Direct Connect에서 AWS 리소스로의 연결 문제를 해결하려면 어떻게 해야 하나요?

간략한 설명

Direct Connect는 AWS 내에서 액세스하는 리소스에 따라 프라이빗, 퍼블릭 및 트랜짓 가상 인터페이스(VIF)를 사용합니다. Direct Connect VIF를 사용하여 온프레미스에서 AWS 리소스에 연결하면 사용 중인 VIF 유형에 따라 여러 연결 문제가 발생할 수 있습니다.

해결 방법

문제가 있는 VIF를 사용 중이었는데 갑자기 작동이 중지된 경우 다음 단계를 완료하세요.

• AWS Health Dashboard에서 Direct Connect 연결 또는 VIF에 영향을 줄 수 있는 진행 중이거나 최근에 완료된 AWS 유지 관리가 있는지 확인합니다.
• Direct Connect 콘솔에 로그인하여 VIF 상태가 UP인지 확인합니다. 상태가 DOWN이면 Border Gateway Protocol(BGP)가 설정되지 않은 것입니다. 이 문제를 해결하려면 AWS Direct Connect 문제 해결을 참조하세요.

VIF 유형에 따라 연결 문제 해결하기

연결 문제를 해결하려면 VIF 유형을 확인하고 다음 단계를 완료합니다.

프라이빗 가상 인터페이스

프라이빗 가상 인터페이스는 Amazon Virtual Private Cloud(VPC) 내의 리소스에 액세스하는 데 사용됩니다. 이 인터페이스는 Amazon VPC CIDR 범위에서 할당된 개인 IP 주소를 사용하여 리소스에 액세스합니다. Amazon VPC 내의 리소스에 연결하는 데 문제가 있는 경우 다음 단계를 완료하세요.

1.    대상 인스턴스의 보안 그룹과 서브넷 네트워크 액세스 제어 목록(ACL)에 적절한 인바운드 및 아웃바운드 규칙이 있는지 확인합니다. 사용 중인 소스 및 대상 IP 주소와 포트에 따라 AWS와 온프레미스 간의 양방향 연결이 허용되어야 합니다.

2.    온프레미스 라우터에서 BGP 라우팅 구성을 확인하여 필요한 경로가 AWS로 향하고 있는지 확인합니다. Amazon VPC 라우팅 테이블에서 경로 전파를 사용하는 경우, Amazon VPC 라우팅 테이블에 경로가 표시되어야 합니다. 또한 올바른 가상 사설 게이트웨이가 타겟이 되어야 합니다.

3.    온프레미스 라우터가 BGP를 통해 Amazon VPC CIDR에 대한 경로를 수신하고 있는지 확인합니다. 경로는 Direct Connect VIF와 연결된 AWS 피어 IP 주소에서 수신되어야 합니다.

• AWS 피어 IP 주소에서 경로를 수신하지 않는 경우 가상 사설 게이트웨이가 올바른 Amazon VPC에 연결되어 있는지 확인하세요.
• 개인 VIF가 직접 연결 게이트웨이에서 종료되는 경우 올바른 가상 사설 게이트웨이가 직접 연결 게이트웨이에 연결되어 있는지 확인하세요. 허용 접두사가 온프레미스 라우터로 Amazon VPC CIDR을 연결할 수 있도록 구성되어 있는지 확인하세요.

4.    다음과 같이 온프레미스 라우터에서 Amazon VPC 인스턴스로 경로 추적을 수행한 후 반대 방향으로 경로 추적을 수행합니다.

ICMP 기반 경로 추적:

sudo traceroute -n -I <private-IP-of-EC2-instance/on-premises-host>

참고: 온프레미스 라우터 또는 방화벽이 ICMP 기반 경로 추적 요청을 차단하는 경우 적절한 TCP 포트에서 TCP 기반 경로 추적을 실행합니다.

TCP 기반 경로 추적:

sudo traceroute -n -T -p 22 <private-IP-of-EC2-instance/on-premises-host>

참고: 앞의 명령에서 -n -T -p 22은 포트 22에서 추적을 수행합니다. 애플리케이션이 수신 대기 중인 모든 포트를 사용할 수 있습니다.

5.    경로 추적 결과를 확인하여 VIF와 연결된 온프레미스 라우터 및 AWS 피어 IP의 가시성 및 동작을 확인합니다.

