¿Cómo se pueden solucionar los problemas de conectividad en los puntos de conexión de VPC de la puerta de enlace y la interfaz?

Actualización más reciente: 05 de abril de 2022

¿Cómo se pueden solucionar los problemas de conectividad en los puntos de conexión de la nube privada virtual de Amazon (Amazon VPC) de la puerta de enlace y la interfaz?

Resolución

La siguiente resolución abarca varios parámetros que son importantes para establecer conexiones de extremo a extremo a través de los puntos de conexión de VPC. También se incluyen los pasos para la resolución de problemas de conectividad.

Puntos de conexión de VPC de la puerta de enlace

Los puntos de conexión de VPC de la puerta de enlace permiten establecer una conexión con Amazon Simple Storage Service (Amazon S3) y Amazon DynamoDB de forma privada desde la VPC.

Cuando se utilizan puntos de conexión de la puerta de enlace, existen cuatro factores que afectan a la conectividad con los respectivos servicios:

  • La política del punto de conexión,
  • La lista de control de acceso (ACL) de red de la subred de la VPC,
  • La tabla de enrutamiento de la subred de origen,
  • Los grupos de seguridad de origen de Amazon Elastic Compute Cloud (Amazon EC2) o AWS Lambda,

Política de punto de conexión

Al utilizar una política de punto de conexión personalizada, asegúrese de que la política asociada al punto de conexión permita el acceso necesario para realizar acciones con respecto al servicio. La política de punto de conexión predeterminada permite el acceso completo al servicio.

Para obtener más información, consulte Políticas de puntos de conexión para puntos de conexión de puerta de enlace.

Lista de control de acceso de red de la subred de la VPC

Las ACL de red de la subred deben permitir las conexiones TCP entrantes y salientes a los CIDR de S3 y DynamoDB dentro de la región de AWS. Puede ver los CIDR de IP para S3 y DynamoDB en una región de AWS determinada mediante la ejecución del siguiente comando desde AWS Command Line Interface (AWS CLI).

Nota: Si aparecen errores al ejecutar los comandos de AWS CLI, asegúrese de que utiliza la versión más reciente de AWS CLI.

aws ec2 describe-prefix-lists --region <AWS Region>

Nota: Los CIDR de direcciones IP públicas para los servicios de AWS pueden cambiar. Para asegurarse de que cuenta con todos los CIDR permitidos en las reglas de la lista de control de acceso de red, vuelva a ejecutar el comando anterior de forma intermitente para comprobar si hay nuevos rangos de CIDR.

Grupos de seguridad de origen de EC2 o Lambda

Los grupos de seguridad asociados al origen que inicia la conectividad a los puntos de conexión de S3 y DynamoDB deben permitir lo siguiente:

  • Conexiones de salida (salientes) a los CIDR de IP públicas.
    De forma alternativa, realice lo siguiente:
  • El ID de la lista de prefijos para S3 y DynamoDB en la región de AWS en cuestión, respectivamente.

Nota: Al configurar las reglas de la ACL de red y el grupo de seguridad, consulte los documentos sobre los puntos de conexión de Amazon S3 y los puntos de conexión deDynamoDB para comprobar los protocolos compatibles. Utilice esta información como base para las restricciones de tráfico.

Tabla de enrutamiento de la subred

Al crear el punto de conexión de la puerta de enlace, seleccione las tablas de enrutamiento en las que se instalarán las rutas al servicio. Asegúrese de que la tabla de enrutamiento de origen cuente con rutas con el identificador de lista de prefijos del servicio deseado que señale al punto de conexión de VPC de la puerta de enlace.

Confirmación del flujo de tráfico en un punto de conexión de puerta de enlace

Al usar puntos de conexión de VPC de puerta de enlace, puede ejecutar tcptrace-route en el puerto 80 o 443 para confirmar que el tráfico fluye a través del punto de conexión:

sudo tcptraceroute s3.us-east-1.amazonaws.com 80

traceroute to s3.us-east-1.amazonaws.com (52.217.85.238), 30 hops max, 60 byte packets
 1  * * *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  s3-1.amazonaws.com (52.217.85.238) <syn,ack>  0.797 ms  1.298 ms  0.821 ms

En la salida anterior, no se ven saltos, excepto para el destino del punto de conexión de S3. Esto demuestra que el tráfico pasa a través del punto de conexión de puerta de enlace de VPC. Si se notan varios saltos públicos en la ruta de seguimiento TCP, significa que el tráfico pasa a través de Internet.

Para obtener más información, consulte ¿Por qué no se puede establecer conexión con un bucket de S3 mediante un punto de conexión de VPC de la puerta de enlace?

