Direct Connect 接続を使用してトランジット仮想インターフェイスで VPC リソースに接続できないのはなぜですか?

解決策

正しいオンプレミスネットワークプレフィックスをアドバタイズしていることを確認する

オンプレミスの Direct Connect ボーダーゲートウェイプロトコル (BGP) ルーターを確認します。そのルーターが、トランジット仮想インターフェイスの AWS Direct Connect BGP ピアに正しいオンプレミスのプレフィックスをアドバタイズしている必要があります。

自分のローカル BGP ルーターでアドバタイズされたルートを確認します。そのローカル BGP ルーターは、アドバタイズされたルートをローカルルーティング情報ベース (RIB) に含める必要があります。これらのルートを確認するために使用するコマンドは、オンプレミス BGP デバイスの製造元とモデルによって異なります。詳細については、お使いのデバイスのマニュアルを参照してください。

注:トランジット仮想インターフェイスでは、BGP セッションごとに最大 100 のルートをアドバタイズできます。これは変更できないハードサービスクォータです。このサービスクォータを超えると、BGP セッションはアイドル状態になります。

Direct Connect ゲートウェイからオンプレミスネットワークに正しい Amazon VPC プレフィックスがアドバタイズされていることを確認します

トランジットゲートウェイを Direct Connect ゲートウェイに関連付けるときは、Direct Connect ゲートウェイを介してオンプレミスネットワークにアドバタイズできるプレフィックスを使用します。

**注:**以下のプレフィックスのいずれかを指定すると、AWS ではそれがオンプレミスネットワークにアドバタイズされます。

• 仮想プライベートコンピュータ (VPC) のサブネットプレフィックス (10.1.0.0/16 VPC の 10.1.0.0/24 など)
• VPC プレフィックス全体
• スーパーネット (たとえば、10.0.0.0/8)

トランジットゲートウェイの設定を確認する

トランジットゲートウェイの設定が正しく設定されていることを確認してください。

• トランジットゲートウェイアソシエーションのルールに従ってください。中継仮想インターフェイスでは、通信円滑化のため、Direct Connect ゲートウェイが中継ゲートウェイに関連付けられます。この通信は、オンプレミスネットワークから、単一のトランジット仮想インターフェイスを介してすべての AWS リージョンとアカウントの複数の VPC に送られます。
• トランジットゲートウェイのルーティング設定を確認してください。ルートテーブルは、アタッチされているすべての VPC、仮想プライベートネットワーク (VPN)、または Direct Connect 接続のルートが伝播されるように設定できます。トランジットゲートウェイのルートテーブルに静的ルートを追加することもできます。1 つのアタッチメントからパケットが送信されると、そのパケットは宛先 IP アドレスと一致するルートテーブルを使用して別のアタッチメントにルーティングされます。
  **注:**各アタッチメントに関連付けることができるルートテーブルは 1 つだけです。ただし、アタッチメントはそのルートを複数のルートテーブルに伝播できます。
• トランジットゲートウェイに VPC をアタッチした場合は、アベイラビリティーゾーンを確認してください。VPC サブネット内のリソースにトラフィックをルーティングするトランジットゲートウェイに適切な数のアベイラビリティーゾーンを選択してください。トランジットゲートウェイは、サブネットの 1 つの IP アドレスを使用して、そのサブネットにネットワークインターフェイスを作成します。
• 異なるアベイラビリティーゾーンのリソースについては、トランジットゲートウェイのエラスティックネットワークインターフェイスがそのアベイラビリティーゾーンにあることを確認してください。
  **重要:**トランジットゲートウェイアタッチメントがないアベイラビリティーゾーンは、トランジットゲートウェイにアクセスできません。あるアベイラビリティーゾーンからトラフィックをルーティングできても、別のアベイラビリティーゾーンからはルーティングできない場合は、トランジットゲートウェイのネットワークインターフェイスを確認してください。トランジットゲートウェイのネットワークインターフェースがそのゾーンにある必要があります。高可用性を実現するには、複数のアベイラビリティーゾーンでトランジットゲートウェイネットワークインターフェイスを有効にするのがベストプラクティスです。

Amazon VPC の設定を確認してください

Amazon VPC で、次の設定が行われていることを確認してください。

• セキュリティグループは、アドバタイズされたオンプレミスネットワークプレフィックスとの間のインバウンドおよびアウトバウンドトラフィックを許可します。
• ネットワークアクセスコントロールリスト (ネットワーク ACL) が正しく設定されました。ネットワーク ACL を 1 つ作成し、それをトランジットゲートウェイに関連付けられているすべてのサブネットに関連付けます。ネットワーク ACL は、インバウンド方向とアウトバウンド方向の両方で開いたままにします。
• サブネットルートテーブルには、Target がトランジットゲートウェイ ID に設定され、Destination がオンプレミスネットワークプレフィックスに設定されたルートエントリが含まれます。

リクエストが目的の Direct Connect 接続で送受信されていることを確認する

**注:**以下の設定がある場合は、これらのトラブルシューティング手順を使用してください。

• オンプレミスの場所から冗長な Direct Connect 物理接続を設定しました。
• Direct Connect 物理接続ごとに 1 つの中継仮想インターフェイスを設定しました。
• 両方のトランジット仮想インターフェイスで同様のオンプレミスプレフィックスを AWS にアドバタイズしました。

冗長接続のアクティブ/パッシブまたはアクティブ / アクティブ構成が機能していることを確認するには、次の操作を行います。

• 双方向トレースルートを実行します。Direct Connect BGP ピア IP アドレスを確認して、トラフィックの送受信に使用される中継仮想インターフェイスを見つけてください。
• ローカル優先の BGP コミュニティタグを使用して、ネットワークへの着信トラフィックの負荷分散とルーティング優先を実現します。
• 同じリージョンでアクティブ / パッシブ構成を使用するには、ローカルプリファレンスと AS-Path プリペンディングを使用してください。
  注: ローカルプリファレンスは、特定の Direct Connect リンクを介したオンプレミスデータセンターからのアウトバウンドトラフィックに影響します。AS-Path プリペンディングは、AWS からオンプレミスデータセンターに戻るインバウンドトラフィックに影響します。

関連情報

Direct Connect ゲートウェイへの中継仮想インターフェイスの作成