• 경로 추적이 온프레미스 라우터 피어 IP에서 멈추면 트래픽이 온프레미스 라우터에 도달한 후 트래픽이 감소합니다. 온프레미스 네트워크 방화벽 설정을 확인하여 선택한 포트에서 양방향 연결이 허용되는지 확인하세요.
• 경로 추적이 AWS 피어 IP에서 멈추는 경우, 1단계의 네트워크 ACL 및 보안 그룹 구성을 확인하세요. Amazon VPC 흐름 로그를 사용하여 온프레미스 라우터에서 전송된 패킷이 특정 탄력적 네트워크 인터페이스에서 수신되는지 확인할 수도 있습니다.
• VIF와 연결된 AWS 또는 온프레미스 피어 IP가 보이지 않는다면 트래픽이 잘못된 경로를 통해 전달되고 있는 것입니다. 온프레미스 라우터가 다른 피어를 통해 동일한 CIDR에 대해 더 구체적이거나 선호되는 경로를 가지고 있는지 확인하세요.
• AWS에서 온프레미스 라우터로의 경로 추적에 AWS 피어 IP 주소가 포함되어 있지 않은 경우, 다른 VIF도 종료되는지 확인하세요. 동일한 온프레미스 경로를 광고하는 동일한 가상 사설 게이트웨이 또는 다이렉트 커넥트 게이트웨이에서 다른 VIF가 종료되는지 확인합니다. 그렇다면 Amazon VPC 라우팅 테이블에서 온프레미스 라우터에 대한 특정 경로를 광고하는 기존 사이트 간 VPN 연결이 있는지 확인하세요.

6.    AWS에서 온프레미스 라우터로, 온프레미스 라우터에서 AWS로 가는 경로 추적을 비교합니다. 두 경로 추적의 홉이 다르면 비대칭 라우팅을 나타냅니다. 라우팅 정책을 사용하여 동일한 Direct Connect 사설 가상 인터페이스가 양방향으로 선호되는지 확인하세요.

퍼블릭 가상 인터페이스

공용 가상 인터페이스는 공용 IP 주소를 사용하여 모든 AWS 공용 서비스에 액세스합니다. 공용 가상 인터페이스 연결 문제를 해결하려면 다음 단계를 완료하세요.

1.    공용 가상 인터페이스를 호스팅하는 온프레미스 라우터가 AWS 피어 IP 주소에서 public 접두사의 경로를 수신하고 있는지 확인합니다. 인바운드 접두사 필터 및 경로 맵을 필터링 경로에 사용하는 경우, 접두사 필터가 필수 접두사와 일치하는지 확인하세요.

2.    온프레미스 네트워크에 대해 NAT(Network Address Translation)를 수행하는 경우 BGP를 통해 AWS에 퍼블릭 피어 IP 주소를 광고하고 있는지 확인합니다.

예제 시나리오:

• 로컬 피어 IP 주소는 69.210.74.146/31입니다.
• 원격 피어 IP 주소는 69.210.74.147/31입니다.
• 로컬 피어 IP 주소에 대한 온프레미스 로컬 네트워크 트래픽에 대해 NAT를 수행하는 경우, 69.210.74.146/32를 AWS에 알립니다.

참고: 온프레미스에서 공용 VIF를 통해 AWS로 광고되는 접두사에서 연결해야 합니다. 광고되지 않은 접두사에서 공용 VIF로 연결할 수 없습니다.

3.    온프레미스에서 AWS로 경로 추적을 수행하여 트래픽이 Direct Connect 공용 VIF를 통해 전달되고 있는지 확인합니다.

• 트래픽이 공용 VIF를 통해 전달되는 경우, 경로 추적에 로컬(온프레미스) 및 원격(AWS) 피어 IP가 연결되어 있어야 합니다.
• AWS 내에서 사용되는 네트워크 경로를 확인해야 하는 경우, 퍼블릭 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 실행하세요. 인스턴스는 AWS 서비스와 동일한 리전을 가져야 합니다. 인스턴스를 시작한 후 온프레미스로 경로 추적을 수행합니다. 경로 추적에 트래픽이 인터넷이나 다른 VIF를 통해 전달되고 있음을 나타내는 경우, 특정 경로가 광고되고 있을 수 있습니다.

참고: AWS는 AS_PATH를 사용하고 최장 접두사 일치를 사용하여 라우팅 경로를 결정합니다. 직접 연결은 Amazon에서 소싱된 트래픽에 대해 기본 설정 경로입니다.

4.    퍼블릭 AWS 서비스(예: Amazon Simple Storage Service 또는 Amazon S3)에 대한 연결이 올바른 대상 지역에 대해 작동하는지 확인합니다. 그런 다음 Amazon에 광고하는 공개 접두사에 BGP 커뮤니티 태그를 사용하고 있는지 확인합니다.

참고: BGP 커뮤니티 태그는 Amazon 네트워크에서 접두사를 얼마나 멀리 전파할지를 결정합니다.

