AWS Outposts ラックネットワークのトラブルシューティングチェックリスト - AWS Outposts
Outpost ネットワーク デバイスとの接続AWS Direct Connect リージョンへの AWS パブリック仮想インターフェイス接続AWS Direct Connect リージョンへの AWS プライベート仮想インターフェイス接続リージョンへの ISP パブリック インターネット接続 AWSOutposts は 2 つのファイアウォールデバイスの背後にあります

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Outposts ラックネットワークのトラブルシューティングチェックリスト

このチェックリストは、ステータスが DOWN のサービス リンクのトラブルシューティングに役立ちます。

仮想 LAN。

Outpost ネットワーク デバイスとの接続

Outpost ネットワーク デバイスに接続されている顧客のローカル ネットワーク デバイスの BGP ピアリング ステータスを確認します。BGP ピアリングのステータスが DOWN の場合は、次の手順に従います。

  1. 顧客のデバイスから Outpost ネットワーク デバイス上のリモート ピア IP アドレスに ping を実行します。ピア IP アドレスは、デバイスの BGP 設定で確認できます。ネットワーク準備チェックリスト インストール時に提供される を参照することもできます。

  2. ping が失敗した場合は、物理接続をチェックし、接続ステータスが UP であることを確認します。

    1. お客様のローカルネットワーク機器の LACP 状態を確認します。

    2. デバイスのインターフェイスのステータスを確認します。ステータスが の場合 UP は、手順 3 に進みます。

    3. お客様のローカル ネットワーク デバイスをチェックし、光モジュールが動作していることを確認します。

    4. 障害のあるファイバーを交換し、ライト (Tx/Rx) が許容範囲内にあることを確認します。

  3. ping が成功した場合は、顧客のローカル ネットワーク デバイスをチェックし、次の BGP 構成が正しいことを確認します。

    1. ローカル自律システム番号 (顧客 ASN) が正しく構成されていることを確認します。

    2. リモート自律システム番号 (Outpost ASN) が正しく構成されていることを確認します。

    3. インターフェイスの IP アドレスとリモート ピアの IP アドレスが正しく構成されていることを確認します。

    4. 広告および受信したルートが正しいことを確認します。

  4. BGP セッションがアクティブ状態と接続状態の間でフラッピングしている場合は、TCP ポート 179 およびその他の関連する一時ポートが顧客のローカル ネットワーク デバイスでブロックされていないことを確認してください。

  5. さらにトラブルシューティングが必要な場合は、顧客のローカル ネットワーク デバイスで次の点を確認してください。

    1. BGP および TCP のデバッグ ログ

    2. BGP ログ

    3. パケットキャプチャ

  6. 問題が解決しない場合は、Outpost に接続されているルーターから Outpost ネットワーク デバイスのピア IP アドレスに対して MTR/traceroute/パケット キャプチャを実行します。エンタープライズ AWS サポートプランを使用して、テスト結果を サポートと共有します。

BGP ピアリング ステータスが顧客のローカル ネットワーク デバイスと UP Outpost ネットワーク デバイスの間であるにもかかわらず、サービス リンクがまだ である場合は DOWN、顧客のローカル ネットワーク デバイス上の次のデバイスを確認することで、さらにトラブルシューティングを行うことができます。サービス リンク接続のプロビジョニング方法に応じて、次のチェックリストのいずれかを使用してください。

AWS Direct Connect リージョンへの AWS パブリック仮想インターフェイス接続

次のチェックリストを使用して、パブリック仮想インターフェイスがサービスリンク接続に使用されている AWS Direct Connect ときに に接続されたエッジルーターのトラブルシューティングを行います。

  1. Outpost ネットワーク デバイスに直接接続しているデバイスが、BGP 経由でサービス リンク IP アドレス範囲を受信して​​いることを確認します。

    1. デバイスから BGP 経由で受信されているルートを確認します。

    2. サービス リンクの Virtual Routing and Forwarding インスタンス (VRF) のルート テーブルを確認します。IP アドレス範囲を使用していることが表示されます。

  2. リージョンの接続を確認するには、サービス リンク VRF のルート テーブルを確認します。これには、 AWS パブリック IP アドレス範囲またはデフォルトルートを含める必要があります。

