VPC Reachability Analyzer を使用して Amazon VPC リソースの接続に関する問題をトラブルシューティングするにはどうすればよいですか?

簡単な説明

Amazon VPC 接続の問題をトラブルシューティングするには、Reachability Analyzer を使用して、以下に関する一般的な問題を確認します。

• セキュリティグループ設定
• ネットワークアクセスコントロールリスト (ネットワーク ACL) の設定
• ルートテーブル設定

解決方法

重要: VPC Reachability Analyzer は、他の AWS のサービスからのデータに依存します。ツールの実行に失敗した場合は、次の点を確認してください。

• 必要な API 許可がある。
• 送信元、送信先、および中間コンポーネントが Reachability Analyzer でサポートされている。

AWS マネジメントコンソールから Reachability Analyzer を使用している

1.    Amazon VPC コンソールを開きます。

2.    ナビゲーションペインで、[Reachability Analyzer] を選択します。

3.    リソースがあるリージョンを選択します。

4.    [Source type] (送信元タイプ) で、[Instances] (インスタンス) を選択します。その後、送信元のリソースを選択します。

5.    [Destination type] (送信先タイプ) で、[Internet Gateways] (インターネットゲートウェイ) を選択します。その後、送信先のリソースを選択します。

6.    [Protocol] (プロトコル) で、ユースケースに応じて [TCP] または [UDP] を選択します。

7.    [Create and analyze path] (パスを作成および解析) を選択します。

8.    パスの解析が完了したら、結果を表示します。

[Reachability] (到達可能性) ステータスが [Not reachable] (到達不能) の場合は、パスに問題があります。

中間コンポーネントを指定することで、既存のパスを解析できます。次の手順に従って、中間コンポーネントを通過する到達可能な別のパスを検索します。

1.    パスを選択し、[Analyze path] (パスを解析) を選択します。

2.    中間コンポーネントの Amazon リソースネーム (ARN) を決定します。

例えば、ネットワークアドレス変換 (NAT) ゲートウェイの ARN は次のとおりです。

arn:aws:ec2:us-east-1:123456789012:nat-gateway/nat-012345678901234ab

3.    中間コンポーネントの ARN を入力し、[Confirm] (確認) を選択します。

4.    ページを更新し、中間ホップパスで表示される新しい解析 ID を表示します。

AWS CLI からの Reachability Analyzer の使用

注: AWS Command Line Interface (AWS CLI) のコマンドの実行中にエラーが発生した場合は、AWS CLI の最新バージョンを使用していることを確認してください。

Getting started with VPC Reachability Analyzer using the AWS CLI の手順に従います。

例えば、次のポイント間の接続性の問題を診断しているとします。

• 送信元 = Amazon Elastic Compute Cloud (Amazon EC2) インスタンス i-ab001122334455667
• 送信先 = Amazon VPC のポート 22 上のインターネットゲートウェイ igw-00aabb11223344556

1.    次のコマンド例を使用してパスを作成します。

aws ec2 create-network-insights-path --source i-ab001122334455667 --destination igw-00aabb11223344556 --destination-port 22 --protocol TCP

出力例:

{
    "NetworkInsightsPath": {
        "NetworkInsightsPathId": "nip-01a23b456c789101d1",
        "NetworkInsightsPathArn": "arn:aws:ec2:us-east-1:123456789012:network-insights-path/nip-01a23b456c789101d1",
        "CreatedDate": "2021-06-01T01:00:00.000000+00:00",
        "Source": "i-ab001122334455667",
        "Destination": "igw-00aabb11223344556",
        "Protocol": "tcp",
        "DestinationPort": 22
    }
}

2.    次のコマンド例で、ネットワークインサイトパス ID をパラメータとして追加して、パスを解析します。

aws ec2 start-network-insights-analysis --network-insights-path-id nip-01a23b456c789101d1

出力例:

{
    "NetworkInsightsAnalysis": {
        "NetworkInsightsAnalysisId": "nia-0fb371a9ea7ce9712",
        "NetworkInsightsAnalysisArn": "arn:aws:ec2:us-east-1:123456789012:network-insights-analysis/nia-0fb371a9ea7ce9712",
        "NetworkInsightsPathId": "nip-01a23b456c789101d1",
        "StartDate": "2021-06-01T01:00:00.000000+00:00",
        "Status": "running"
    }
}

3.    前の手順で取得した NetworkInsightsAnalysisIds パラメータを以下のコマンド例に追加して、パス解析の結果を取得します。

aws ec2 describe-network-insights-analyses --network-insights-analysis-ids nia-0fb371a9ea7ce9712

パスに到達できない場合、NetworkPathFound は false となり、ExplanationCode には説明コードが含まれます。各説明コードの詳細については、VPC Reachability Analyzer explanation codes を参照してください。

---

関連情報

新着情報 – VPC Reachability Analyzer