Wie behebe ich Fehler bei der On-Premises-zu-VPC-Konnektivität über ein Transit-Gateway?

Letzte Aktualisierung: 27.07.2022

Ich habe eine AWS-Direct-Connect- oder AWS-Site-to-Site-VPN-Verbindung, die auf AWS Transit Gateway endet, wobei Amazon Virtual Private Cloud (Amazon VPC) an dasselbe Transit-Gateway angeschlossen ist. Es treten jedoch Verbindungsprobleme zwischen meinen lokalen Verbindungen und der Amazon VPC auf. Wie kann ich dieses Problem beheben?

Kurzbeschreibung

Zur Fehlerbehebung bei Verbindungen zwischen einer AWS-Direct-Connect- oder AWS Site-to-Site-VPN-Verbindung, die auf AWS Transit Gateway endet und Amazon Virtual Private Cloud (Amazon VPC) an dasselbe Transit-Gateway angeschlossen ist, können Sie:

  • Die Routing-Konfiguration für das Transit-Gateway, die VPC und die Amazon-EC2-Instance überprüfen.
  • Verwenden von Route Analyzer in AWS Network Manager

Auflösung

Routing-Konfigurationen bestätigen

Konfiguration der Amazon-VPC-Subnetz-Routentabelle überprüfen

  1. Öffnen Sie die Amazon-VPC-Konsole.
  2. Wählen Sie im Navigationsbereich Routing-Tabellen aus.
  3. Wählen Sie die Routing-Tabelle aus, die von Ihrer Amazon-Elastic-Compute-Cloud-Quellinstance (Amazon EC2) verwendet wird.
  4. Wählen Sie die Registerkarte Routen.
  5. Stellen Sie sicher, dass es eine Route gibt, bei der Ziel auf lokales Netzwerk festgelegt ist.
  6. Stellen Sie sicher, dass ein Ziel mit dem Wert Transit Gateway ID vorhanden ist.

Überprüfen Sie die Availability Zones für den Transit-Gateway-VPC-Anhang

  1. Öffnen Sie die Amazon-VPC-Konsole.
  2. Wählen Sie Transit-Gateway-Anhänge aus.
  3. Wählen Sie VPC-Anhang aus.
  4. Überprüfen Sie unter Details die Subnetz-IDs. Vergewissern Sie sich, dass ein Subnetz aus der Availability Zone Ihrer EC2-Instance ausgewählt ist.
  5. Wenn kein Subnetz aus der EC2-Quellinstance ausgewählt ist, wählen Sie Aktionen aus. Ändern Sie dann Ihren VPC-Anhang und wählen Sie ein Subnetz aus der Availability Zone Ihrer EC2-Instance aus.
    Hinweis: Das Hinzufügen oder Ändern eines VPC-Anhang-Subnetzes kann sich auf den Datenverkehr auswirken, während sich die Anlage im Status Ändern befindet.

Überprüfen Sie die dem VPC-Anhang zugeordnete Transit-Gateway-Routing-Tabelle

  1. Öffnen Sie die Amazon-VPC-Konsole.
  2. Wählen Sie Transit-Gateway-Routing-Tabellen aus.
  3. Wählen Sie die Routing-Tabelle, die dem VPC-Anhang zugeordnet ist.
  4. Bestätigen Sie auf der Registerkarte Routen, dass es eine Route für ein lokales Netzwerk mit dem ZielwertDXGW/VPN-Anhang gibt.
  5. Wenn Sie ein Site-to-Site-VPN mit statischem Routing verwenden:Fügen Sie eine statische Route für das lokale Netzwerk mit dem Ziel des VPN-Anhangs hinzu.

Überprüfen Sie die Transit Gateway-Routing-Tabelle, die dem AWS Direct Connect-Gateway-Anhang oder VPN-Anhang entspricht

  1. Öffnen Sie die Amazon-VPC-Konsole.
  2. Wählen Sie Transit-Gateway-Routing-Tabellen aus.
  3. Wählen Sie die Routing-Tabelle aus, die dem AWS-Direct-Connect-Gateway-Anhang
    -oder-
    Wählen Sie die Routing-Tabelle aus, die mit dem VPN-Anhang verknüpft ist.
  4. Vergewissern Sie sich auf der Registerkarte Routen, dass es eine Route für den IP-Bereich der Quell-VPC mit einem Ziel des TGW-VPC-Anhangs gibt, der der Quell-VPC entspricht.

Überprüfen Sie die zulässigen Präfixe, die für die Direct-Connect-Gateway-Zuordnung konfiguriert sind

  1. Öffnen Sie die AWS-Direct-Connect-Konsole.
  2. Wählen Sie im Navigationsbereich Direct-Connect Gateways aus.
  3. Wählen Sie das AWS Direct Connect Gateway, das mit Transit Gateway verknüpft ist.
  4. Stellen Sie unter Gateway-Zuordnung sicher, dass die zulässigen Präfixe einen Quell-VPC-IP-Bereich haben.