  3. サービスリンク VRF で AWS パブリック IP アドレス範囲を受信しない場合は、次の項目を確認してください。

    1. エッジルーターまたは から AWS Direct Connect リンクステータスを確認します AWS Management Console。

    2. 物理リンクが の場合は UP、エッジ ルータから BGP ピアリングのステータスを確認します。

    3. BGP ピアリングステータスが の場合DOWN、ピア AWS IP アドレスに ping を実行し、エッジルーターの BGP 設定を確認します。詳細については、「 AWS Direct Connect ユーザーガイド」の「トラブルシューティング AWS Direct Connect」および「 AWS コンソールで仮想インターフェイスの BGP ステータスがダウンしています」を参照してください。「どうすればよいですか?」。

    4. BGP が確立され、VRF にデフォルトルートまたは AWS パブリック IP アドレスの範囲が表示されない場合は、エンタープライズサポートプランを使用して AWS サポートにお問い合わせください。

  4. オンプレミスのファイアウォールを使用している場合は、次の項目を確認してください。

    1. サービス リンク接続に必要なポートがネットワーク ファイアウォールで許可されていることを確認します。ポート 443 での traceroute またはその他のネットワーク トラブルシューティング ツールを使用して、ファイアウォールとネットワーク デバイスを介した接続を確認します。次のポートは、サービス リンク接続用のファイアウォール ポリシーで設定する必要があります。

      • TCP プロトコル - 送信元ポート: TCP 1025-65535、宛先ポート: 443。

      • UDP プロトコル — 送信元ポート: TCP 1025-65535、宛先ポート: 443。

    2. ファイアウォールがステートフルである場合は、アウトバウンドルールで Outpost のサービスリンク IP アドレス範囲と AWS パブリック IP アドレス範囲が許可されていることを確認します。詳細については、「AWS OutpostsAWS リージョンへの接続」を参照してください。

    3. ファイアウォールがステートフルでない場合は、インバウンドフローも許可してください ( AWS パブリック IP アドレス範囲からサービスリンク IP アドレス範囲まで)。

    4. ファイアウォールで仮想ルーターを構成している場合は、Outpost と AWS リージョン間のトラフィックに対して適切なルーティングが構成されていることを確認してください。

  5. Outpost のサービス リンク IP アドレス範囲を独自のパブリック IP アドレスに変換するようにオンプレミス ネットワークで NAT を構成している場合は、次の項目を確認してください。

    1. NAT デバイスが過負荷になっておらず、新しいセッションに割り当てる空きポートがあることを確認します。

    2. NAT デバイスがアドレス変換を実行するように正しく構成されていることを確認します。

  6. 問題が解決しない場合は、エッジルーターから AWS Direct Connect ピア IP アドレスへの MTR/tracerroute/パケットキャプチャを実行します。エンタープライズサポートプランを使用して、テスト結果を AWS サポートと共有します。

AWS Direct Connect リージョンへの AWS プライベート仮想インターフェイス接続

以下のチェックリストを使用して、プライベート仮想インターフェイスがサービスリンク接続に使用されている AWS Direct Connect ときに に接続されたエッジルーターのトラブルシューティングを行います。

  1. Outpost ラックと AWS リージョン間の接続でプライベート接続機能を使用している場合 AWS Outposts は、次の項目を確認してください。

    1. エッジルーターからリモートピアリング AWS IP アドレスに Ping を実行し、BGP ピアリングのステータスを確認します。

    2. サービスリンクエンドポイント VPC とオンプレミスにインストールされている Outpost 間の AWS Direct Connect プライベート仮想インターフェイスを介した BGP ピアリングが であることを確認しますUP。詳細については、「 AWS Direct Connect ユーザーガイド」の「トラブルシューティング AWS Direct Connect」、「 AWS コンソールで仮想インターフェイス BGP ステータスがダウンしています」を参照してください。「どうすればよいですか?」および「Direct Connect 経由の BGP 接続の問題をトラブルシューティングするにはどうすればよいですか?

