仮想プライベートクラウド (VPC) は、同じ AWS Transit Gateway にアタッチされています。しかし、VPC 間の接続で問題が発生しています。この解決方法を教えてください。
簡単な説明
同じ AWS Transit Gateway にアタッチされた VPC 間の接続のトラブルシューティングを行うには、以下のいずれかを実行します:
- AWS Transit Gateway、VPC、Amazon EC2 インスタンスのルーティング設定を確認します。
- AWS Network Manager で Route Analyzer を使用します。
解決方法
ルーティングの設定を確認します。
VPC が同じ Transit Gateway にアタッチされていることを確認します。
- Amazon Virtual Private Cloud (Amazon VPC) コンソールを開きます。
- ナビゲーションペインで、[Transit Gateway アタッチメント] をクリックします。
- VPC アタッチメントが同じ Transit Gateway ID に関連付けられていることを確認します。
Transit Gateway ルートテーブルが VPC アタッチメントに関連付けられていることを確認します。
- Amazon VPC コンソールを開きます。
- ナビゲーションペインから、[Transit Gateway ルートテーブル] を選択します。
- ソース VPC の Transit Gateway VPC アタッチメントに関連付けられているルートテーブルを選択します。
- [ルート] タブを選択します。
- リモート VPC の値に対応する TGW VPC アタッチメントとしてターゲットを持つリモート VPC IP 範囲のルートがあることを確認します。
- リモート VPC の Transit Gateway VPC アタッチメントに関連付けられているルートテーブルを選択します。
- [ルート] タブを選択します。
- TGW VPC アタッチメントとしてターゲットを持つソース VPC IP 範囲のルートがあることを確認します。ルートがソース VPC の値に対応していることを確認します。
ソース VPC の VPC ルートテーブルに、ゲートウェイが Transit Gateway に設定されたリモート VPC IP 範囲のルートがあることを確認します。
- Amazon VPC コンソールを開きます。
- ナビゲーションペインで、[ルートテーブル] を選択します。
- ソース EC2 インスタンスで使用されるルートテーブルを選択します。
- [ルート] タブを選択します。
- [宛先] にリモート VPC CIDR ブロックのルートがあることを確認します。次に、その [ターゲット] が [Transit Gateway ID] に設定されていることを確認します。
リモート VPC の VPC ルートテーブルに、ゲートウェイが Transit Gateway に設定されたソース VPC IP 範囲のルートがあることを確認します。
- Amazon VPC コンソールを開きます。
- ナビゲーションペインで、[ルートテーブル] を選択します。
- ソース EC2 インスタンスで使用されるルートテーブルを選択します。
- [ルート] タブを選択します。
- [宛先] にリモート VPC CIDR ブロックのルートがあることを確認します。次に、その [ターゲット] が [Transit Gateway ID] に設定されていることを確認します。
Transit Gateway VPC アタッチメントのソースとリモート VPC のアベイラビリティーゾーンを確認します。
- Amazon VPC コンソールを開きます。
- ナビゲーションペインで、[Transit Gateway アタッチメント] をクリックします。
- ソース VPC アタッチメントを選択します。
- [詳細] で、サブネット ID を探します。ソース EC2 インスタンスのアベイラビリティーゾーンのサブネットが選択されていることを確認します。
- [Transit Gateway アタッチメント] を選択します。次に、[リモート VPC アタッチメント] を選択します。
- [詳細] で、サブネット ID を探します。リモート EC2 インスタンスのアベイラビリティーゾーンのサブネットが選択されていることを確認します。
- VPC アタッチメントにアベイラビリティーゾーンを追加するには、[アクション] を選択します。 次に、Transit Gateway アタッチメントを変更し、必要なアベイラビリティーゾーンから任意のサブネットを選択します。
注: VPC アタッチメントサブネットを追加または変更すると、アタッチメントが変更状態にある間、データトラフィックに影響を与える可能性があります。
Amazon EC2 インスタンスのセキュリティグループとネットワークのアクセスコントロールリスト (ACL) がトラフィックを許可していることを確認します
- Amazon EC2 コンソールを開きます。
- ナビゲーションペインで、[インスタンス] を選択します。
- 接続テストを実行するインスタンスを選択します。
- [セキュリティ] タブを選択します。
- [インバウンド] のルールと [アウトバウンド] のルールでトラフィックが許可されていることを確認します。
- Amazon VPC コンソールを開きます。
- ナビゲーションペインで、[ネットワーク ACL] を選択します。
- インスタンスのあるサブネットに関連付けられているネットワーク ACL を選択します。
- [インバウンド] のルールと [アウトバウンド] のルールを選択して、トラフィックが許可されていることを確認します。
Transit Gateway のネットワークインターフェイスに関連付けられたネットワーク ACL でトラフィックが許可されていることを確認します。
- Amazon EC2 コンソールを開きます。
- ナビゲーションペインで、[ネットワークインターフェイス**] を選択します。**
**- 検索バーに、Transit gateway と入力します。Transit Gateway のすべてのネットワークインターフェイスが表示されます。Transit Gateway インターフェイスが作成された場所に関連付けられた [サブネット ID] をメモします。
- Amazon VPC コンソールを開きます。
- ナビゲーションペインで、[ネットワーク ACL] を選択します。
- 検索バーに、手順 3 でメモしたサブネット ID を入力します。サブネットに関連付けられているネットワーク ACL が表示されます。
- ネットワーク ACL の [インバウンド] のルールと [アウトバウンド] のルールが、ポートまたはプロトコルへのトラフィックを許可していることを確認してください。**
**### Route Analyzer を使用する
前提条件: このセクションに進む前に、「Transit Gateway ネットワークで AWS Network Manager を使用する方法」のステップを完了してください。
グローバルネットワークを作成し、Transit Gateway を登録したら、以下を実行します:
- Amazon VPC コンソールにアクセスします。
- ナビゲーションペインで、[ネットワークマネージャー] を選択します。
- Transit Gateway が登録されているグローバルネットワークを選択します。
- ナビゲーションペインで、[Transit Gateway ネットワーク] を選択します。次に、[Route Analyzer] を選択します。
- 必要に応じて、[ソース] と [宛先] の情報を入力します。ソースと宛先の両方に同じ Transit Gateway があることを確認します。
- [ルート解析を実行] を選択します。
Route Analyzer でルーティング解析が実行され、接続済みまたは未接続の状態が表示されます。状態が未接続の場合には、ルーティングのレコメンデーションが Route Analyzer に表示されます。推奨事項を使用してから、テストを再実行して接続を確認します。接続の問題が続く場合、他のトラブルシューティング手順については、この記事の「ルーティング設定の確認」セクションを参照してください。
関連情報
Transit Gateway の監視
AWS Transit Gateway Network Manager Route Analyzer を使用してトラフィックの中断を診断する**