Come posso risolvere i problemi di connettività on-premise-VPC utilizzando un gateway di transito?

Ultimo aggiornamento: 27/07/2022

Ho una connessione AWS Direct Connect o VPN sito-sito AWS che termina su AWS Transit Gateway con il Cloud privato virtuale Amazon (Amazon VPC) collegato allo stesso gateway di transito. Tuttavia, sto riscontrando problemi di connettività tra le mie connessioni on-premise e Amazon VPC. Come posso risolvere il problema?

Breve descrizione

Per risolvere i problemi di connettività tra la connessione AWS Direct Connect o VPN sito-sito AWS che termina su AWS Transit Gateway con il Cloud privato virtuale Amazon (Amazon VPC) collegato allo stesso gateway di transito, puoi:

  • Controllare la configurazione dell'instradamento per il gateway di transito, il VPC e l'istanza Amazon EC2.
  • Utilizzare Route Analyzer in AWS Network Manager.

Risoluzione

Verifica le informazioni di instradamento

Verifica la configurazione della tabella di instradamento della sottorete Amazon VPC

  1. Apri la console di Amazon VPC.
  2. Nel riquadro di navigazione, scegli Route Tables (Tabelle di instradamento).
  3. Seleziona la tabella di instradamento utilizzata dall'istanza Amazon Elastic Compute Cloud (Amazon EC2) di origine.
  4. Scegli la scheda Routes (Percorsi).
  5. Verifica che esista un percorso con il valore Destination (Destinazione) impostato su On-premises network (Rete on-premise).
  6. Verificare che sia presente un Target (Obiettivo) con il valore di Transit Gateway ID (ID del gateway di transito).

Verifica le zone di disponibilità per il collegamento VPC del gateway di transito

  1. Apri la console di Amazon VPC.
  2. Scegli Transit Gateway Attachments (Collegamenti del gateway di transito alla VPN).
  3. Scegli VPC attachment (Collegamento VPC).
  4. In Details (Dettagli), verifica i Subnet IDs (ID di sottorete). Verifica che sia selezionata una sottorete della zona di disponibilità dell'istanza EC2.
  5. Se non è selezionata una sottorete dell'istanza EC2 di origine, scegli Actions (Operazioni). Quindi, modifica il collegamento VPC e seleziona una sottorete dalla zona di disponibilità dell'istanza EC2.
    Nota: l'aggiunta o la modifica di una sottorete del collegamento VPC può influire sul traffico dati fintantoché il collegamento si trova nello stato Modifying (Modifica in corso).

Verifica la tabella di instradamento del gateway di transito associata al collegamento VPC.

  1. Apri la console di Amazon VPC.
  2. Scegli Transit Gateway Route Tables (Tabelle di instradamento del gateway di transito).
  3. Seleziona la tabella di instradamento associata al collegamento VPC.
  4. Nella scheda Routes (Percorsi), verifica che sia presente un percorso per On-premises network (Rete on-premise) con un valore Target (Obiettivo) di DXGW/VPN attachment (Collegamento DXGW/VPN).
  5. Se utilizzi una VPN site-site con instradamento statico: aggiungi un percorso statico per la rete on-premise con l'obiettivo VPN attachment (Collegamento VPN).

Verifica la tabella di instradamento del gateway di transito associata al collegamento gateway AWS Direct Connect o al collegamento VPN

  1. Apri la console di Amazon VPC.
  2. Scegli Transit Gateway Route Tables (Tabelle di instradamento del gateway di transito).
  3. Seleziona la tabella di instradamento associata al collegamento del gateway AWS Direct Connect
    -oppure-
    Seleziona la tabella di instradamento associata al collegamento VPN.
  4. Nella scheda Routes (Percorsi), verifica che sia presente un percorso per Source VPC IP range (Intervallo IP del VPC di origine) con un valore Target (Obiettivo) di TGW VPC attachment (Collegamento TGW VPC) corrispondente al VPC di origine.

