Comment puis-je résoudre les problèmes de connectivité sur les points de terminaison d'un VPC de ma passerelle et de mon interface ?

Date de la dernière mise à jour : 05/04/2022

Comment puis-je résoudre les problèmes de connectivité sur les points de terminaison d'un Amazon Virtual Private Cloud (Amazon VPC) de ma passerelle et de mon interface ?

Résolution

La résolution suivante couvre divers paramètres importants pour établir des connexions de bout en bout sur les points de terminaison d'un VPC. Des étapes permettant de résoudre les problèmes de connectivité sont également incluses.

Les points de terminaison d'un VPC de passerelle

Les points de terminaison d'un VPC de passerelle vous permettent de vous connecter à Amazon Simple Storage Service (Amazon S3) et à Amazon DynamoDB en privé à partir de votre VPC.

Lors de l'utilisation de points de terminaison de passerelle, les quatre facteurs suivants affectent la connectivité aux services respectifs :

  • La politique de point de terminaison.
  • La liste de contrôle d'accès (ACL) réseau du sous-réseau du VPC.
  • La table de routage du sous-réseau source.
  • Les groupes de sécurité source Amazon Elastic Compute Cloud (Amazon EC2) ou AWS Lambda.

Politique de point de terminaison

Lorsque vous utilisez une politique de point de terminaison personnalisée, assurez-vous que la politique associée au point de terminaison autorise l'accès nécessaire pour effectuer des actions par rapport au service. La politique de point de terminaison par défaut permet un accès complet au service.

Pour plus d'informations, consultez Politiques de point de terminaison pour points de terminaison de passerelle.

Liste de contrôle d'accès réseau du sous-réseau du VPC

Les listes de contrôle d'accès du réseau de sous-réseau doivent autoriser les connexions TCP entrantes et sortantes vers les CIDR S3 et DynamoDB au sein de la région AWS. Vous pouvez afficher les CIDR IP pour S3 et DynamoDB dans une région AWS donnée en exécutant la commande suivante à partir de votre AWS Command Line Interface (AWS CLI).

Remarque : en cas d'erreurs lors de l'exécution de commandes AWS CLI, vérifiez que vous utilisez la version la plus récente d'AWS CLI.

aws ec2 describe-prefix-lists --region <AWS Region>

Remarque : les CIDR d'adresses IP publiques pour les services AWS peuvent changer. Pour vous assurer que tous les CIDR sont autorisés dans les règles de la liste de contrôle d'accès réseau, réexécutez la commande précédente par intermittence pour rechercher de nouvelles plages CIDR.

Groupes de sécurité EC2 ou Lambda source

Les groupes de sécurité associés à la source qui initie la connectivité aux points de terminaison S3 et DynamoDB doivent permettre les opérations suivantes :

  • Connexions de sortie (sortantes) vers les CIDR IP publics.
    -ou-
  • L'ID de liste de préfixes pour S3 et DynamoDB dans la région AWS concernée respectivement.

Remarque : lors de la configuration du groupe de sécurité et des règles ACL réseau, reportez-vous aux documents sur les points de terminaison Amazon Simple Storage Service (Amazon S3) et DynamoDB pour vérifier les protocoles pris en charge. Utilisez ces informations pour y baser vos restrictions de trafic.

Table de routage du sous-réseau

Lors de la création du point de terminaison de la passerelle, sélectionnez les tables de routage sur lesquelles les acheminements vers le service seront installés. Assurez-vous que la table de routage source contient des itinéraires avec l'ID de liste de préfixes du service prévu pointant vers le point de terminaison d'un VPC de passerelle.

Confirmation du flux du trafic sur un point de terminaison de passerelle

Lorsque vous utilisez des points de terminaison d'un VPC de passerelle, vous pouvez exécuter tcptrace-route vers le port 80 ou 443 pour confirmer que le trafic circule sur le point de terminaison :

sudo tcptraceroute s3.us-east-1.amazonaws.com 80

traceroute to s3.us-east-1.amazonaws.com (52.217.85.238), 30 hops max, 60 byte packets
 1  * * *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  s3-1.amazonaws.com (52.217.85.238) <syn,ack>  0.797 ms  1.298 ms  0.821 ms

Dans la sortie précédente, aucun saut n'est observé, à l'exception de la destination du point de terminaison S3. Cela indique que le trafic passe par le point de terminaison de la passerelle de VPC. Si vous voyez plusieurs sauts publics sur la route d'acheminement TCP, cela signifie que le trafic passe par Internet.

Pour plus d'informations, consultez Pourquoi ne puis-je pas me connecter à un compartiment S3 à l'aide d'un point de terminaison d'un VPC de passerelle ?

