Comment résoudre les problèmes de connectivité entre les sites et les VPC par le biais de la passerelle de transit ?

Dernière mise à jour : 27/07/2022

J'ai une connexion AWS Direct Connect ou AWS Site-to-Site VPN qui se termine sur AWS Transit Gateway avec Amazon Virtual Private Cloud (Amazon VPC) connecté à la même passerelle de transit. Toutefois, je rencontre des problèmes de connectivité entre mes connexions sur site et Amazon VPC. Comment puis-je résoudre ce problème ?

Brève description

Pour résoudre le problème de connectivité entre la connexion AWS Direct Connect ou AWS Site-to-Site VPN qui se termine sur AWS Transit Gateway avec Amazon Virtual Private Cloud (Amazon VPC) connecté à la même passerelle de transit, vous pouvez :

  • Vérifiez la configuration du routage pour la passerelle de transit, le VPC et l'instance Amazon EC2.
  • Utiliser Route Analyzer dans AWS Network Manager

Résolution

Confirmez vos configurations de routage

Vérifiez la configuration de la table de routage du sous-réseau Amazon VPC

  1. Ouvrez la console Amazon VPC.
  2. Dans le volet de navigation, choisissez Tables de routage.
  3. Sélectionnez la table de routage utilisée par votre instance Amazon Elastic Compute Cloud (Amazon EC2) source.
  4. Choisissez l'onglet Routes.
  5. Vérifiez qu'il existe une route avec une destination définie sur le réseau sur site.
  6. Vérifiez qu'il existe une cible avec la valeur d'ID de passerelle de transit.

Vérifiez les zones de disponibilité pour l'attachement VPC de la passerelle de transit.

  1. Ouvrez la console Amazon VPC.
  2. Choisissez l'attachement de la passerelle de transit.
  3. Sélectionnez l'attachement VPC.
  4. Sous Détails, vérifiez les ID de sous-réseau. Vérifiez qu'un sous-réseau de la zone de disponibilité de votre instance EC2 est sélectionné.
  5. Si aucun sous-réseau de l'instance EC2 source n'est sélectionné, choisissez Actions. Ensuite, modifiez votre attachement VPC, et sélectionnez un sous-réseau de la zone de disponibilité de votre instance EC2.
    Remarque : L'ajout ou la modification d'un sous-réseau d'attachement VPC peut avoir un impact sur le trafic de données pendant que l'attachement est dans un état de modification.

Vérifiez la table de routage de la passerelle de transit associée à l'attachement VPC.

  1. Ouvrez la console Amazon VPC.
  2. Sélectionnez les tables de routage de passerelle de transit.
  3. Sélectionnez la table de routage associée à l'attachement VPC.
  4. Dans l'onglet Routes, confirmez qu'il existe une route pour le réseau sur site avec une valeur cible de l'attachement DXGW/VPN.
  5. Si vous utilisez un Site-to-Site VPN avec routage statique : ajouter une route statique pour le réseau sur site avec la cible de l'attachement VPN.

Vérifiez la table de routage de la passerelle de transit associée à l'attachement de passerelle AWS Direct Connect ou à l'attachement VPN.

  1. Ouvrez la console Amazon VPC.
  2. Sélectionnez les tables de routage de passerelle de transit.
  3. Sélectionnez la table de routage associée à l'attachement de la passerelle AWS Direct Connect
    -ou-
    Sélectionnez la table de routage associée à l'attachement VPN.
  4. Dans l'onglet Routes, confirmez qu'il existe une route pour la plage IP du VPC source avec une cible d'attachement TGW VPC qui correspond au VPC source.

Vérifiez les préfixes autorisés configurés sur la passerelle Direct Connect à l'association de la passerelle de transit

  1. Ouvrez la console AWS Direct Connect.
  2. Dans le volet de navigation, choisissez les passerelles Direct Connect.
  3. Sélectionnez la passerelle AWS Direct Connect associée à la passerelle de transit.
  4. Sous Association de passerelle, vérifiez que les préfixes autorisés ont une plage IP du VPC source.

Vérifiez que le groupe de sécurité et la liste de contrôle d'accès réseau (ACL) de l'instance Amazon EC2 autorisent le trafic approprié

  1. Ouvrez la console Amazon EC2.
  2. Dans le volet de navigation, choisissez Instances.
  3. Sélectionnez l'instance dans laquelle vous effectuez le test de connectivité.
  4. Choisissez l'onglet Sécurité.
  5. Vérifiez que les règles entrantes et sortantes autorisent le trafic vers et depuis votre réseau sur site.
  6. Ouvrez la console Amazon VPC.
  7. Dans le volet de navigation, sélectionnez Listes ACL réseau.
  8. Sélectionnez la liste ACL réseau associée au sous-réseau où se trouve l'instance (Source/Destination).
  9. Sélectionnez les règles entrantes et sortantes. Vérifiez que le trafic est autorisé vers et depuis votre réseau sur site.

Vérifier que la liste ACL réseau associée à l'interface réseau de passerelle de transit autorise le trafic approprié

  1. Ouvrez la console Amazon EC2.
  2. Dans le volet de navigation, sélectionnez Interfaces réseau.
  3. Dans la barre de recherche, saisissez passerelle de transit. Toutes les interfaces réseau de la passerelle de transit s'affichent. Notez l'ID de sous-réseau associé à l'emplacement où les interfaces de passerelle de transit ont été créées.
  4. Ouvrez la console Amazon VPC.
  5. Dans le volet de navigation, sélectionnez Listes ACL réseau.
  6. Dans la barre de recherche, saisissez l'ID de sous-réseau que vous avez noté à l'étape 3. Les résultats affichent la liste ACL réseau qui est associée au sous-réseau.
  7. Vérifiez les règles entrantes et sortantes de la liste ACL réseau pour vous assurer qu'elle autorise la plage IP du VPC source et le réseau sur site.

Vérifiez que les périphériques de pare-feu sur site autorisent le trafic d'Amazon VPC

Vérifiez que vos périphériques de pare-feu sur site disposent d'une règle d'autorisation d'entrée et de sortie pour la plage IP du VPC source. Référez-vous à la documentation de votre fournisseur pour des instructions spécifiques.

Utiliser Route Analyzer

Prérequis : Réalisez les étapes indiquées dans la rubrique Démarrer avec AWS Network Manager pour les réseaux de la passerelle de transit avant de poursuivre.

Après avoir créé un réseau mondial et enregistré votre passerelle de transit :

  1. Accédez à la console Amazon VPC.
  2. Dans le volet de navigation, sélectionnez Network Manager.
  3. Choisissez le réseau mondial sur lequel votre passerelle de transit est enregistrée.
  4. Dans le volet de navigation, choisissez Réseau de passerelles de transit. Ensuite, choisissez Route Analyzer.
  5. Saisissez les informations relatives à la source et à la destination selon les besoins. Assurez-vous que la source et la destination ont la même passerelle de transit.
  6. Choisissez Exécuter l'analyse de routage.

Route Analyzer effectue l'analyse du routage et indique un statut Connecté ou Non Connecté. Si le statut est Non connecté, alors Route Analyzer vous propose une recommandation de routage. Suivez les recommandations pour résoudre les problèmes de routage, puis exécutez à nouveau le test pour confirmer la connectivité. Si le problème de connectivité persiste, reportez-vous à la section Confirmez vos configurations de routage pour d'autres étapes de résolution des problèmes.