    3. AWS Direct Connect プライベート仮想インターフェイスは、選択した AWS Direct Connect ロケーションのエッジルーターへのプライベート接続であり、BGP を使用してルートを交換します。プライベート仮想プライベートクラウド (VPC) CIDR 範囲は、この BGP セッションを通じてエッジ ルーターにアドバタイズされます。同様に、Outpost サービス リンクの IP アドレス範囲は、エッジ ルーターから BGP 経由でリージョンにアドバタイズされます。

    4. VPC 内のサービス リンク プライベート エンドポイントに関連付けられたネットワーク ACL が関連するトラフィックを許可していることを確認します。詳細については、「ネットワーク準備チェックリスト」を参照してください。

    5. オンプレミスのファイアウォールがある場合は、VPC または VPC CIDR にあるサービス リンクの IP アドレス範囲と Outpost サービス エンドポイント (ネットワーク インターフェイスの IP アドレス) を許可するアウトバウンド ルールがファイアウォールにあることを確認してください。TCP 1025-65535 および UDP 443 ポートがブロックされていないことを確認してください。詳細については、AWS Outposts 「プライベート接続の紹介」を参照してください。

    6. ファイアウォールがステートフルでない場合は、VPC 内の Outpost サービス エンドポイントから Outpost への受信トラフィックを許可するルールとポリシーがファイアウォールにあることを確認してください。

  2. オンプレミスネットワークに 100 を超えるネットワークがある場合は、BGP セッション経由でプライベート仮想インターフェイス AWS の にデフォルトルートをアドバタイズできます。デフォルトルートを広告したくない場合は、広告する経路数が 100 未満になるように経路を集約してください。

  3. 問題が解決しない場合は、エッジルーターから AWS Direct Connect ピア IP アドレスへの MTR/tracerroute/パケットキャプチャを実行します。エンタープライズサポートプランを使用して、テスト結果を AWS サポートと共有します。

リージョンへの ISP パブリック インターネット接続 AWS

サービス リンク接続にパブリック インターネットを使用する場合、ISP 経由で接続されているエッジ ルーターのトラブルシューティングを行うには、次のチェックリストを使用してください。

  • インターネット リンクが確立されていることを確認します。

  • ISP 経由で接続されたエッジ デバイスからパブリック サーバーにアクセスできることを確認します。

ISP リンク経由でインターネットまたはパブリック サーバーにアクセスできない場合は、次の手順を実行します。

  1. ISP ルーターとの BGP ピアリング状態が確立されているか確認してください。

    1. BGP がフラッピングしていないことを確認します。

    2. BGP が ISP から必要なルートを受信して​​アドバタイズしていることを確認します。

  2. スタティック ルート設定の場合は、エッジ デバイス上でデフォルト ルートが適切に設定されていることを確認してください。

  3. 別の ISP 接続を使用してインターネットに接続できるかどうかを確認します。

  4. 問題が解決しない場合は、エッジ ルーターで MTR/traceroute/パケット キャプチャを実行します。さらにトラブルシューティングを行うために、結果を ISP のテクニカル サポート チームと共有してください。

ISP リンクを通じてインターネットとパブリック サーバーにアクセスできる場合は、次の手順を実行します。

  1. Outpost ホーム リージョン内のパブリックにアクセス可能な EC2 インスタンスまたはロード バランサーのいずれかがエッジ デバイスからアクセス可能かどうかを確認します。ping または telnet を使用して接続を確認し、traceroute を使用してネットワーク パスを確認できます。

  2. VRF を使用してネットワーク内のトラフィックを分離する場合は、サービス リンク VRF に、ISP (インターネット) と VRF の間でトラフィックを送受信するルートまたはポリシーがあることを確認してください。次のチェックポイントを参照してください。

    1. ISP に接続するエッジ ルーター。エッジ ルータの ISP VRF ルート テーブルを調べて、サービス リンクの IP アドレス範囲が存在することを確認します。

    2. Outpost に接続する顧客のローカル ネットワーク デバイス。VRF の設定をチェックし、サービス リンク VRF と ISP VRF の間の接続に必要なルーティングとポリシーが適切に設定されていることを確認します。通常、デフォルト ルートは、インターネットへのトラフィックのために ISP VRF からサービス リンク VRF に送信されます。

