Salta al contenuto
Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo
AWS re:Postre:Post
Informazioni su re:Post

Come posso risolvere i problemi di connettività tra account mediante il mio gateway di transito?

8 minuti di lettura
0

Le mie risorse non si connettono tra cloud privati virtuali (VPC) che si trovano in account AWS diversi tramite il mio gateway di transito.

Risoluzione

Nota: l'account proprietario del gateway di transito è l'account proprietario. L'account che riceve l'accesso al gateway di transito è l'account condiviso.

Controlla le impostazioni di condivisione delle risorse del gateway di transito

Nota: se hai un'organizzazione in AWS Organizations, attiva la condivisione delle risorse. Quando attivi la condivisione delle risorse, AWS condivide e accetta automaticamente i gateway di transito tra gli account membri.

Completa i seguenti passaggi:

  1. Accedi alla console AWS Resource Access Manager (AWS RAM) con l'account proprietario.
  2. Nel pannello di navigazione, scegli Risorse condivise.
  3. Seleziona il gateway di transito.
  4. Verifica se hai condiviso il gateway di transito con l'account o l'organizzazione corretti.
  5. Verifica che Condividi stato sia Associato e non visualizzi Accettazione in sospeso.

Controlla lo stato del collegamento del gateway di transito alla VPN negli account proprietario e condiviso

Completa i seguenti passaggi:

  1. Apri la console Amazon Virtual Private Cloud (Amazon VPC).
  2. Nell'account proprietario e in quello condiviso, scegli Collegamento del gateway di transito alla VPN nel pannello di navigazione.
  3. Verifica che Stato del collegamento sia Disponibile.
    Nota: ogni account che si connette al gateway di transito richiede un collegamento con lo stato Disponibile.
  4. Verifica che il collegamento utilizzi una sottorete da ciascuna zona di disponibilità per il routing del traffico.

Se il collegamento indica Accettazione in sospeso nell'account condiviso, completa i seguenti passaggi:

  1. Nell'account condiviso, scegli Collegamento del gateway di transito alla VPN.
  2. Seleziona il collegamento in sospeso.
  3. Scegli Operazioni, quindi seleziona Accetta.

Controlla le impostazioni della tabella di routing e la propagazione del routing

Completa i seguenti passaggi:

  1. Accedi alla console AWS Transit Gateway con l'account proprietario.
  2. Nel pannello di navigazione, scegli Tabelle di routing del gateway di transito.
  3. Controlla se ogni collegamento è associato alla tabella di routing corretta.
  4. Verifica che la tua tabella di routing contenga le route verso gli intervalli CIDR di altri VPC. Le route possono essere statiche o propagate e devono puntare al corretto collegamento del gateway di transito alla VPN per ogni VPC.
  5. (Facoltativo) Se utilizzi un VPC di sicurezza per ispezionare il traffico, conferma che i firewall e le appliance di sicurezza consentano il traffico.
  6. Verifica che gli intervalli di origine e destinazione non si sovrappongano.
    Nota: un gateway di transito non può eseguire il routing di intervalli di indirizzi IP sovrapposti.

È buona prassi creare tabelle di routing segmentate per i tuoi ambienti. Ad esempio, se disponi di ambienti di sviluppo e di produzione, le tabelle di routing segmentate isolano il traffico tra queste perché ogni ambiente ha la propria tabella di routing.

Verifica che le tabelle di routing VPC puntino al gateway di transito

Completa i seguenti passaggi:

  1. Apri la console Amazon VPC.
  2. Nel pannello di navigazione, scegli Tabelle di routing.
  3. Scegli la tabella di routing associata alle sottoreti della tua risorsa.
  4. Nella scheda Route, verifica che le route all'intervallo CIDR di altri VPC puntino all'ID del gateway di transito corretto.

Nota: verifica che i gruppi di sicurezza e le liste di controllo degli accessi alla rete (ACL) consentano il traffico tra i tuoi VPC.

Verifica le configurazioni del gruppo di sicurezza e delle liste di controllo degli accessi alla rete (ACL)

Esegui queste azioni:

  • Verifica se i gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) consentono il traffico in entrata e in uscita per gli intervalli CIDR e le porte corretti.
  • Configura i tuoi gruppi di sicurezza per consentire i protocolli necessari tra i tuoi carichi di lavoro. Ad esempio, verifica la porta TCP 443 e la porta TCP 22.
  • Verifica se le liste di controllo degli accessi alla rete (ACL) consentono il flusso di traffico tra i diversi VPC.
  • Controlla le regole delle liste di controllo degli accessi alla rete (ACL) e verifica che non blocchino il traffico verso il gateway di transito.

Nota: le liste di controllo degli accessi alla rete (ACL) sono stateless. È necessario consentire il traffico sia in entrata sia in uscita nelle regole delle liste di controllo degli accessi alla rete (ACL).

