Comment résoudre les problèmes de connectivité entre les ressources sur site et Amazon VPC via Transit Gateway ?
Je souhaite résoudre les problèmes de connectivité entre mes ressources sur site et Amazon Virtual Private Cloud (Amazon VPC) via AWS Transit Gateway avec AWS Direct Connect ou AWS Site-to-Site Virtual Private Network (Amazon VPC).
Résolution
Pour résoudre les problèmes de connectivité entre les ressources sur site et un VPC via Transit Gateway, procédez comme suit :
Vérifier les règles du groupe de sécurité de l'instance et de l'ACL réseau
Procédez comme suit :
- Ouvrez la console Amazon Elastic Compute Cloud (Amazon EC2).
- Dans le volet de navigation, sélectionnez Instances.
- Sélectionnez l'instance Amazon EC2.
- Choisissez l’onglet Sécurité.
- Vérifiez si les règles entrantes et les règles sortantes autorisent le trafic à destination et en provenance de votre réseau sur site.
- Ouvrez la console Amazon VPC.
- Dans le volet de navigation, sélectionnez ACL réseau.
- Sélectionnez la liste de contrôle d'accès au réseau (ACL réseau) pour le sous-réseau de votre instance EC2.
- Sélectionnez Règles entrantes et Règles sortantes. Puis, vérifiez si ces règles autorisent le trafic en provenance et à destination de votre réseau sur site.
Vérifier les attachements de passerelle de transit
Procédez comme suit :
- Dans le volet de navigation, sélectionnez Attachements de la passerelle de transit.
- Sélectionnez l’attachement de VPC.
- Sous Détails, vérifiez si l’attachement de VPC inclut un ID de sous-réseau provenant de la zone de disponibilité de votre instance Amazon EC2.
- Si l’attachement de VPC n'inclut pas de sous-réseau de la zone de disponibilité de votre instance, sélectionnez un sous-réseau dans la zone de disponibilité de votre instance. Pour obtenir des instructions, consultez la section Modifier un attachement de VPC dans AWS Transit Gateway.
Remarque : l'état de modification peut affecter le trafic de données lorsque vous ajoutez ou modifiez un sous-réseau d’attachements de VPC.
Vérifier les ACL réseau pour les interfaces de passerelle de transit
Procédez comme suit :
- Ouvrez la console Amazon EC2.
- Dans le volet de navigation, sélectionnez Interfaces réseau.
- Dans la barre de recherche, saisissez Transit Gateway.
- Notez les ID de sous-réseau dans lesquels Transit Gateway a créé les interfaces.
- Ouvrez la console Amazon VPC.
- Dans le volet de navigation, sélectionnez ACL réseau.
- Dans la barre de recherche, entrez l'ID de sous-réseau que vous avez noté précédemment. Les résultats indiquent l'ACL réseau pour le sous-réseau.
- Vérifiez si les règles entrantes et les règles sortantes autorisent le bloc CIDR du VPC et le bloc CIDR du réseau sur site.
- Répétez les étapes 6 à 8 pour chaque interface réseau de passerelle de transit associée au VPC.
Remarque : le trafic provenant d'une connexion VPN ou Direct Connect peut parvenir au VPC via une zone de disponibilité ou un sous-réseau différent de celui de la zone de disponibilité de votre instance. Vérifiez les ACL réseau pour tous les sous-réseaux dotés d'interfaces réseau. Pour plus d'informations sur l'application des règles ACL réseau, consultez la section ACL réseau pour les passerelles de transit dans AWS Transit Gateway.
Vérifier la configuration de la table de routage de sous-réseau
Procédez comme suit :
- Ouvrez la console Amazon VPC.
- Dans le volet de navigation, choisissez Tables de routage.
- Sélectionnez la table de routage de votre instance source.
- Choisissez l'onglet Itinéraires.
- Vérifiez si Destination affiche le réseau sur site.
- Vérifiez si Cible affiche l'ID de la passerelle de transit.
Recherchez une entrée d'itinéraire pour le bloc CIDR de destination qui pointe vers la passerelle de transit. Si aucune entrée d'itinéraire ne s'affiche, ajoutez-en une à la table de routage correspondante qui pointe vers la passerelle de transit.
Consulter les tables de routage de Transit Gateway pour les attachements de VPC
Procédez comme suit :
- Dans le volet de navigation, sélectionnez Tables de routage de la passerelle de transit.
