Direct Connect 연결을 사용하여 전송 가상 인터페이스를 통해 VPC 리소스에 연결할 수 없는 이유는 무엇입니까?

최종 업데이트 날짜: 2020년 9월 9일

AWS Direct Connect 연결을 사용하여 전송 가상 인터페이스를 통해 Amazon Virtual Private Cloud(Amazon VPC)리소스에 연결할 수 없습니다. 이 연결 문제를 해결하려면 어떻게 해야 합니까?

해결 방법

전송 가상 인터페이스를 통해 올바른 온프레미스 네트워크 접두사를 알리고 있는지 확인

  • 온프레미스 Direct Connect BGP(경계 게이트웨이 프로토콜) 라우터가 전송 가상 인터페이스의 AWS Direct Connect BGP 피어에 올바른 온프레미스 접두사를 알리는지 확인합니다.
  • 로컬 BGP 라우터에서 알려진 경로를 검토합니다. 로컬 BGP 라우터는 RIB(로컬 라우팅 정보 베이스)에 알려진 경로를 포함해야 합니다. 이러한 경로를 확인하는 명령은 온프레미스 BGP 디바이스의 제조업체/모델에 따라 다릅니다. 자세한 내용은 디바이스 설명서를 참조하십시오.

참고: 전송 가상 인터페이스에서 BGP 세션당 최대 100개의 경로를 알릴 수 있습니다. 이는 변경할 수 없는 하드 서비스 할당량입니다. 이 서비스 할당량을 초과하면 BGP 세션이 유휴(IDLE) 상태로 전환됩니다.

전송 가상 인터페이스를 통해 Direct Connect 게이트웨이에서 온프레미스 네트워크로 올바른 Amazon VPC 접두사를 알리고 있는지 확인

전송 게이트웨이를 Direct Connect 게이트웨이에 연결할 때 Direct Connect 게이트웨이를 통해 온프레미스 네트워크에 알릴 수 있는 접두사를 사용합니다.

참고: 다음 중 하나를 지정할 수 있으며, AWS는 이를 온프레미스 네트워크에 다시 알립니다.

  • VPC(가상 프라이빗 컴퓨터)의 서브넷 접두사(예: 10.1.0.0/16 VPC의 10.1.0.0/24)
  • 전체 VPC 접두사
  • 슈퍼넷(예: 10.0.0.0/8)

전송 게이트웨이 설정 검토

  • 전송 가상 인터페이스는 통신을 지원하기 위해 전송 게이트웨이와의 Direct Connect 게이트웨이 연결을 사용합니다. 이 통신은 단일 전송 가상 인터페이스를 통해 온프레미스 네트워크에서 모든 리전 및 계정의 여러 VPC에 연결됩니다. 전송 게이트웨이 연결에 대한 규칙을 따라야 합니다.
  • 전송 게이트웨이 라우팅 구성을 검토합니다. 연결된 VPC, VPN(가상 프라이빗 네트워크) 또는 Direct Connect 연결의 경로를 전파하도록 경로 테이블(사용자 지정 또는 기본)을 구성할 수 있습니다. 전송 게이트웨이 경로 테이블에 정적 경로를 추가할 수도 있습니다. 한 연결에서 패킷을 가져오면, 해당 패킷이 대상 IP 주소와 일치하는 경로 테이블을 사용하여 다른 연결로 라우팅됩니다.
    참고: 각 연결(VPC 또는 Direct Connect 연결)은 딱 하나의 경로 테이블과 연결될 수 있습니다. 하지만 연결은 해당 경로를 하나 이상의 라우팅 테이블로 전파할 수 있습니다.
  • 전송 게이트웨이에 연결된 VPC가 있는 경우, 전송 게이트웨이가 VPC 서브넷의 리소스로 트래픽을 라우팅하는 데 적절한 수량의 가용 영역을 선택했는지 확인합니다. 전송 게이트웨이는 서브넷의 IP 주소 하나를 사용하여 해당 서브넷에 네트워크 인터페이스를 생성합니다.
  • 리소스가 서로 다른 가용 영역에 있는 경우 해당 가용 영역에 전송 게이트웨이 탄력적 네트워크 인터페이스가 있는지 확인합니다.
    중요: 전송 게이트웨이 연결이 없는 가용 영역은 전송 게이트웨이에 연결할 수 없습니다. 한 가용 영역에서는 트래픽을 라우팅할 수 있지만 다른 가용 영역에서는 라우팅할 수 없는 경우 해당 영역에 전송 게이트웨이 탄력적 네트워크 인터페이스가 있는지 확인합니다. 모범 사례로서 여러 가용 영역에서 전송 게이트웨이 탄력적 네트워크 인터페이스를 활성화하여 고가용성을 보장하는 것이 좋습니다.

Amazon VPC 설정 검토

Amazon VPC에서 다음을 확인합니다.

  • 보안 그룹은 알려진 온프레미스 네트워크 접두사를 주고받는 인바운드 및 아웃바운드 트래픽을 허용합니다.
  • 네트워크 ACL(액세스 제어 목록)이 올바르게 구성되어 있습니다. 네트워크 ACL을 하나 생성하고 이를 전송 게이트웨이에 연결된 모든 서브넷과 연결할 수 있습니다. 네트워크 ACL을 인바운드 및 아웃바운드 방향 모두에서 열어 둡니다.
  • 서브넷 경로 테이블에 [대상]이 전송 게이트웨이 ID로, [대상 위치]가 온프레미스 네트워크 접두사로 설정된 라우팅 항목이 포함되어 있습니다.

올바른 Direct Connect 연결을 통해 요청이 전송 및 수신되는지 확인

참고: 이 문제 해결 단계는 다음과 같은 경우에 적용됩니다.

  • 이중화된 Direct Connect 물리적 연결이 온프레미스 위치에서 구성됨
  • Direct Connect 물리적 연결당 1개씩 전송 가상 인터페이스가 구성됨
  • 유사한 온프레미스 접두사가 두 전송 가상 인터페이스 모두를 통해 AWS에 알려짐

다음과 같이, 이중화된 연결에 대한 액티브/패시브 또는 액티브/액티브 구성이 정상적으로 작동하는지 확인합니다.

  • 양방향 traceroute를 실행합니다. Direct Connect BGP 피어 IP 주소를 검토하여 트래픽을 전송 또는 수신하는 데 사용 중인 전송 가상 인터페이스를 찾습니다.
  • 로컬 기본 설정 BGP 커뮤니티 태그를 사용하여 네트워크에 수신되는 트래픽에 대한 로드 밸런싱 및 라우팅 기본 설정을 구현합니다.
  • 동일한 리전에서 액티브/패시브 구성을 사용하려면 로컬 기본 설정 및 AS 경로 접두사를 사용합니다.
    • 로컬 기본 설정: 특정 Direct Connect 링크를 통해 온프레미스 데이터 센터의 아웃바운드 트래픽에 적용되는 설정
    • AS 경로 접두사: AWS에서 온프레미스 데이터 센터로의 인바운드 트래픽에 적용되는 설정

이 문서가 도움이 되었습니까?


결제 또는 기술 지원이 필요합니까?