AWS Transit Gateway で繋いでいる AWS Direct Connect または AWS Site-to-Site VPN に、同じTransit Gateway にアタッチされている Amazon Virtual Private Cloud (Amazon VPC) を接続しています。しかし、オンプレミス接続と Amazon VPC 間に接続の問題が発生しています。この問題を解決する方法を教えてください。
簡単な説明
AWS Transit Gatewayで繋いでいる AWS Direct Connect または AWS Site-to-Site VPN と、同じTransit Gatewayにアタッチされている Amazon Virtual Private Cloud (Amazon VPC) の接続間に生じる問題をトラブルシューティングするには、次の操作を行います:
- Transit Gateway、VPC、Amazon EC2 インスタンスのルーティング設定を確認します。
- AWS Network Manager で Route Analyzer を使用します。
解決方法
ルーティングの設定を確認します。
Amazon VPC サブネットルートテーブルの設定を確認してください。
- Amazon VPC コンソールを開きます。
- ナビゲーションペインで、[ルートテーブル] を選択します。
- ソースの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスで使用しているルートテーブルを選択します。
- [ルート] タブを選択します。
- 送信先がオンプレミスネットワークに設定されているルートがあることを確認します。
- [Transit Gateway ID] の値を持つターゲットがあることを確認します。
Transit Gateway VPC アタッチメントのアベイラビリティーゾーンを確認します。
- Amazon VPC コンソールを開きます。
- [Transit Gateway アタッチメント] を選択します。
- [VPC アタッチメント] を選択します。
- [詳細] で、サブネット ID を確認します。 EC2 インスタンスのアベイラビリティーゾーンのサブネットが選択されていることを確認します。
- ソースの EC2 インスタンスからサブネットが選択されていない場合は、[アクション] を選択します。 次に、VPC アタッチメントを変更し、EC2 インスタンスのアベイラビリティーゾーンからサブネットを選択します。
注: VPC アタッチメントサブネットを追加または変更すると、アタッチメントが変更状態にある間、データトラフィックに影響を与える可能性があります。
VPC アタッチメントに関連付けられた Transit Gateway のルートテーブルを確認します。
- Amazon VPC コンソールを開きます。
- [Transit gateway ルートテーブル] を選択します。
- VPC アタッチメントに関連付けられた、ルートテーブルを選択します。
- [ルート] タブから、DXGW/VPN アタッチメントのターゲット値を持つオンプレミスネットワークのルートがあることを確認します。
- 静的ルーティングで Site-to-Site VPN を使用している場合: VPNアタッチメントのターゲットを持つオンプレミスネットワークに静的ルートを追加します。
AWS Direct Connect ゲートウェイアタッチメントまたは VPN アタッチメントに関連付けられた Transit Gateway ルートテーブルを確認します。
- Amazon VPC コンソールを開きます。
- [Transit Gateway ルートテーブル] を選択します。
- AWS Direct Connect ゲートウェイアタッチメントに関連付けられたルートテーブルを選択します。
- または -
VPN アタッチメントに関連付けられたルートテーブルを選択します。
- [ルート] タブで、ソース VPC に対応する TGW VPC アタッチメントのTargetに、ソース VPC IP 範囲のルートがあることを確認します。
Direct Connect ゲートウェイと Transit Gateway の関連付けで設定されている許可されたプレフィックスを確認します。
- AWS Direct Connect コンソールを開きます。
- ナビゲーションペインで、[Direct Connect ゲートウェイ] を選択します。
- Transit Gateway に関連付けられた AWS Direct Connect ゲートウェイを選択します。
- [ゲートウェイの関連付け] で、許可されたプレフィックスにソース VPC IP 範囲があることを確認します。
Amazon EC2 インスタンスのセキュリティグループとネットワークのアクセスコントロールリスト (ACL) がトラフィックを許可していることを確認します。
- [Amazon EC2 コンソール] を開きます。
- ナビゲーションペインで、[インスタンス] を選択します。
- 接続テストを実行するインスタンスを選択します。
- [セキュリティ] タブを選択します。
- インバウンドルールとアウトバウンドルールで、オンプレミスネットワークとの間のトラフィックが許可されていることを確認します。
- Amazon VPC コンソールを開きます。
- ナビゲーションペインで、[ネットワーク ACL] を選択します。
- インスタンスを持つサブネット (ソース/送信先) に関連付けられたネットワーク ACL を選択します。
- [インバウンド] ルールおよび [アウトバウンド] ルールを選択します。オンプレミスネットワークとの間で送受信されるトラフィックが許可されていることを確認します。
Transit Gateway のネットワークインターフェイスに関連付けられたネットワーク ACL で適切なトラフィックが許可されていることを確認します。
- [Amazon EC2 コンソール] を開きます。
- ナビゲーションペインで、[ネットワークインターフェイス] を選択します。
- 検索バーに、Transit gateway と入力します。Transit Gateway のすべてのネットワークインターフェイスが表示されます。Transit Gateway インターフェイスが作成された場所に関連付けられた [サブネット ID] をメモします。
- Amazon VPC コンソールを開きます。
- ナビゲーションペインで、[ネットワーク ACL] を選択します。
- 検索バーに、手順 3 でメモしたサブネット ID を入力します。この結果、サブネットに関連付けられたネットワーク ACL が表示されます。
- ネットワーク ACL のインバウンドルールとアウトバウンドルールを確認して、ソース VPC IP 範囲とオンプレミスネットワークが許可されていることを確認します。
オンプレミスのファイアウォールデバイスが Amazon VPC からのトラフィックを許可していることを確認します。
オンプレミスのファイアウォールデバイスに、ソース VPC IP 範囲の送受信の許可ルールがあることを確認します。具体的な手順については、ベンダーのドキュメントを参照してください。
Route Analyzer を使用する
前提条件: 続行する前に、「Transit Gateway ネットワークで AWS Network Manager を使用する方法」のステップを完了してください。
グローバルネットワークを作成し、Transit Gateway を登録したら、以下を実行します:
- Amazon VPC コンソールにアクセスします。
- ナビゲーションペインで、[ネットワークマネージャー] を選択します。
- Transit Gateway が登録されているグローバルネットワークを選択します。
- ナビゲーションペインで、[Transit Gateway ネットワーク] を選択します。次に、[Route Analyzer] を選択します。
- 必要に応じて、[ソース] と [送信先] の情報を入力します。ソースと送信先の両方に同じ Transit Gateway があることを確認します。
- [ルート解析を実行] を選択します。
Route Analyzer でルーティング解析が実行され、接続済みまたは未接続の状態が表示されます。状態が未接続の場合には、ルーティングのレコメンデーションが Route Analyzer に表示されます。レコメンデーションを使用してルーティングの問題を修正し、テストを再実行して接続を確認します。接続の問題が続く場合、他のトラブルシューティング手順について「ルーティング設定の確認」セクションを参照してください。
関連情報
Transit Gateway を介した VPC 間接続のトラブルシューティングの方法を教えてください。
AWS Transit Gateway Network Manager Route Analyzer を使用してトラフィックの中断を診断する