Puntos de conexión de VPC de interfaz (AWS PrivateLink)

Al trabajar conpuntos de conexión de VPC de interfaz, compruebe lo siguiente:

Resolución de nombres de DNS

Para los servicios de AWS:

Con los nombres de DNS privados activados, puede ejecutar llamadas a la API de AWS en los puntos de conexión del servicio (por ejemplo, ec2.us-east-1.amazonaws.com). Estos se resuelven en las IP privadas de las interfaces de punto de conexión.

Si no tiene activados los nombres de DNS privados, puede ejecutar las llamadas a la API si especifica explícitamente el nombre de DNS del punto de conexión de la VPC regional o zonal.

Para obtener más información, consulte ¿Por qué no se pueden resolver los nombres de dominio de servicio para un punto de conexión de VPC de interfaz?

Utilice los comandos dig o nslookup para verificar la resolución de DNS del nombre de punto de conexión de VPC de la interfaz al que se intenta conectar.

Servicios de punto de conexión (servicios administrados por socios o clientes)

Asegúrese de que haya destinos en el backend en todas las zonas de disponibilidad habilitadas para el Network Load Balancer del lado del proveedor. Para obtener más información, consulte ¿Por qué no se puede establecer conexión con un servicio de punto de conexión desde el punto de conexión de interfaz en Amazon VPC?

Por ejemplo, supongamos que Network Load Balancer se aprovisiona para atender dos zonas de disponibilidad, us-east-1a y us-east-1b. Aprovisione destinos en ambas zonas de disponibilidad. Si no hay destinos en las zonas de disponibilidad, active el balanceador de carga entre zonas para atender todas las solicitudes.

Política de punto de conexión

La política predeterminada permite el acceso completo al servicio. Al utilizar una política personalizada, asegúrese de que la política permita el acceso para realizar las acciones necesarias con respecto al servicio.

Grupo de seguridad de punto de conexión de VPC

Al utilizar puntos de conexión de VPC de interfaz, puede asociar grupos de seguridad para controlar el acceso. Asegúrese de que las reglas de entrada del grupo de seguridad permiten la comunicación entre la interfaz de red del punto de conexión y los recursos (VPC o en las instalaciones) que acceden al servicio.

En función de los puertos en los que el servicio acepta conexiones, permita las conexiones a ese puerto y protocolo.

Ejemplo:

El Network Load Balancer del servicio de punto de conexión escucha en los puertos TCP 6169 y 8443. En este caso, permita el tráfico TCP a los puertos 6169 y 8443 desde las direcciones de origen apropiadas en las reglas de entrada del grupo de seguridad de punto de conexión de VPC.

Las reglas de salida del grupo de seguridad no se evalúan para los puntos de conexión de la interfaz. Por lo tanto, puede dejarlas en blanco o restringidas.

ACL de red de subred

Las ACL de red de subred deben permitir conexiones entrantes y salientes a las interfaces de red elásticas de punto de conexión de la interfaz desde las redes de origen cuando se conectan desde fuera de la VPC.

Para obtener más información, consulte ¿Cómo se configuran las ACL de red y los grupos de seguridad al crear un punto de conexión de interfaz de VPC para servicios de punto de conexión?

Enrutamiento

Los puntos de conexión de VPC de interfaz se pueden usar para acceder a los servicios de forma privada desde AWS o desde una red en las instalaciones.

Cuando se establece conexión desde la misma VPC que el punto de conexión de la interfaz, la ruta local se encarga del enrutamiento en las tablas de enrutamiento de subred. Por lo tanto, no se necesitan configuraciones de enrutamiento adicionales.

Si se conecta al punto de conexión desde fuera de la VPC (VPC entre regiones o red en las instalaciones), asegúrese de que se pueda establecer la conectividad desde una o más redes de origen a las subredes de interfaz de red elástica de punto de conexión de VPC de la interfaz.

Probar la conectividad con los puntos de conexión de VPC de la interfaz

Para comprobar si se puede comunicar con el servicio mediante un punto de conexión de la interfaz, puede utilizar herramientas de conectividad de red con los puertos correspondientes.

El siguiente es un ejemplo de prueba de conectividad a un punto de conexión de interfaz para un servicio de AWS:

telnet ec2.us-east-1.amazonaws.com 443
telnet PrivateIPofInterfaceEndpointENI 443

El siguiente es un ejemplo de prueba de conectividad a un punto de conexión de interfaz, bajo el supuesto de que el proveedor con quien se establece la conexión escucha en el puerto 6169:

telnet vpce-aaaabbbbcccc-dddd.vpce-svc-12345678.us-east-1.vpce.amazonaws.com 6169
telnet PrivateIPofInterfaceEndpointENI 6169

Si utiliza nombres de dominio, asegúrese de que la conexión se realiza a la IP correcta, y de que tiene éxito. Para la verificación de SSL, puede utilizar las herramientas curl u OpenSSL para las pruebas.

En el caso de los servicios de punto de conexión, puede contactar al proveedor para solucionar el problema del Network Load Balancer.


¿Le resultó útil este artículo?


¿Necesita asistencia técnica o con la facturación?