如何疑難排解透過傳輸閘道的內部部署到 VPC 連線問題?

上次更新日期:2022-07-27

我有 AWS Direct Connect 或 AWS Site-to-Site VPN 連線,結束於 AWS Transit Gateway,且 Amazon Virtual Private Cloud (Amazon VPC) 連接到同一傳輸閘道。不過,我在內部部署連線和 Amazon VPC 之間遇到連線問題。我該如何對此錯誤進行疑難排解?

簡短描述

對於結束於 AWS Transit Gateway,且 Amazon Virtual Private Cloud (Amazon VPC) 連接到同一傳輸閘道的 AWS Direct Connect 或 AWS Site-to-Site VPN 連線,若要疑難排解連線問題,您可以:

  • 檢查傳輸閘道、VPC 和 Amazon EC2 執行個體的路由組態。
  • 使用 AWS Network Manager 中的 Route Analyzer

解決方案

確認您的組態

驗證 Amazon VPC 子網路由表組態

  1. 開啟 Amazon VPC 主控台
  2. 從導覽窗格中,選擇 Route Tables (路由表)。
  3. 選取來源 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體所使用的路由表。
  4. 選擇 Routes (路由) 標籤。
  5. 確認已將路由的 Destination (目的地) 設定為 on-premises network (內部部署網路)。
  6. 確認具有 Target (目標) 值 Transit Gateway ID (傳輸閘道 ID)。

檢查傳輸閘道 VPC 連接的可用區域

  1. 開啟 Amazon VPC 主控台
  2. 選擇 Transit Gateway Attachments (傳輸閘道連接)。
  3. 選取 VPC attachment (VPC 連接)。
  4. Details (詳細資料) 下,確認 Subnet IDs (子網 ID)。 確認已選取 EC2 執行個體可用區域的子網。
  5. 如果未選取來源 EC2 執行個體的子網,請選擇 Actions (動作)。 然後,修改您的 VPC 連接,並從 EC2 執行個體的可用區域選取子網。
    備註:當連接處於 Modifying (修改) 狀態時,新增或修改 VPC 連接子網可能會影響資料流量。

查看與 VPC 連接相關聯的傳輸閘道路由表

  1. 開啟 Amazon VPC 主控台
  2. 選擇 Transit Gateway Route Tables (傳輸閘道路由表)。
  3. 選取與 VPC 連接相關聯的路由表。
  4. Routes (路由) 索引標籤中,確認具有 Target (目標) 值為 DXGW/VPN attachment (DXGW/VPN 連接) 的內部部署網路路由。
  5. 如果您使用具有靜態路由的 Site-to-Site VPN:請為內部部署網路新增靜態路由,且具有 VPN 連接目標。

查看與 AWS Direct Connect 閘道連接或 VPN 連接相關聯的傳輸閘道路由表

  1. 開啟 Amazon VPC 主控台
  2. 選擇 Transit Gateway Route Tables (傳輸閘道路由表)。
  3. 選取與 AWS Direct Connect 閘道連接相關聯的路由表
    -或-
    選取與 VPN 連接相關聯的路由表。
  4. Routes (路由) 索引標籤中,確認 Source VPC IP range (來源 VPC IP 範圍) 的路由具有與來源 VPC 相對應之 TGW VPC attachment (TGW VPC 連接) 的 Target (目標)。

檢查 Direct Connect 閘道至傳輸閘道關聯上設定的「允許的前綴」

  1. 開啟 AWS Direct Connect 主控台
  2. 在導覽窗格中,選擇 Direct Connect Gateways (Direct Connect 閘道)。
  3. 選取與傳輸閘道相關聯的 AWS Direct Connect 閘道。
  4. Gateway Association (閘道關聯) 下,確認 Allowed Prefixes (允許的前綴) 具有 Source VPC IP Range (來源 VPC IP 範圍)。

確認 Amazon EC2 執行個體的安全群組和網路存取控制清單 (ACL) 允許適當的流量

  1. 開啟 Amazon EC2 主控台
  2. 從導覽窗格中,選擇 Instances (執行個體)。
  3. 選取您要執行連線測試的執行個體。
  4. 選擇 Security (安全) 索引標籤。
  5. 確認 Inbound rules (傳入規則) 和 Outbound rules (傳出規則) 允許流量進出內部部署網路。
  6. 開啟 Amazon VPC 主控台
  7. 從導覽窗格中,選擇 Network ACLs (網路 ACL)。
  8. 選取與您擁有執行個體之子網相關聯的網路 ACL (來源/目的地)。
  9. 選取 Inbound (傳入) 規則和 Outbound (傳出) 規則。確認流量允許進出內部部署網路。

確認與傳輸閘道網路介面關聯的網路 ACL 允許適當流量

  1. 開啟 Amazon EC2 主控台
  2. 從瀏覽窗格中,選擇Network Interfaces (網路介面)。
  3. 在搜尋列中,輸入 Transit Gateway (傳輸閘道)。隨即會顯示傳輸閘道的所有網路介面。請記下與傳輸閘道介面建立位置相關聯的子網 ID
  4. 開啟 Amazon VPC 主控台
  5. 從導覽窗格中,選擇 Network ACLs (網路 ACL)。
  6. 在搜尋列中,輸入您在步驟 3 中記下的子網 ID。結果會顯示與子網相關聯的網路 ACL。
  7. 檢查網路 ACL 的 Inbound rules (傳入規則) 和 Outbound rules (傳出規則),確認它允許來源 VPC IP 範圍和內部部署網路。

確認內部部署防火牆裝置允許來自 Amazon VPC 的流量

確認您的內部部署防火牆裝置具有來源 VPC IP 範圍的輸入和輸出允許規則。如需特定指示,請參閱廠商的說明文件。

使用 Route Analyzer

先決條件:在繼續之前,請先完成傳輸閘道網路的 AWS Network Manager 入門中的步驟。

建立全球網路並註冊傳輸閘道之後:

  1. 存取 Amazon VPC 主控台
  2. 從導覽窗格中,選擇 Network Manager (網路管理員)。
  3. 選擇您的傳輸閘道註冊所在的全球網路。
  4. 在導覽窗格中,選擇 Transit Gateway Network (傳輸閘道網路)。然後,選擇 Route Analyzer (路由分析器)。
  5. 根據需要填寫 Source (來源) 和 Destination (目的地) 資訊。確定 Source (來源) 和 Destination (目的地) 具有相同的傳輸閘道。
  6. 選擇 Run route analysis (執行路由分析)。

Route Analyzer 接著會執行路由分析,並指出 Connected (已連線) 或 Not Connected (未連線) 的狀態。如果狀態為 Not Connected (未連線),則 Route Analyzer 會提供路由建議。請使用建議來修正路由問題,然後重新執行測試以確認連線。如果連線問題持續發生,請參閱確認您的路由組態一節,取得更多疑難排解步驟。