如何通过 Transit Gateway 对 VPC 到 VPC 的连接进行故障查?
上次更新日期:2020 年 10 月 8 日
我的 Virtual Private Cloud (VPC) 都连接到同一个 AWS Transit Gateway。但是,我在两个 VPC 之间建立连接时遇到了问题。我应该如何排查此问题?
简短描述
要对连接到同一 AWS Transit Gateway 的两个 VPC 之间的连接进行故障排除,请检查以下内容:
- 确认这两个 VPC 连接到同一个 Transit Gateway。
- 确认 VPC 挂载关联了正确的 Transit Gateway 路由表。
- 确认远程 VPC 的路由位于 VPC 路由表中,且网关设置为“Transit Gateway”。
- 确认 Amazon Elastic Compute Cloud (Amazon EC2) 实例的安全组和网络访问控制列表 (ACL) 允许流量通过。
- 确认与 Transit Gateway 网络接口关联的网络 ACL 允许流量通过。
解决方法
确认这两个 VPC 连接到同一个 Transit Gateway
- 打开 Amazon Virtual Private Cloud (Amazon VPC) 控制台。
- 从导航窗格中选择 Transit Gateway 挂载。
- 验证 VPC 挂载是否关联了相同的 Transit Gateway ID。
确认 VPC 挂载关联了正确的 Transit Gateway 路由表
- 选择 Transit Gateway 路由表。
- 从列表中选择路由表。
- 选择 Routes(路由)选项卡。
- 验证 VPC CIDR 块是否存在路由。
确认远程 VPC 的路由位于 VPC 路由表中,且网关设置为“Transit Gateway”
- 打开 Amazon VPC 控制台。
- 从导航窗格中,选择 Route Tables(路由表)。
- 选择实例使用的路由表。
- 选择 Routes(路由)选项卡。
- 验证 Destination(目标)下是否有远程 VPC CIDR 块的路由。然后,验证 Destination(目标)是否设置为 Transit Gateway ID。
确认 Amazon EC2 实例的安全组和网络访问控制列表 (ACL) 允许流量通过
- 打开 Amazon EC2 控制台。
- 从导航窗格中,选择 Instances(实例)。
- 选择要执行连通性测试的实例。
- 选择 Security(安全性)选项卡。
- 验证入站规则和出站规则是否允许流量通过。
- 打开 Amazon VPC 控制台。
- 在导航窗格中,选择 Network ACLs(网络 ACL)。
- 选择与您拥有实例的子网关联的网络 ACL(源/目标)。
- 选择入站规则和出站规则以验证规则是否允许流量通过。
确认与 Transit Gateway 网络接口关联的网络 ACL 允许流量通过
- 打开 Amazon EC2 控制台。
- 在导航窗格中,选择 Network Interfaces(网络接口)。
- 在搜索栏中,输入 Transit Gateway。此时系统将显示 Transit Gateway 的所有网络接口。记下与创建 Transit Gateway 接口的位置相关联的子网 ID。
- 打开 Amazon VPC 控制台。
- 在导航窗格中,选择 Network ACLs(网络 ACL)。
- 提供您在第 3 步中记下的子网 ID。此操作会显示与子网关联的网络 ACL。
- 检查网络 ACL 的入站规则和出站规则,以验证它是否允许远程 VPC 流量通过。