Como soluciono problemas de conectividade entre a rede on-premises e a VPC através do Transit Gateway?

Última atualização: 27/07/2022

Tenho uma AWS Direct Connect ou uma AWS Site-to-Site VPN que termina no AWS Transit Gateway com a Amazon Virtual Private Cloud (Amazon VPC) conectada ao mesmo gateway de trânsito. Porém, estou enfrentando problemas de conectividade entre minhas conexões on-premises e a Amazon VPC. Como posso solucionar esse problema?

Breve descrição

Para solucionar problemas de conectividade entre a AWS Direct Connect ou a AWS Site-to-Site VPN que termina no AWS Transit Gateway com a Amazon Virtual Private Cloud (Amazon VPC) conectada ao mesmo gateway de trânsito, você pode:

  • Verificar a configuração de roteamento para o gateway de trânsito, a VPC e a instância do Amazon EC2.
  • Usar o Route Analyzer no AWS Network Manager

Resolução

Confirmar as configurações de roteamento

Verificar a configuração da tabela de rotas de sub-rede da Amazon VPC

  1. Abra o console da Amazon VPC.
  2. No painel de navegação, escolha Route tables (Tabelas de rotas).
  3. Selecione a tabela de rotas usada pela instância de origem do Amazon Elastic Compute Cloud (Amazon EC2).
  4. Escolha a guia Routes (Rotas).
  5. Verifique se há uma rota com Destination (Destino) definida como on-premises network (rede on-premises).
  6. Verifique se há um Target (Destino) com o valor de Transit Gateway ID (ID do Transit Gateway).

Verifique as zonas de disponibilidade para o anexo da VPC do Transit Gateway

  1. Abra o console da Amazon VPC.
  2. Escolha Transit Gateway Attachments (Anexos do gateway de trânsito).
  3. Selecione VPC attachment (Anexo da VPC).
  4. Em Details (Detalhes), verifique os Subnet IDs (IDs de sub-rede). Confirme se uma sub-rede da zona de disponibilidade da instância do EC2 está selecionada.
  5. Se uma sub-rede da instância do EC2 de origem não estiver selecionada, escolha Actions (Ações). Depois, modifique o anexo da VPC e selecione uma sub-rede na zona de disponibilidade da instância do EC2.
    Observação: adicionar ou modificar uma sub-rede do anexo da VPC pode afetar o tráfego de dados enquanto o anexo estiver em um estado de Em modificação.

Verifique a tabela de rotas do Transit Gateway associada ao anexo da VPC

  1. Abra o console da Amazon VPC.
  2. Escolha Transit Gateway Route Tables (Tabelas de rotas do Transit Gateway).
  3. Selecione a tabela de rotas associada ao anexo da VPC.
  4. Na guia Routes (Rotas), confirme se há uma rota para a on-premises network (rede on-premises) com um valor de Target (Destino) DXGW/VPN attachment (Anexo DXGW/VPN).
  5. Se você estiver usando uma Site-to-Site VPN com roteamento estático: adicione uma rota estática para a rede on-premises com destino de VPN attachment (Anexo da VPN).

Verifique a tabela de rotas do Transit Gateway associada ao anexo do gateway AWS Direct Connect ou ao anexo da VPN

  1. Abra o console da Amazon VPC.
  2. Escolha Transit Gateway Route Tables (Tabelas de rotas Transit Gateway).
  3. Selecione a tabela de rotas associada ao anexo do gateway AWS Direct Connect
    -ou-
    Selecione a tabela de rotas associada ao anexo da VPN.
  4. Na guia Routes (Rotas), confirme se há uma rota para Source VPC IP range (Intervalo IP da VPC de origem) com um Target (Destino) de TGW VPC attachment (Anexo de TGW VPC) que corresponda à VPC de origem.

Verifique os prefixos permitidos configurados na associação do gateway Direct Connect com o Transit Gateway

  1. Abra o console de AWS Direct Connect.
  2. No painel de navegação, escolha Direct Connect Gateways (Gateways Direct Connect).
  3. Selecione o gateway AWS Direct Connect associado ao Transit Gateway.
  4. Em Gateway Association (Associação de gateway), verifique se os Allowed Prefixes (Prefixos permitidos) têm um Source VPC IP Range (Intervalo de IP da VPC de origem).

Confirme se o grupo de segurança e a lista de controle de acesso (ACL) da rede da instância do Amazon EC2 permitem o tráfego apropriado

  1. Abra o console do Amazon EC2.
  2. No painel de navegação, escolha Instances (Instâncias).
  3. Selecione a instância em que você está realizando o teste de conectividade.
  4. Escolha a guia Security (Segurança).
  5. Verifique se as Inbound rules (Regras de entrada) e as Outbound rules (Regras de saída) permitem tráfego de entrada e saída na rede on-premises.
  6. Abra o console da Amazon VPC.
  7. No painel de navegação, escolha Network ACLs (ACLs de rede).
  8. Selecione a ACL de rede associada à sub-rede em que você tem a instância (Origem/Destino).
  9. Selecione as Inbound rules (Regras de entrada) e as Outbound rules (Regras de saída). Verifique se o tráfego de entrada e de saída é permitido na rede on-premises.

Confirme se a ACL de rede associada à interface de rede do gateway de trânsito permite o tráfego adequado.

  1. Abra o console do Amazon EC2.
  2. No painel de navegação, escolha Network Interfaces (Interfaces de rede).
  3. Na barra de pesquisa, insira Transit Gateway (Gateway de trânsito). Todas as interfaces de rede do gateway de trânsito serão exibidas. Indique o Subnet ID (ID da sub-rede) associado ao local onde as interfaces do gateway de trânsito foram criadas.
  4. Abra o console da Amazon VPC.
  5. No painel de navegação, escolha Network ACLs (ACLs de rede).
  6. Na barra de pesquisa, insira o ID da sub-rede que você anotou na etapa 3. Os resultados mostram a ACL de rede associada à sub-rede.
  7. Confira as regras de entrada e as regras de saída da ACL de rede para verificar se ela permite o intervalo IP da VPC de origem e a rede on-premises.

Confirme se os dispositivos de firewall on-premises permitem o tráfego vindo da Amazon VPC

Verifique se os dispositivos de firewall on-premises têm uma regra de permissão de entrada e saída para o intervalo IP da VPC de origem. Consulte a documentação do fornecedor para obter instruções específicas.

Usar o Route Analyzer

Pré-requisito: conclua as etapas em Introdução ao AWS Network Manager para redes do Transit Gateway antes de continuar.

Depois de criar uma rede global e registrar seu gateway de trânsito:

  1. Acesse o console da Amazon VPC.
  2. No painel de navegação, escolha Network Manager (Gerenciador de rede).
  3. Escolha a rede global em que seu gateway de trânsito está registrado.
  4. No painel de navegação, escolha Transit Gateway Network (Rede do Transit Gateway). Em seguida, escolha Route Analyzer.
  5. Preencha as informações de Source (Origem) e Destination (Destino) conforme necessário. Certifique-se de que Source (Origem) e Destination (Destino) tenham o mesmo Transit Gateway.
  6. Escolha Run route analysis (Executar análise de rota).

O Route Analyzer executa a análise de roteamento e indica um status de Connected (Conectado) ou Not Connected (Não conectado). Se o status for Not Connected (Não conectado), o Route Analyzer fornecerá uma recomendação de roteamento. Use as recomendações para corrigir os problemas de roteamento e, depois, execute novamente o teste para confirmar a conectividade. Se o problema de conectividade continuar, consulte a seção Confirmar as configurações de roteamento para obter mais etapas de solução de problemas.