- Sélectionnez la table de routage associée à l’attachement de VPC.
- Dans l'onglet Itinéraires, vérifiez s'il existe un itinéraire pour votre réseau sur site. Vérifiez également si Cible affiche un attachement DXGW/VPN.
- Si vous utilisez un VPN site à site avec un itinéraire statique, créez un itinéraire statique pour votre réseau sur site et sélectionnez Attachement de VPN comme cible.
Consulter la table de routage de Transit Gateway pour une passerelle Direct Connect ou une connexion VPN
Procédez comme suit :
- Dans le volet de navigation, sélectionnez Tables de routage de la passerelle de transit.
- Sélectionnez la table de routage associée à la passerelle AWS Direct Connect ou à l’attachement de VPN.
- Dans l'onglet Itinéraires, vérifiez s'il existe un itinéraire pour votre bloc CIDR de VPC. Puis, vérifiez si la cible de l’itinéraire est l’attachement de VPC de passerelle de transit approprié.
Vérifier l’existence de préfixes autorisés pour la passerelle Direct Connect
Procédez comme suit :
- Ouvrez la console Direct Connect.
- Dans le volet de navigation, sélectionnez Passerelles Direct Connect.
- Sélectionnez la passerelle Direct Connect associée à la passerelle de transit.
- Sous Association de passerelle, vérifiez que le champ Préfixes autorisés inclut votre bloc CIDR de VPC.
Vérifier la configuration du pare-feu réseau ou la configuration de l'appliance de pare-feu tierce
Vérifiez si vous avez mis en œuvre un modèle d'inspection centralisé pour inspecter le trafic Nord-Sud. Si vous avez mis en œuvre un modèle d'inspection centralisé, vérifiez que le pare-feu réseau AWS dispose de règles Suricata qui autorisent tout le trafic nécessaire. Pour plus d'informations sur Suricata, consultez la page Suricata sur le site Web officiel de Suricata. Pour plus d'informations sur les modèles d'inspection centralisés, consultez les sections Modèles de déploiement pour le pare-feu réseau AWS et Inspection du trafic entre le VPC et le site.
Si vous utilisez une appliance virtuelle tierce pour l'inspection, assurez-vous que les règles de pare-feu autorisent l’intégralité du trafic nécessaire.
Vérifier l’existence de règles de trafic de VPC sur les dispositifs de pare-feu sur site
Vérifiez que vos dispositifs de pare-feu locaux autorisent l’intégralité du trafic nécessaire entre les deux réseaux. Pour obtenir des instructions, consultez la documentation du fournisseur de votre pare-feu.
Vérifier les pare-feux du serveur sur site
Si le serveur sur site utilise un pare-feu du système d'exploitation (OS), vérifiez qu'il autorise le trafic en provenance et à destination du bloc CIDR du VPC.
Analyser les itinéraires avec l’Analyseur d’itinéraires
Prérequis : créez un réseau mondial avec AWS Global Networks.
Pour analyser vos itinéraires avec l’Analyseur d’itinéraires pour AWS Network Manager, procédez comme suit :
- Ouvrez la console Amazon VPC.
- Dans le volet de navigation, sélectionnez Gestionnaire de réseaux.
- Choisissez le réseau mondial sur lequel votre passerelle de transit est enregistrée.
- Dans le volet de navigation, sélectionnez Réseau de passerelles de transit. Puis, sélectionnez Analyseur d’itinéraires.
- Dans Source et Destination, entrez une passerelle de transit, l’attachement de la passerelle de transit et une adresse IP. Assurez-vous d'utiliser la même passerelle de transit dans les champs Source et Destination.
- Sélectionnez Exécuter l'analyse de l’itinéraire.
Remarque : après avoir effectué l'analyse de l’itinéraire, l’Analyseur d’itinéraires indique un état Connecté ou Non connecté. Si l'état est Non connecté, appliquez les recommandations de routage fournies par l’Analyseur d’itinéraires, puis relancez l'analyse.
Informations connexes
Comment résoudre les problèmes de connectivité entre VPC via une passerelle de transit ?
- Balises
- AWS Transit Gateway
- Langue
- Français
Contenus pertinents
- demandé il y a 2 ans
- demandé il y a 2 ans
- demandé il y a un an
- demandé il y a 3 ans
- demandé il y a un an
- AWS OFFICIELA mis à jour il y a 5 mois