Direct Connect 接続を使用して、トランジット仮想インターフェイス経由で VPC リソースに接続できないのはなぜですか?

所要時間2分
0

AWS Direct Connect 接続を使用して、トランジット仮想インターフェイス経由で Amazon Virtual Private Cloud (Amazon VPC) リソースに接続できません。この接続に関する問題のトラブルシューティング方法を教えてください。

解決方法

トランジット仮想インターフェイスを介して正しいオンプレミスネットワークプレフィックスをアドバタイズしていることを確認する

  • オンプレミスの Direct Connect ボーダーゲートウェイプロトコル (BGP) ルーターが、トランジット仮想インターフェイスの AWS Direct Connect BGP ピアに対して正しいオンプレミスのプレフィックスをアドバタイズしていることを確認します。
  • ローカル BGP ルーターでアドバタイズされたルートを確認します。ローカル BGP ルーターは、ローカルルーティング情報ベース (RIB) にアドバタイズされたルートを含める必要があります。これらのルートを確認するコマンドは、オンプレミス BGP デバイスのメーカーとモデルによって異なります。詳細については、デバイスのドキュメントを参照してください。

注: トランジット仮想インターフェイスでは、BGP セッションごとに最大 100 個のルートをアドバタイズできます。これは変更できないハードサービスクォータです。このサービスクォータを超えると、BGP セッションが IDLE 状態になります。

正しい仮想 Amazon VPC プレフィックスを、Direct Connect ゲートウェイからトランジット仮想インターフェイスを介してオンプレミスネットワークにアドバタイズしていることを確認する

トランジットゲートウェイを Direct Connect ゲートウェイに関連付ける場合は、Direct Connect ゲートウェイを介してオンプレミスネットワークにアドバタイズできるプレフィックスを使用します。

注: 次のいずれかを指定でき、AWS はそれをオンプレミスネットワークにアドバタイズします。

  • 仮想プライベートコンピューター (VPC) のサブネットプレフィックス (例: 10.1.0.0/16 VPC 内の 10.1.0.0/24)
  • VPC プレフィックス全体
  • スーパーネット (例: 10.0.0.0/8)

トランジットゲートウェイの設定を確認する

  • トランジット仮想インターフェイスは、Direct Connect ゲートウェイとトランジットゲートウェイの関連付けを使用して、通信を容易にします。この通信は、オンプレミスネットワークから、単一のトランジット仮想インターフェイス経由で、すべてのリージョンとアカウントの複数の VPC に送信されます。トランジットゲートウェイの関連付けのルールに従ってください。
  • トランジットゲートウェイのルーティング設定を確認します。ルートテーブル (カスタムまたはデフォルト) を設定して、アタッチされた VPC、仮想プライベートネットワーク (VPN)、または Direct Connect 接続のルートを伝達できます。トランジットゲートウェイのルートテーブルに静的ルートを追加することも可能です。パケットが 1 つのアタッチメントから送信されると、送信先 IP アドレスに一致するルートテーブルを使用して、別のアタッチメントにルーティングされます。
    注: 各アタッチメント (VPC または Direct Connect 接続のいずれか) は、1 つのルートテーブルにのみ関連付けることができます。ただし、アタッチメントはそのルートを 1 つ以上のルートテーブルに伝達できます。
  • トランジットゲートウェイにアタッチされた VPC がある場合は、トランジットゲートウェイに適切な数のアベイラビリティーゾーンを選択し、VPC サブネットのリソースにトラフィックをルーティングしたことを確認します。トランジットゲートウェイは、サブネットの 1 つの IP アドレスを使用して、そのサブネットにネットワークインターフェイスを作成します。
  • 異なるアベイラビリティーゾーンにあるリソースの場合、そのアベイラビリティーゾーンにトランジットゲートウェイ Elastic Network Interface が存在することを確認します。
    重要: トランジットゲートウェイがアタッチされていないアベイラビリティーゾーンは、トランジットゲートウェイに到達できません。1 つのアベイラビリティーゾーンからのトラフィックをルーティングできるが、別のアベイラビリティーゾーンではルーティングできない場合、トランジットゲートウェイ Elastic Network Interface がそのゾーンに存在することを確認します。高可用性を実現するために、複数のアベイラビリティーゾーンでトランジットゲートウェイ Elastic Network Interface を有効にすることをお勧めします。

Amazon VPC 設定を確認する

Amazon VPC で、以下を確認します。

  • セキュリティグループは、アドバタイズ済みオンプレミスネットワークプレフィックスとの間のインバウンドおよびアウトバウンドトラフィックを許可している。
  • ネットワークアクセスコントロールリスト (ACL) が正しく設定されている。1 つのネットワーク ACL を作成してから、トランジットゲートウェイに関連付けられているすべてのサブネットに関連付けることができます。ネットワーク ACL は、インバウンド方向とアウトバウンド方向の両方で開いたままにします。
  • サブネットのルートテーブルには、[ターゲット] がトランジットゲートウェイ ID に、[宛先] がオンプレミスネットワークプレフィックスに設定されているルートエントリが含まれています。

リクエストが目的の Direct Connect 接続で送受信されることを確認する

注: 以下のトラブルシューティング手順は、次の場合に適用されます。

  • オンプレミスのロケーションで設定された冗長な Direct Connect 物理的な接続
  • Direct Connect の物理的な接続ごとに 1 つのトランジット仮想インターフェイス
  • AWS への両方のトランジット仮想インターフェイスでアドバタイズされた同様のオンプレミスプレフィックス

冗長接続のアクティブ/パッシブ、またはアクティブ/アクティブ設定が、想定どおりに機能することを確認するには

  • 双方向のトレースルートを実行します。Direct Connect BGP ピア IP アドレスを確認して、トラフィックの送受信に使用されているトンラジット仮想インターフェイスを見つけます。
  • ローカル設定 BGP コミュニティタグを使用して、ネットワークへの着信トラフィックの負荷分散とルートの設定を実現します。
  • 同じリージョンでアクティブ/パッシブ設定を使用するには、次のように、ローカル設定と AS Path の追加を使用します。
    • ローカル設定: 特定の Direct Connect リンクを介して、オンプレミスのデータセンターからのアウトバウンドトラフィックに影響を与える
    • AS Path の追加: AWS からオンプレミスのデータセンターに戻るインバウンドトラフィックに影響を与える

関連情報

Direct Connect ゲートウェイへのトランジット仮想インターフェイスの作成

AWS公式
AWS公式更新しました 4年前
コメントはありません

関連するコンテンツ