navigation, sous l'onglet Sous-réseaux, choisissez votre sous-réseau privé.
  3. Choisissez la vue Table de routage. Vérifiez que la table de routage contient le CIDR de destination prévu et le bon ID de passerelle de transit.
  4. Pour résoudre les problèmes liés aux itinéraires des passerelles de transit, consultez les ressources suivantes :
    Pour en savoir plus sur la connectivité entre deux Amazon VPC, consultez la page Comment résoudre les problèmes de connectivité de VPC à VPC via une passerelle de transit ?
    Pour en savoir plus sur la connectivité Amazon VPC-sur site via un VPN Site-to-Site ou Direct Connect, consultez la page Comment résoudre les problèmes de connectivité sur site-Amazon VPC via Transit Gateway ?

Utilisation de la carte des ressources pour visualiser les ressources de votre Amazon VPC

  1. Ouvrez la console Amazon VPC.
  2. Dans le volet de navigation, choisissez VPC, puis sélectionnez Amazon VPC.
  3. Choisissez l'onglet Carte des ressources pour visualiser les ressources.
  4. Choisissez Afficher les détails pour voir plus d'informations, tels que les ID des ressources et les zones par défaut affichées :
    VPC : les plages d'adresses CIDR IPv4 et IPv6 attribuées au VPC.
    Sous-réseaux : les plages d'adresses CIDR IPv4 et IPv6 attribuées à chaque sous-réseau.
    Tables de routage : les associations de sous-réseaux et le nombre de routes dans la table de routage.
    Connexions réseau : pour les sous-réseaux publics de l'Amazon VPC, il existe une ressource de passerelle Internet indiquant le nombre de routes, ainsi que les sous-réseaux sources et de destination. Pour les passerelles Internet de sortie uniquement, il existe une ressource de passerelle Internet de sortie uniquement avec le nombre de routes, ainsi que les sous-réseaux sources et de destination. Pour les passerelles NAT, il existe une ressource de passerelle NAT indiquant le nombre d'interfaces réseau et d'adresses IP Elastic. Pour les points de terminaison de passerelle, il existe une ressource de point de terminaison de passerelle portant le nom du service AWS auquel il est possible de se connecter.
  5. Pour afficher la relation entre les ressources, passez le curseur sur une ressource. Les lignes continues représentent les relations entre les ressources. Les lignes pointillées représentent le trafic réseau vers les connexions réseau.
AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 6 mois