Global outage event

If you're experiencing issues with your AWS services, then please refer to the AWS Health Dashboard. You can find the overall status of ongoing outages, the health of AWS services, and the latest updates from AWS engineers.

Como faço para diagnosticar e resolver problemas de conectividade entre contas pelo gateway de trânsito?

7 minuto de leitura

Meus recursos não se conectam entre VPCs de contas da AWS diferentes via gateway de trânsito.

Resolução

**Observação:**a conta proprietária do gateway de trânsito é a conta do proprietário. Já a conta que recebe acesso ao gateway de trânsito é a conta compartilhada.

Verifique as configurações de compartilhamento de recursos do gateway de trânsito

**Observação:**se você tem uma organização no AWS Organizations, ative o compartilhamento de recursos. Assim, a AWS compartilha e aceita automaticamente os gateways de trânsito entre as contas de membro.

Siga estas etapas:

Faça login no console do AWS Resource Access Manager (AWS RAM) com a conta de proprietário.
No painel de navegação, escolha Recursos compartilhados.
Selecione o gateway de trânsito.
Verifique se você compartilhou o gateway de trânsito com a conta ou organização correta.
Verifique se o Status de compartilhamento indica Associado e se não mostra Aceitação pendente.

Verifique o status do anexo do gateway de trânsito nas contas de proprietário e compartilhada

Siga estas etapas:

Abra o console da Amazon Virtual Private Cloud (Amazon VPC).
Nas contas de proprietário e compartilhada, escolha Anexos do gateway de trânsito no painel de navegação.
Verifique se o Estado do anexo é Disponível.
Observação: cada conta que se conecta ao gateway de trânsito exige um anexo que esteja no estado Disponível.
Confirme se o anexo utiliza uma sub-rede de cada zona de disponibilidade para garantir o roteamento de tráfego.

Se o anexo mostrar Aceitação pendente na conta compartilhada, siga estas etapas:

Na conta compartilhada, escolha Anexos do gateway de trânsito.
Selecione o anexo pendente.
Escolha Ações e, em seguida, Aceitar.

Verifique as configurações da tabela de rotas e a propagação da rota

Siga estas etapas:

Faça login no console do AWS Transit Gateway com a conta de proprietário.
No painel de navegação, escolha Tabelas de rotas de gateway de trânsito.
Verifique se cada anexo está associado à tabela de rotas correta.
Verifique se a tabela de rotas inclui rotas para os blocos CIDR de outras VPCs. Essas rotas, estáticas ou propagadas, devem apontar para o anexo do gateway de trânsito correto de cada uma das VPCs.
(Opcional) Se você usa uma VPC de segurança para inspecionar o tráfego, confirme se os firewalls e os dispositivos de segurança permitem tráfego.
Confirme se não há sobreposição entre os intervalos de origem e destino.
Observação: o gateway de trânsito não consegue rotear intervalos de endereços IP que coincidam entre si.

A prática recomendada é criar tabelas de rotas segmentadas para seus ambientes. Por exemplo, se você tem ambientes de desenvolvimento e produção, as tabelas de rotas segmentadas isolam o tráfego entre eles, garantindo que cada ambiente opere na própria tabela de rotas.

Verifique se as tabelas de rotas da VPC apontam para o gateway de trânsito

Siga estas etapas:

Abra o console da Amazon VPC.
No painel de navegação, clique em Tabelas de rotas.
Escolha a tabela de rotas associada às sub-redes do seu recurso.
Na guia Rotas, verifique se as rotas para o bloco CIDR de outras VPCs apontam para o ID correto do gateway de trânsito.

**Observação:**confirme se os grupos de segurança e as listas de controle de acesso à rede (ACLs de rede) permitem o tráfego entre suas VPCs.

Verifique as configurações de ACL de rede e grupo de segurança

Faça o seguinte:

Verifique se os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) permitem tráfego de entrada e saída para os blocos CIDR e portas corretos.
Configure os grupos de segurança para permitir os protocolos necessários entre suas workloads. Por exemplo, verifique a porta TCP 443 e a porta TCP 22.
Verifique se as ACLs de rede permitem o fluxo de tráfego entre VPCs.
Confira as regras de ACL de rede e verifique se elas não bloqueiam o tráfego para o gateway de trânsito.

Observação: as ACLs de rede não têm estado. Você deve permitir tráfego de entrada e saída em suas regras de ACL de rede.

Analise caminhos com o Reachability Analyzer

Observação: para usar o VPC Reachability Analyzer e analisar caminhos entre contas, ative o acesso confiável no AWS Organizations.

Siga estas etapas:

Abra o console do Gerenciador de Rede da AWS.
No painel de navegação, escolha Gerenciador de rede.
Escolha o Reachability Analyzer.
Selecione Criar e analisar caminho.
Insira as informações a seguir para escolher a origem e o destino do caminho:
Em Conta de origem, selecione o ID da conta de origem.
Em Tipo de origem, selecione o tipo de recurso.
Em Origem, selecione o recurso específico.
Em Conta de destino, selecione o ID da conta de destino.
Em Tipo de destino, selecione o tipo de recurso.
Em Origem, escolha o recurso específico.
Escolha Analisar caminho.
Analise os resultados.