Vergewissern Sie sich, dass die Sicherheitsgruppe und die Network Access Control List (ACL) der Amazon-EC2-Instance den entsprechenden Datenverkehr zulassen

  1. Öffnen Sie die Amazon-EC2-Konsole.
  2. Wählen Sie im Navigationsbereich Instances aus.
  3. Wählen Sie die Instance aus, in der Sie den Konnektivitätstest durchführen.
  4. Wählen Sie die Registerkarte Sicherheit aus.
  5. Stellen Sie sicher, dass die Regeln für eingehenden Datenverkehr und die Regeln für ausgehenden Datenverkehr zu und von Ihrem lokalen Netzwerk zulassen.
  6. Öffnen Sie die Amazon-VPC-Konsole.
  7. Wählen Sie im Navigationsbereich Netzwerk-ACLs.
  8. Wählen Sie die Netzwerk-ACL aus, die dem Subnetz zugeordnet ist, in dem Sie die Instance (Quelle/Ziel) haben.
  9. Wählen Sie die Regeln für eingehenden Datenverkehr und die Regeln für ausgehenden Datenverkehr aus. Stellen Sie sicher, dass Datenverkehr von und zu Ihrem lokalen Netzwerk zulässig ist.

Bestätigen Sie, dass die Netzwerk-ACL, die der Transit-Gateway-Netzwerkschnittstelle zugeordnet ist, angemessenen Datenverkehr zulässt

  1. Öffnen Sie die Amazon-EC2-Konsole.
  2. Wählen Sie im Navigationsbereich Netzwerkschnittstellen aus.
  3. Geben Sie in der Suchleiste Transit Gateway ein. Alle Netzwerkschnittstellen des Transit-Gateways werden angezeigt. Beachten Sie die Subnetz-ID, die mit dem Speicherort verknüpft ist, an dem die Transit-Gateway-Schnittstellen erstellt wurden.
  4. Öffnen Sie die Amazon-VPC-Konsole.
  5. Wählen Sie im Navigationsbereich Netzwerk-ACLs.
  6. Geben Sie in der Suchleiste die Subnetz-ID ein, die Sie in Schritt 3 notiert haben. Die Ergebnisse zeigen die Netzwerk-ACL, die dem Subnetz zugeordnet ist.
  7. Überprüfen Sie die Regeln für eingehenden Datenverkehr und die Regeln für ausgehenden Datenverkehr der Netzwerk-ACL, um sicherzustellen, dass sie den IP-Bereich der Quell-VPC-Quelle und das lokale Netzwerk zulässt.

Bestätigen Sie, dass lokale Firewall-Geräte Datenverkehr von Amazon-VPC zulassen

Stellen Sie sicher, dass Ihre lokalen Firewall-Geräte über eine Regel für Eingangs- und Ausgangszulassungen für den Quell-VPC-IP-Bereich verfügen. Spezifische Anweisungen finden Sie in der Dokumentation Ihres Anbieters.

Route Analyzer verwenden

Voraussetzung: Führen Sie die Schritte unter Erste Schritte mit AWS Network Manager für Transit-Gateway-Netzwerke aus, bevor Sie fortfahren.

Nachdem Sie ein globales Netzwerk erstellt und Ihr Transit-Gateway registriert haben:

  1. Öffnen Sie die Amazon-VPC-Konsole.
  2. Wählen Sie im Navigationsbereich Netzwerkmanager.
  3. Wählen Sie das globale Netzwerk, in dem Ihr Transit-Gateway registriert ist.
  4. Wählen Sie im Navigationsbereich Transit-Gateway-Netzwerk aus. Wählen Sie dann Route Analyzer.
  5. Geben Sie die Quell- und Zielinformationen nach Bedarf ein. Stellen Sie sicher, dass sowohl Quelle als auch Ziel dasselbe Transit-Gateway haben.
  6. Wählen Sie Routenanalyse ausführen.

Route Analyzer führt Routing-Analysen durch und zeigt den Status Verbunden oder Nicht verbunden an. Wenn der Status Nicht verbunden lautet, gibt Ihnen Route Analyzer eine Routing-Empfehlung. Verwenden Sie die Empfehlungen, um die Routing-Probleme zu beheben, und führen Sie den Test erneut aus, um die Konnektivität zu bestätigen. Wenn das Verbindungsproblem weiterhin besteht, finden Sie im Abschnitt Bestätigen Sie Ihre Routing-Konfigurationen für weitere Schritte zur Fehlerbehebung.