Verifica i prefissi consentiti configurati nell'associazione del gateway Direct Connect al gateway di transito

  1. Apri la console di AWS Direct Connect.
  2. Nel pannello di navigazione, scegli Direct Connect Gateways (Gateway Direct Connect).
  3. Seleziona il gateway AWS Direct Connect associato al gateway di transito.
  4. In Gateway Association (Associazione gateway), verifica che Allowed Prefixes (Prefissi consentiti) disponga di un Source VPC IP Range (Intervallo IP del VPC di origine).

Verifica che il gruppo di sicurezza dell'istanza Amazon EC2 e la lista di controllo degli accessi (ACL) consentano il traffico appropriato

  1. Apri la console di Amazon EC2.
  2. Nel riquadro di navigazione, seleziona Instances (Istanze).
  3. Seleziona l'istanza in cui stai eseguendo il test di connettività.
  4. Seleziona la scheda Security (Sicurezza).
  5. Verifica che le Inbound rules (Regole in entrata) e le Outbound rules (Regole in uscita) consentano il traffico da e verso la rete on-premise.
  6. Apri la console di Amazon VPC.
  7. Nel riquadro di navigazione, scegli Network ACLs (ACL di rete).
  8. Seleziona l'ACL di rete associata alla sottorete in cui si trova l'istanza (origine/destinazione).
  9. Seleziona le regole Inbound (In entrata) e Outbound (In uscita). Verifica che il traffico sia consentito da e verso la tua rete on-premise.

Verifica che l'ACL di rete associata all'interfaccia di rete del gateway di transito consenta il traffico appropriato

  1. Apri la console di Amazon EC2.
  2. Nel riquadro di navigazione, scegli Network Interfaces (Interfacce di rete).
  3. Nella barra di ricerca, inserisci Transit Gateway (Gateway di transito). Tutte le interfacce di rete del gateway di transito vengono visualizzate. Annota il Subnet ID (ID sottorete) associato alla posizione in cui sono state create le interfacce del gateway di transito.
  4. Apri la console di Amazon VPC.
  5. Nel riquadro di navigazione, scegli Network ACLs (ACL di rete).
  6. Nella barra di ricerca, inserisci l'ID di sottorete annotato al passaggio 3. I risultati mostrano l'ACL di rete associato alla sottorete.
  7. Controlla le Inbound rules (Regole in entrata) e le Outbound rules (Regole in uscita) dell'ACL di rete per verificare che consenta l'intervallo IP del VPC di origine e la rete on-premise.

Verifica che i dispositivi firewall on-premise consentano il traffico proveniente da Amazon VPC

Verifica che i dispositivi Firewall on-premise dispongano di una regola di autorizzazione in ingresso e in uscita per l'intervallo IP del VPC di origine. Per istruzioni specifiche, fai riferimento alla documentazione del fornitore.

Usa Route Analyzer

Prerequisito: prima di continuare, completa la procedura descritta in Introduzione ad AWS Network Manager per le reti dei gateway di transito.

Dopo aver creato una rete globale e registrato il gateway di transito:

  1. Accedi alla console di Amazon VPC.
  2. Nel riquadro di navigazione, scegli Network Manager (Gestione di rete).
  3. Scegli la rete globale in cui è registrato il gateway di transito.
  4. Nel riquadro di navigazione, scegli Transit Gateway Network (Rete dei gateway di transito). Quindi, scegli Route Analyzer.
  5. Compila le informazioni relative a Source (Origine) e Destination (Destinazione) secondo necessità. Assicurati che sia l'origine sia la destinazione specifichino il medesimo gateway di transito.
  6. Scegli Run route analysis (Esegui analisi del percorso).

Route Analyzer esegue l'analisi dell'instradamento e riferisce lo stato Connected (Connesso) o Not Connected (Non connesso). Se lo stato è Not Connected (Non connesso), Route Analyzer fornisce una raccomandazione di instradamento. Segui i consigli per risolvere i problemi di instradamento, quindi esegui nuovamente il test per verificare la connettività. Se il problema di connettività persiste, consulta la sezione Verifica delle configurazioni di instradamento per ulteriori passaggi di risoluzione dei problemi.