Se o caminho estiver Acessível, a configuração de rede está correta. Se o caminho estiver Não acessível, modifique as rotas e regras de segurança para permitir o tráfego.

Verifique os fluxos de tráfego com os Logs de fluxo da VPC

Antes de começar, crie um log de fluxo de VPC. A prática recomendada é usar um formato personalizado que inclua os campos pkt-srcaddr e pkt-dstaddr. Os campos pkt-srcaddr e pkt-dstaddr nos logs de fluxo da VPC mostram o tráfego com os endereços IP do host de origem e destino. O srcaddr e dstaddr padrão mostram endereços IP da interface de rede intermediária.

Use os Logs de fluxo da VPC para identificar o tráfego aceito e rejeitado entre VPCs que se conectam por meio do gateway de trânsito.

Para analisar os logs de fluxo, siga estas etapas:

Abra o console do Amazon CloudWatch.
No painel de navegação, selecione Logs e, depois, selecione Log Insights.
Na lista suspensa Escopo de consulta, selecione o grupo de logs do fluxo de VPC. Em seguida, pesquise o ID da interface de rede elástica para encontrar o recurso de origem e destino.

Execute o exemplo de consulta a seguir para filtrar os logs por endereços IP de origem e destino, bem como identificar o tráfego aceito e rejeitado entre VPCs:

parse @message " *************************" as version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus, vpcid, subnetid, instanceid, tcpflags, type, pktsrcaddr, pktdstaddr, pktsrcawsservice, pktdstawsservice, flowdirection, trafficpath|filter (pktsrcaddr='SOURCE-IP-ADDRESS’ and pktdstaddr=‘DESTINATION-IP-ADDRESS’)|limit 100

Observação: substitua ************************ e os nomes dos campos para corresponder ao formato selecionado ao criar os logs de fluxo da VPC. O número de asteriscos e campos varia conforme o formato de log escolhido. Substitua SOURCE-IP-ADDRESS pelo endereço IP de origem e DESTINATION-IP-ADDRESS pelo endereço IP de destino.

Teste a conectividade entre instâncias do Amazon EC2

Execute os comandos a seguir para fazer testes de conectividade entre instâncias do EC2 que se conectam por meio do gateway de trânsito.

Observação: nos comandos a seguir, substitua DESTINATION-PRIVATE-IP pelo endereço IP privado do destino e PORT pelo número de porta que você quer testar.

Execute o seguinte comando de ping do ICMP:

ping DESTINATION-PRIVATE-IP

Execute o seguinte comando telnet para testar as portas TCP:

telnet DESTINATION-PRIVATE-IP PORT

Execute o seguinte comando curl para fazer um teste de HTTP:

curl -v http://DESTINATION_PRIVATE_IP:PORT

Se houver falha nos testes, faça o seguinte:

Verifique se as tabelas de rotas de ambas as VPCs incluem entradas que apontam para o gateway de trânsito como destino dos blocos CIDR correspondentes.
Verifique se a tabela de rotas do gateway de trânsito inclui as entradas para ambas as VPCs e se as associações com os anexos do gateway de trânsito estão corretas.
Verifique se os grupos de segurança permitem tráfego de entrada e saída entre instâncias.
Verifique se as ACLs de rede nas sub-redes permitem o tráfego necessário.
Se você tiver um gateway de trânsito compartilhado, verifique se o compartilhou corretamente com a conta de destino.

Informações relacionadas

Como faço para compartilhar meu gateway de trânsito com outra conta ou dentro de uma organização?

How Reachability Analyzer works (Como funciona o Reachability Analyzer)

Transit gateway route tables in AWS Transit Gateway (Tabelas de rotas do gateway de trânsito no AWS Transit Gateway)

Tópicos: Networking & Content Delivery
Tags: AWS Transit Gateway
Idioma: Português

AWS OFICIALAtualizada há 5 meses

Sem comentários

Conteúdo relevante

Erro em restauração de banco do S3 para o RDS SQL Server entre contas - "Access Denied" em Restore Cross-Account
Resposta aceita
Rafael Pinheiro
feita há 7 meses
Conta Free com problema.
Anderson Rodrigues
feita há 7 meses
Não consigo me logar pela conta principal
Lince Web
feita há um ano
Pagamento por PIX não reativou minha conta
User-1353054
feita há 8 meses
Como criar um novo Cluster com a conta Free Tier?
User-7725420
feita há 8 meses
Como soluciono problemas de conectividade de VPC para VPC por meio de um gateway de trânsito?
AWS OFICIALAtualizada há 4 meses
Como soluciono problemas de conectividade de rede entre recursos da Amazon VPC em contas diferentes?
AWS OFICIALAtualizada há 8 meses
Como soluciono problemas de conectividade do Gateway de Trânsito com dispositivos virtuais de terceiros em execução em uma VPC?
AWS OFICIALAtualizada há um ano
Como soluciono problemas de conectividade entre recursos on-premises e VPC por meio do Gateway de Trânsito?
AWS OFICIALAtualizada há um ano
Por que as cobranças de serviço na fatura da AWS não correspondem às cobranças no AWS Cost Explorer ou no AWS Cost and Usage Report?
ESPECIALISTA
Caio Correa
publicada há 24 dias