Points de terminaison d'un VPC d'interface (AWS PrivateLink)

Lorsque vous travaillez avec des points de terminaison d'un VPC d'interface, vérifiez les points suivants :

Résolution de noms DNS

Pour les services AWS :

Lorsque les noms DNS privés sont activés, vous pouvez exécuter des appels d'API AWS sur les points de terminaison de service (par exemple, ec2.us-east-1.amazonaws.com). Ils correspondent aux adresses IP privées des interfaces de point de terminaison.

Si les noms DNS privés ne sont pas activés, vous pouvez exécuter les appels d'API en spécifiant explicitement le nom DNS du point de terminaison d'un VPC régional ou zonal.

Pour plus d'informations, consultez Pourquoi ne puis-je pas résoudre les noms de domaine de service pour un point de terminaison d'un VPC d'interface ?

Utilisez les commandes dig ou nslookup pour vérifier la résolution DNS du nom de point de terminaison d'un VPC d'interface auquel vous essayez de vous connecter.

Services de point de terminaison (services gérés par un partenaire ou par un client)

Assurez-vous qu'il existe des cibles dans le backend dans toutes les zones de disponibilité activées pour le Network Load Balancer du côté du fournisseur. Pour en savoir plus, voir Pourquoi ne suis-je pas en mesure de me connecter à un service de point de terminaison depuis mon point de terminaison d'interface dans un Amazon VPC ?

Par exemple, supposons que le Network Load Balancer est alloué pour servir dans deux zones de disponibilité, us-east-1a et us-east-1b. Allouez des cibles sur les deux zones de disponibilité. S'il n'y a aucune cible dans les zones de disponibilité, activez la répartition de charge entre zones pour répondre à toutes les demandes.

Politique de point de terminaison

La politique par défaut permet un accès complet au service. Lorsque vous utilisez une politique personnalisée, assurez-vous que la politique autorise l'accès pour effectuer les actions nécessaires sur le service.

Groupe de sécurité de point de terminaison d'un VPC

Avec les points de terminaison d'un VPC d'interface, vous pouvez associer des groupes de sécurité pour contrôler l'accès. Assurez-vous que les règles entrantes pour le groupe de sécurité autorisent la communication entre l'interface réseau du point de terminaison et les ressources (VPC ou sur site) qui accèdent au service.

Selon les ports sur lesquels le service accepte les connexions, autorisez les connexions à ce port et à ce protocole.

Exemple :

Le Network Load Balancer du service de point de terminaison écoute sur les ports TCP 6169 et 8443. Dans ce cas, autorisez le trafic TCP vers les ports 6169 et 8443 à partir des adresses source appropriées sur les règles entrantes du groupe de sécurité du point de terminaison d'un VPC.

Les règles sortantes du groupe de sécurité ne sont pas évaluées pour les points de terminaison d'interface. Vous pouvez donc laisser ces champs vides ou restreints.

ACL réseau de sous-réseau

Les ACL réseau de sous-réseau doivent autoriser les connexions entrantes et sortantes aux interfaces réseau Elastic du point de terminaison d'interface à partir des réseaux sources lors de la connexion depuis l'extérieur du VPC.

Pour en savoir plus, voir Comment configurer les groupes de sécurité et les ACL réseau lors de la création d'un point de terminaison d'interface VPC pour les services de point de terminaison ?

Routage

Les points de terminaison d'un VPC d'interface peuvent être utilisés pour accéder aux services en privé depuis AWS ou depuis un réseau sur site.

Lors de la connexion à partir du même VPC que le point de terminaison d'interface, le routage est pris en charge par l'acheminement local dans les tables de routage du sous-réseau. Aucune configuration de routage supplémentaire n'est donc nécessaire.

Si vous vous connectez au point de terminaison depuis l'extérieur du VPC (VPC entre régions ou réseau sur site), assurez-vous que la connectivité d'un ou de plusieurs réseaux source aux sous-réseaux d'interface réseau Elastic du point de terminaison d'un VPC d'interface peut être établie.

Test de connectivité aux points de terminaison d'un VPC d'interface

Pour tester si vous pouvez accéder au service à l'aide d'un point de terminaison d'interface, vous pouvez utiliser des outils de connectivité réseau sur les ports appropriés.

Voici un exemple de test de connectivité à un point de terminaison d'interface pour un service AWS :

telnet ec2.us-east-1.amazonaws.com 443
telnet PrivateIPofInterfaceEndpointENI 443

Voici un exemple de test de connectivité à un point de terminaison d'interface, en supposant que le fournisseur auquel vous vous connectez écoute sur le port 6169 :

telnet vpce-aaaabbbbcccc-dddd.vpce-svc-12345678.us-east-1.vpce.amazonaws.com 6169
telnet PrivateIPofInterfaceEndpointENI 6169

Si vous utilisez des noms de domaine, assurez-vous que la connexion est établie avec la bonne adresse IP et si elle aboutit. Pour la vérification SSL, vous pouvez utiliser les outils curl ou OpenSSL pour les tests.

Pour les services de point de terminaison, vous pouvez contacter le fournisseur afin de résoudre les problèmes liés au Network Load Balancer.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?