Transit Gateway と VPC で実行されているサードパーティー仮想アプライアンスとの間の接続をトラブルシューティングするにはどうすればよいですか?

簡単な説明

Transit Gateway Connect アタッチメントによって接続されているソースネットワークとリモートネットワークとの間の接続をトラブルシューティングするには、次の点を確認します。

• 接続アタッチメントのセットアップ
• アベイラビリティーゾーン
• ルートテーブル
• ネットワークセキュリティの設定

解決方法

Transit Gateway と Connect アタッチメントのセットアップをトラブルシューティングする

Transit Gateway と Connect アタッチメントのセットアップ構成を確認する

1. Amazon Virtual Private Cloud (Amazon VPC) コンソールを開きます。
2. ナビゲーションペインから、[Transit gateway attachments] (Transit Gateway アタッチメント) を選択します。
3. リモートホストまたはオンプレミスホストと通信する必要のあるリソースがあるソース VPC アタッチメントを選択します。このアタッチメントが正しい Transit Gateway ID に関連付けられていることを確認します。
4. 接続アタッチメントについてステップ 3 を繰り返します。これは、トランジットゲートウェイと、VPC で実行されているサードパーティー仮想アプライアンスとの間の接続を確立するために使用されるアタッチメントです。
5. トランスポート VPC アタッチメントについてステップ 3 を繰り返します。これは、トランジットゲートウェイと SD-WAN 間の Generic Routing Encapsulation (GRE) のセットアップを確立するためのトランスポートメカニズムとして使用されるアタッチメントです。
6. ナビゲーションペインから、[Transit gateway Route Tables] (Transit Gateway ルートテーブル) を選択します。
7. アタッチのたびに Transit Gateway ルートテーブルを選択し、次のことを確認します。
   ソースと SD-WAN VPC がトランジットゲートウェイにアタッチされていること。これは、同じまたは異なるトランジットゲートウェイまたはリージョンとすることができます。
   ソースおよび SD-WAN VPC アタッチメントが正しいトランジットゲートウェイルートテーブルに関連付けられていること。
   Connect アタッチメントが正しいトランジットゲートウェイにアタッチされていること。
   Connect アタッチメントが正しい VPC Transport Attachment (SD-WAN アプライアンスの VPC アタッチメント) を使用しており、[Available] (使用可能) 状態であること。

Connect ピアが正しく設定されていることを確認する

1. Amazon VPC コンソールを開きます。
2. ナビゲーションペインから、[Transit gateway attachments] (Transit Gateway アタッチメント) を選択します。
3. Connect アタッチメントを選択します。
4. [Connect Peers] (ピアを接続) を選択します。次のことを確認します。
   ピア GRE アドレスが GRE トンネルを作成する SD-WAN インスタンスのプライベート IP アドレスであること。
   Transit Gateway の GRE アドレスが Transit Gateway CIDR から使用可能な IP アドレスの 1 つであること。
   BGP 内部 IP が IPv4 の 169.254.0.0/16 の範囲の /29 CIDR ブロックの一部であること。オプションで、IPv6 の fd00::/8 の範囲から /125 CIDR ブロックを指定できます。予約されていて使用できない CIDR ブロックのリストについては、「Transit Gateway Connect ピア」を参照してください。

サードパーティーアプライアンスの構成を確認する

サードパーティーアプライアンスの構成がすべての要件および考慮事項に一致することを確認します。アプライアンスに複数のインターフェイスがある場合は、正しいインターフェイスで GRE パケットを送信するように OS ルーティングが設定されていることを確認します。

SD-WAN アプライアンスと同じアベイラビリティーゾーンに Transit Gateway アタッチメントがあることを確認する

1. Amazon VPC コンソールを開きます。
2. ナビゲーションペインで、[Subnets] (サブネット) を選択します。
3. VPC アタッチメントと SD-WAN インスタンスによって使用されるサブネットを選択します。
4. 両方のサブネットのアベイラビリティーゾーン ID が同じであることを確認します。

ルートテーブルとルーティングをトラブルシューティングする

ソースインスタンスと SD-WAN インスタンスの VPC ルートテーブルを確認する

1. Amazon VPC コンソールを開きます。
2. ナビゲーションペインで、[Route tables] (ルートテーブル) を選択します。
3. インスタンスで使用されるルートテーブルを選択します。
4. [Routes] (ルート) タブを選択します。
5. 正しい Destination CIDR ブロックと [Target] (ターゲット) が [Transit Gateway ID] であるルートがあることを確認します。 ソースインスタンスの場合、Destination CIDR ブロックは Remote Network CIDR です。SD-WAN インスタンスの場合、Destination CIDR ブロックは Transit Gateway CIDR ブロックです。

Transit Gateway アタッチメントとソース VPC アタッチメントのルーティングテーブルを確認する

1. Amazon VPC コンソールを開きます。
2. [Transit gateway route tables] (トランジットゲートウェイルートテーブル) を選択します。
3. ソース VPC アタッチメントの関連付けられたルートテーブルに、リモートネットワークの Connect アタッチメントから伝達されるルートがあることを確認します。
4. Transit Gateway Connect アタッチメントの関連付けられたルートテーブルに、ソース VPC と SD-WAN アプライアンスの VPC へのルートがあることを確認します。

ネットワークセキュリティをトラブルシューティングする

ネットワーク ACL がトラフィックを許可していることを確認する

1. Amazon VPC コンソールを開きます。
2. ナビゲーションペインで、[Subnets] (サブネット) を選択します。
3. VPC アタッチメントと SD-WAN インスタンスによって使用されるサブネットを選択します。
4. [Network ACL] (ネットワーク ACL) タブを選択します。次のことを確認します。
   SD-WAN インスタンスのネットワーク ACL が GRE トラフィックを許可すること。
   ソースインスタンスのネットワーク ACL がトラフィックを許可すること。
   トランジットゲートウェイネットワークインターフェイスに関連付けられたネットワーク ACL は、トラフィックを許可します。

ソースおよび SD-WAN EC2 インスタンスのセキュリティグループがトラフィックを許可していることを確認する

1. Amazon EC2 コンソールを開きます。
2. ナビゲーションペインから、[Instances] (インスタンス) を選択します。
3. 適切なインスタンスを選択します。
4. [Security] (セキュリティ) タブを選択します。
5. SD-WAN インスタンスのセキュリティグループが、GRE の開始を受け入れるインバウンドルールまたは GRE セッションを開始するためのアウトバウンドルールのいずれかで GRE トラフィックを許可していることを確認します。ソースインスタンスのセキュリティグループがトラフィックを許可していることを確認します。

---