如何通过 Transit Gateway 对本地资源与 Amazon VPC 之间的连接问题进行故障排除？

解决方法

要通过 Transit Gateway 对本地资源与 VPC 之间的连接问题进行故障排除，请完成以下操作：

检查实例安全组和网络 ACL 规则

完成以下步骤：

1. 打开 Amazon Elastic Compute Cloud (Amazon EC2) 控制台。
2. 在导航窗格中，选择 Instances（实例）。
3. 选择 Amazon EC2 实例。
4. 选择 Security（安全）选项卡。
5. 检查 Inbound rules（入站规则）和 Outbound rules（出站规则）是否允许流量进出您的本地网络。
6. 打开 Amazon VPC 控制台。
7. 在导航窗格中，选择 Network ACLs（网络 ACL）。
8. 选择您的实例所在子网的网络访问控制列表（网络 ACL）。
9. 选择 Inbound rules（入站规则）和 Outbound rules（出站规则）。然后，检查这些规则是否允许流量进出您的本地网络。

检查中转网关连接

完成以下步骤：

1. 在导航窗格中，选择 Transit Gateway Attachments（中转网关连接）。
2. 选择 VPC 连接。
3. 在 Details（详细信息）下，检查 VPC 连接是否包含您的 Amazon EC2 实例可用区的子网 ID。
4. 如果 VPC 连接不包含实例可用区的子网，请从实例的可用区中选择一个子网。有关说明，请参阅在 AWS Transit Gateway 中修改 VPC 连接。
   **注意：**添加或修改 VPC 连接子网时，修改状态可能会影响数据流量。

检查中转网关接口的网络 ACL

完成以下步骤：

1. 打开 Amazon EC2 控制台。
2. 在导航窗格中，选择 Network Interfaces（网络接口）。
3. 在搜索栏中，输入 Transit Gateway。
4. 记下 Transit Gateway 创建接口时使用的 subnet IDs（子网 ID）。
5. 打开 Amazon VPC 控制台。
6. 在导航窗格中，选择 Network ACLs（网络 ACL）。
7. 在搜索栏中，输入您之前记下的子网 ID。结果将显示该子网的网络 ACL。
8. 检查 Inbound rules（入站规则）和 Outbound rules（出站规则）是否允许 VPC CIDR 数据块和本地网络 CIDR 数据块。
9. 对与 VPC 关联的每个中转网关网络接口重复步骤 6-8。

**注意：**来自 VPN 或 Direct Connect 连接的流量可能会通过与您实例所在可用区不同的可用区或子网进入 VPC。检查具有网络接口的所有子网的网络 ACL。有关网络 ACL 规则应用程序的更多信息，请参阅 AWS Transit Gateway 中的中转网关的网络 ACL。

验证子网路由表配置

完成以下步骤：

1. 打开 Amazon VPC 控制台。
2. 在导航窗格中，选择 Route Tables（路由表）。
3. 选择源实例的路由表。
4. 选择 Routes（路由）选项卡。
5. 检查 Destination（目的地）是否显示本地网络。
6. 检查 Target（目标）是否显示中转网关 ID。

检查是否存在指向中转网关的目标 CIDR 数据块的路由条目。如果您没有看到路由条目，请在相应的路由表中添加指向中转网关的条目。

检查 Transit Gateway 路由表中是否有 VPC 连接

完成以下步骤：

1. 在导航窗格中，选择 Transit Gateway Route Tables（中转网关路由表）。
2. 选择与 VPC 连接关联的路由表。
3. 在 Routes（路由）选项卡中，检查是否存在本地网络的路由。此外，检查 Target（目标）是否显示 DXGW/VPN attachment（DXGW/VPN 连接）。
4. 如果您使用包含静态路由的 Site-to-Site VPN，请为本地网络创建静态路由，并选择 VPN attachment（VPN 连接）作为目标。

检查 Direct Connect 网关或 VPN 连接的 Transit Gateway 路由表

完成以下步骤：

1. 在导航窗格中，选择 Transit Gateway Route Tables（中转网关路由表）。
2. 选择与 AWS Direct Connect 网关或 VPN 连接关联的路由表。
3. 在 Routes（路由）选项卡上，检查是否存在 VPC CIDR 数据块的路由。然后，检查该路由的目标是否是正确的中转网关 VPC 连接。

检查 Direct Connect 网关的允许的前缀

完成以下步骤：

1. 打开 Direct Connect 控制台。
2. 在导航窗格中，选择 Direct Connect gateways（Direct Connect 网关）。
3. 选择与中转网关关联的 Direct Connect 网关。
4. 在 Gateway association（网关关联）下，验证 Allowed prefixes（允许的前缀）字段是否包含您的 VPC CIDR 数据块。

检查 Network Firewall 配置或第三方防火墙设备配置

验证您是否实施了集中检查模型来检查南北向流量。如果您实施了集中检查模型，请验证 AWS Network Firewall 是否有允许所有必要流量的 Suricata 规则。有关 Suricata 的更多信息，请参阅 Suricata 官方网站上的 Suricata。有关集中检查模型的更多信息，请参阅 AWS Network Firewall 的部署模型和 VPC 到本地的流量检查。

如果您使用第三方虚拟设备进行检查，请确保防火墙规则允许所有必要的流量。

检查本地防火墙设备的 VPC 流量规则

验证您的本地防火墙设备是否允许两个网络之间的所有必要流量。有关说明，请参考您的防火墙供应商文档。

检查本地服务器的防火墙

如果本地服务器使用操作系统 (OS) 防火墙，请验证其是否允许流量进出 VPC CIDR 数据块。

使用路由分析器分析路由

**先决条件：**使用 AWS 全球网络创建全球网络。

要使用 AWS Network Manager 的路由分析器分析路由，请完成以下步骤

1. 打开 Amazon VPC 控制台。
2. 在导航窗格中，选择 Network Manager。
3. 选择注册中转网关时使用的全球网络。
4. 在导航窗格中，选择 Transit Gateway Network（中转网关网络）。然后，选择 Route Analyzer（路由分析器）。
5. 对于 Source（源）和 Destination（目标），输入中转网关、中转网关连接和 IP 地址。确保在 Source（源）和 Destination（目标）字段中使用相同的中转网关。
6. 选择 Run route analysis（运行路由分析）。

**注意：**运行路由分析后，路由分析器会显示 Connected（已连接）或 Not Connected（未连接）状态。如果状态为 Not Connected（未连接），请应用路由分析器提供的路由建议，然后再次运行分析。

相关信息

如何通过中转网关对 VPC 到 VPC 的连接进行故障排除？

使用 AWS Transit Gateway Network Manager 路由分析器诊断流量中断