트랜스짓 가상 인터페이스

트랜짓 가상 인터페이스는 다이렉트 커넥트 게이트웨이와 연결된 하나 이상의 Amazon VPC 트랜짓 게이트웨이(TGW)에 액세스합니다. 연결 문제를 해결하려면 다음 단계를 완료합니다.

1.    대상 리소스의 Amazon VPC 서브넷 라우팅 테이블에 온프레미스 CIDR이 TGW로 향하는 경로가 있는지 확인합니다. 인스턴스 또는 리소스 보안 그룹과 서브넷의 네트워크 ACL이 양방향 연결을 허용하는지 확인합니다. 자세한 내용은 네트워크 ACL이 트랜짓 게이트웨이와 함께 작동하는 방법을 참조하세요.

2.    트랜짓 VIF와 연결된 온프레미스 라우터가 AWS 피어에서 BGP를 통해 올바른 경로를 수신하고 있는지 확인합니다. 경로는 대상 Amazon VPC CIDR에 대한 경로입니다. 필요한 경로를 수신하지 못하는 경우 허용된 접두사 섹션을 확인하세요. TGW와의 다이렉트 커넥트 게이트웨이 연결에 허용된 접두사가 필수 접두사로 구성되어 있는지 확인합니다. 허용된 접두사 섹션에 구성된 경로만 트랜짓 VIF를 통해 AWS에서 알립니다.

3.    트랜짓 VIF와 연결된 온프레미스 라우터가 필수 온프레미스 네트워크 접두사를 AWS에 광고하고 있는지 확인합니다.

• Direct Connect 게이트웨이에서 TGW 라우팅 테이블로 경로를 전파하는 경우, 라우팅 테이블에 경로가 표시되는지 확인합니다. 경로가 표시되지 않으면 광고된 경로의 AS 경로를 확인하여 TGW ASN이 포함되어 있지 않은지 확인하세요.
• AS 경로에 TGW ASN이 포함된 특정 경로를 광고하는 경우 해당 경로는 라우팅 테이블에 설치되지 않습니다. 고객 게이트웨이 장치(온프레미스 라우터)에서 사용하는 ASN이 TGW ASN과 다른지 확인하세요.

4.    Direct Connect 게이트웨이 및 대상 Amazon VPC 첨부 파일과 연결된 TGW 테이블에 대상에 대한 올바른 경로가 있는지 확인합니다.

• Direct Connect 게이트웨이와 연결된 TGW 라우팅 테이블에는 Amazon VPC CIDR이 Amazon VPC 첨부 파일로 향하는 경로가 있어야 합니다.
• Amazon VPC 첨부 파일과 연결된 TGW 라우팅 테이블에 Direct Connect 게이트웨이 첨부 파일로 연결되는 온프레미스 CIDR 경로가 있어야 합니다.

5.    AWS에서 온프레미스(양방향)로 양방향 경로 추적을 수행하여 트래픽 경로와 트래픽이 드롭되는 홉을 식별합니다.

• AWS 피어 IP 주소에 도달한 후 트래픽이 감소하는 경우 다음을 확인하세요.
• AWS에서 온프레미스로의 경로 추적이 온프레미스 피어 IP 주소에서 드롭되는 경우 온프레미스의 방화벽 구성을 확인하세요. 소스와 대상 간의 올바른 포트에서 양방향 연결이 허용되는지 확인하세요.

6.    AWS에서 온프레미스로의 경로 추적에 VIF와 연결된 피어 IP가 포함되지 않은 경우, 직접 연결 게이트웨이를 확인하세요. Direct Connect 게이트웨이를 확인하여 동일한 Direct Connect 게이트웨이에서 동일한 온프레미스 경로를 광고하는 다른 경유 VIF가 있는지 확인합니다. 그렇다면 이 경유 VIF에 대한 라우팅 정책을 사용하여 아웃바운드 연결에 사용해야 하는 VIF를 식별합니다.

7.    TGW Amazon VPC 연결에 대상 리소스와 동일한 가용 영역에서 연결된 서브넷이 있는지 확인합니다. 예를 들어 인스턴스가 특정 가용성 영역에 있는 경우 TGW Amazon VPC 연결에는 동일한 위치에 하나의 서브넷이 있어야 합니다.

참고: Amazon VPC 흐름 로그를 사용하여 온프레미스 트래픽이 특정 인스턴스 탄력적 네트워크 인터페이스에 도달하는지 확인할 수 있습니다. 이렇게 하면 탄력적 네트워크 인터페이스에 양방향 트래픽이 있는지 식별하는 데 도움이 됩니다.