VPC ルートテーブルの問題をトラブルシューティングするにはどうすればよいですか?

所要時間2分

ルートテーブルを設定しましたが、Amazon Virtual Private Cloud (Amazon VPC) と送信先を接続できません。

簡単な説明

Amazon VPC 内の各サブネットは、サブネットのルーティングを制御するルートテーブルに関連付けられています。Amazon VPC のルーティングオプションは、使用しているゲートウェイや接続によって異なります。以下に例を示します。

パブリックサブネット
NAT インスタンスまたは NAT ゲートウェイを使用したサブネット
VPC ピア接続を使用したサブネット
AWS VPN を使用したサブネット
AWS Direct Connect を使用したサブネット
ゲートウェイ VPC エンドポイントを使用したサブネット
仮想インターフェイスの VPC エンドポイントを使用したサブネット

解決方法

この問題の原因を特定するには、影響を受けているリソースを含むサブネットのルートテーブルを確認します。

パブリックサブネット

Amazon VPC コンソールを開きます。
ナビゲーションペインの [サブネット] で、パブリックサブネットを選択します。
[ルートテーブル] ビューを選択します。
ルートテーブルの送信先に、インターネットゲートウェイをポイントするデフォルトのルート (IPv4 の場合は 0.0.0.0/0、IPv6 の場合は ::/0) が設定されていることを確認します。

詳細については「インターネットから Amazon VPC 内の Amazon EC2 インスタンスに接続できないのはなぜですか?」を参照してください。

NAT インスタンスまたは NAT ゲートウェイを使用したサブネット

Amazon VPC コンソールを開きます。
ナビゲーションペインの [サブネット] で、プライベートサブネットを選択します。
[ルートテーブル] ビューを選択し、ルートテーブルに、NAT インスタンスまたはゲートウェイを指すデフォルトのルートが設定されていることを確認します。
NAT デバイスがパブリックサブネットで起動されていることを確認します。次に、前のセクションに記載されているパブリックサブネットに必要なチェックを実行します。
注: NAT インスタンスを使用している場合は、送信元/送信先チェックオフにしていることを確認してください。
IPv6 で VPC を設定し、トラフィックがプライベートサブネットのインスタンスにインターネットルーティングされないようにするには、Egress Only インターネットゲートウェイを使用します。Egress Only インターネットゲートウェイの設定の詳細については、「Egress Only インターネットゲートウェイを使用して IPv6 のアウトバウンドトラフィックをオンにする」を参照してください。

VPC ピアリング接続の問題のトラブルシューティングについては、「NAT ゲートウェイのトラブルシューティング」を参照してください。

VPC ピア接続を使用したサブネット

Amazon VPC コンソールを開きます。
ナビゲーションペインで [Peering Connections (ピアリング接続)] を選択後、ピアリング接続を選択します。
ステータスが [Active] であることを確認します。
ナビゲーションペインから [Subnets] を選択後、ピアリング接続を使用して接続する Amazon VPC のサブネットを選択します。
[Route Tables] ビューを選択し、ルートテーブルに次のいずれかがあることを確認します。
特定のサブネットを持つ CIDR へのルート。
ステップ 2 でメモしたピアリング接続を含む、ピアリングされた Amazon VPC の CIDR 全体へのルート。
これらのルートテーブルに、ピアリング接続された Amazon VPC のサブネットがすべて含まれていることを確認します。
注意: 無効な VPC ピアリング接続の設定がないことを確認してください。

詳細については、「VPC ピアリングを介した通信の確立に関する問題のトラブルシューティングを行うにはどうすればよいですか？」を参照してください。

AWS VPN を使用したサブネット

Amazon VPC コンソールを開きます。
ナビゲーションペインで [VPN 接続] を選択してから、該当する VPN 接続を選択します。
VPN ステータスが有効であること、トンネルのステータスの 1 つ以上が最新であることを確認します。
注意: 動的な VPN を使用している場合は、BGP ルートが AWS VPN に送信されていることを確認してください。BGP ルートが仮想プライベートゲートウェイに伝達されていることを確認するには、ルート伝達を有効にします。
この VPN 接続に使用される仮想プライベートゲートウェイを書き留めます。
ナビゲーションペインから [Subnets] を選択後、VPN に接続する Amazon VPC のサブネットを選択します。
[Route Table] ビューを選択し、次のことを確認します。
ルートの宛先がネットワークであること。
ターゲットは、手順 4 でメモした仮想プライベートゲートウェイであること。

詳細については、「AWS VPN エンドポイントとポリシーベースの VPN の間における接続問題をトラブルシューティングするにはどうすればよいですか？」を参照してください。

AWS Direct Connect を使用したサブネット

AWS Direct Connect コンソールを開きます。
ナビゲーションペインで [Virtual Interfaces] を選択後、プライベート仮想インターフェイスを選択します。
BGP タスクのステータスが「最新」であることを確認します。
プライベート仮想インターフェイスに使用する仮想プライベートゲートウェイを書き留めます。
Amazon VPC コンソールを開きます。
ナビゲーションペインから [Subnets] を選択後、AWS Direct Connect を使用して接続する Amazon VPC のサブネットを選択します。
[Route Table] ビューを選択し、次のことを確認します。
ネットワークの目的地を含むルートがあること。
ステップ 4 でメモした、仮想プライベートゲートウェイのターゲットへのルートがあること。
注意: BGP を使用している場合は、このルートが AWS に送信されていることを確認してください。BGP ルートが仮想プライベートゲートウェイに伝達されていることを確認するには、ルート伝達を有効にします。

詳細については、AWS Direct Connect のトラブルシューティングを参照してください。

ゲートウェイ VPC エンドポイントを使用したサブネット

Amazon VPC コンソールを開きます。
ナビゲーションペインで [Endpoints] を選択し、該当するエンドポイントを選択します。
ステータスが有効であることを確認し、エンドポイント ID を書き留めます。
ナビゲーションペインから [Subnets] を選択後、エンドポイントを使用して AWS のサービスに接続する Amazon VPC のサブネットを選択します。
[Route Tables] ビューを選択し、次のことを確認します。
サービスのプレフィックスリスト ID を指定する宛先を持つルートがルートテーブルに追加されていること。
ステップ 3 で取得したエンドポイント ID を持つターゲットがあること。
VPC エンドポイントポリシーを使用して、AWS のサービスと通信し、Amazon VPC のサブネット内のリソースにアクセスできることを確認します。

詳細については、ゲートウェイ VPC エンドポイントを使用して S3 バケットに接続できないのはなぜですか? を参照してください。

仮想インターフェイスの VPC エンドポイントを使用したサブネット

Amazon VPC コンソールを開きます。
ナビゲーションペインで [Endpoints] を選択し、該当するエンドポイントを選択します。
[Subnets] 列を選択し、エンドポイントネットワークインターフェイスが、接続するサービスに関連付けられたサブネットで作成されていることを確認します。
ナビゲーションペインの [Endpoints] で、[Policy] ビューを選択します。
セキュリティグループによって、AWS のサービスへのアクセスが許可されていることを確認します。

詳細については、「インターフェイス VPC エンドポイントを使用して AWS サービスにアクセスする」を参照してください。