Analizza i percorsi con il sistema di analisi della reperibilità

Nota: per utilizzare il sistema di analisi della reperibilità VPC e analizzare i percorsi tra gli account, attiva l'accesso sicuro in AWS Organizations.

Completa i seguenti passaggi:

  1. Apri la console AWS Network Manager.
  2. Nel pannello di navigazione, scegli Network Manager.
  3. Scegli Sistema di analisi della reperibilità.
  4. Scegli Crea e analizza il percorso.
  5. Inserisci le seguenti informazioni per scegliere l'origine e la destinazione del percorso:
    Per Account di origine, seleziona l'ID dell'account di origine.
    Per Tipo di origine, seleziona il tipo di risorsa.
    Per Origine, seleziona la risorsa specifica.
    Per Account di destinazione, seleziona l'ID dell'account di destinazione.
    Per Tipo di destinazione, seleziona il tipo di risorsa.
    Per Origine, scegli la risorsa specifica.
  6. Scegli Analizza percorso.
  7. Rivedi i risultati.

Se il percorso è Raggiungibile, la configurazione di rete è corretta. Se il percorso è Non raggiungibile, modifica le route e le regole di sicurezza per consentire il traffico.

Controlla i flussi di traffico con i log di flusso VPC

Prima di iniziare, crea un log di flusso VPC. È consigliabile utilizzare un formato personalizzato che includa i campi pkt-srcaddr e pkt-dstaddr. I campi pkt-srcaddr e pkt-dstaddr nei log di flusso VPC mostrano il traffico con gli indirizzi IP dell'host di origine e di destinazione originali. I valori predefiniti srcaddr e dstaddr mostrano gli indirizzi IP delle interfacce di rete intermedie.

Utilizza i log di flusso VPC per identificare il traffico accettato e rifiutato tra i VPC che si connettono tramite il gateway di transito.

Per analizzare i log di flusso, completa i seguenti passaggi:

  1. Apri la console Amazon CloudWatch.

  2. Nel pannello di navigazione scegli Log, quindi seleziona Log Insights.

  3. Nell'elenco a discesa Ambito della query seleziona il gruppo di log per i log di flusso VPC. Quindi, cerca l'ID dell'interfaccia di rete elastica per individuare la risorsa di origine e di destinazione.

  4. Esegui questa query di esempio per filtrare i log in base agli indirizzi IP di origine e destinazione per identificare il traffico accettato e rifiutato tra i VPC:

    parse @message " *************************" as version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus, vpcid, subnetid, instanceid, tcpflags, type, pktsrcaddr, pktdstaddr, pktsrcawsservice, pktdstawsservice, flowdirection, trafficpath|filter (pktsrcaddr='SOURCE-IP-ADDRESS’ and pktdstaddr=‘DESTINATION-IP-ADDRESS’)|limit 100

    Nota: sostituisci ************************ e nomi dei campi in modo che corrispondano al formato selezionato durante la creazione dei log di flusso VPC. Il numero di asterischi e di campi varia in base al formato di log scelto. Sostituisci SOURCE-IP-ADDRESS con il tuo indirizzo IP di origine e DESTINATION-IP-ADDRESS con il tuo indirizzo IP di destinazione.

Verifica la connettività tra istanze Amazon EC2

Esegui questi comandi per i test di connettività tra le tue istanze EC2 che si connettono tramite il gateway di transito.

Nota: nei seguenti comandi, sostituisci DESTINATION-PRIVATE-IP con l'indirizzo IP privato della tua destinazione e PORT con il numero di porta che desideri verificare.

Esegui questo comando ICMP ping:

ping DESTINATION-PRIVATE-IP

Esegui questo comando telnet per verificare le porte TCP:

telnet DESTINATION-PRIVATE-IP PORT

Esegui questo comando curl per il test HTTP:

curl -v http://DESTINATION_PRIVATE_IP:PORT

Se i test non riescono, esegui queste azioni:

  • Verifica che le tabelle di routing in entrambi i VPC contengano voci che puntano al gateway di transito degli intervalli CIDR di destinazione.
  • Verifica che la tabella di routing del gateway di transito contenga voci sia per i VPC sia per gli associati con i corretti collegamenti del gateway di transito alla VPN.
  • Verifica che i gruppi di sicurezza consentano il traffico in entrata e in uscita tra le istanze.
  • Verifica che le liste di controllo degli accessi alla rete (ACL) nelle tue sottoreti consentano il traffico richiesto.
  • Se disponi di un gateway di transito condiviso, verifica di averlo condiviso correttamente con l'account di destinazione.

Informazioni correlate

Come posso condividere il mio gateway di transito con un altro account o all'interno di un'organizzazione?

How Reachability Analyzer works (Come funziona il sistema di analisi della reperibilità)

Tabelle di routing del gateway di transito in AWS Transit Gateway

Argomenti
Networking & Content Delivery
Tag
AWS Transit Gateway
Lingua
Italiano
AWS UFFICIALEAggiornata 5 mesi fa

Contenuto pertinente