    3. Outpost に接続されているルーターでソースベースのルーティングを構成した場合は、構成が正しいことを確認してください。

  3. Outpost サービスリンク IP アドレス範囲からパブリック IP アドレス AWS 範囲へのアウトバウンド接続 (TCP 1025-65535 および UDP 443 ポート) を許可するようにオンプレミスファイアウォールが設定されていることを確認します。ファイアウォールがステートフルでない場合は、Outpost への受信接続も構成されていることを確認してください。

  4. Outpost のサービス リンク IP アドレス範囲をパブリック IP アドレスに変換するために、オンプレミス ネットワークで NAT が構成されていることを確認します。また、以下の項目についても確認してください。

    1. NAT デバイスは過負荷になっておらず、新しいセッションに割り当てるための空きポートがあります。

    2. NAT デバイスはアドレス変換を実行するように正しく構成されています。

問題が解決しない場合は、MTR/traceroute/パケット キャプチャを実行します。

  • オンプレミス ネットワークでパケットがドロップまたはブロックされていることが結果で示された場合は、ネットワークまたは技術チームに追加のガイダンスを確認してください。

  • 結果から、パケットが ISP のネットワークでドロップまたはブロックされていることが示された場合は、ISP のテクニカルサポートチームに連絡してください。

  • 結果に問題が表示されない場合は、すべてのテスト (MTR、telnet、tracerroute、パケットキャプチャ、BGP ログなど) から結果を収集し、エンタープライズサポートプランを使用して AWS サポートにお問い合わせください。

Outposts は 2 つのファイアウォールデバイスの背後にあります

Outpost を同期されたファイアウォールの高可用性ペアまたは 2 つのスタンドアロンファイアウォールの背後に配置すると、サービスリンクの非対称ルーティングが発生する可能性があります。つまり、インバウンドトラフィックは firewall-1 を通過し、アウトバウンドトラフィックは firewall-2 を通過します。以下のチェックリストを使用して、特に以前に正しく機能していた場合、サービスリンクの非対称ルーティングの可能性を特定します。

  • 企業ネットワークのルーティング設定に、ファイアウォールを介したサービスリンクの非対称ルーティングにつながった可能性のある最近の変更や継続的なメンテナンスがあったかどうかを確認します。

    • ファイアウォールのトラフィックグラフを使用して、サービスリンクの問題の開始時と一致するトラフィックパターンの変更を確認します。

    • ファイアウォールに部分的な障害や、ファイアウォールが相互に接続テーブルを同期しなくなった原因となっていた可能性のある分割ブレインファイアウォールペアのシナリオがないか確認してください。

    • サービスリンクの問題の開始に合わせて、企業ネットワークのルーティング (OSPF/ISIS/EIGRP メトリクスの変更、BGP ルートマップの変更) へのリンクダウンまたは最近の変更を確認します。

  • ホームリージョンへのサービスリンクにパブリックインターネット接続を使用している場合、サービスプロバイダーのメンテナンスにより、ファイアウォールを介したサービスリンクの非対称ルーティングが発生する可能性があります。

    • ISP へのリンクのトラフィックグラフをチェックして、サービスリンクの問題の開始時と一致するトラフィックパターンへの変更がないか確認します。

  • サービスリンク AWS Direct Connect の接続を使用している場合、 AWS 計画されたメンテナンスによってサービスリンクの非対称ルーティングがトリガーされる可能性があります。

    • AWS Direct Connect サービスの計画されたメンテナンスの通知を確認します (複数可)。

    • 冗長 AWS Direct Connect サービスがある場合は、メンテナンス条件下で、考えられる各ネットワークパスでの Outposts サービスリンクのルーティングを事前にテストできます。これにより、いずれかのサービスを中断すると、サービスリンクの非対称ルーティングにつながるかどうかをテストできます AWS Direct Connect 。 end-to-end ネットワーク接続の AWS Direct Connect 部分の耐障害性は、Resiliency with AWS Direct Connect Resiliency Toolkit でテストできます。詳細については、AWS Direct Connect 「Resiliency Toolkit による障害耐性のテスト — フェイルオーバーテスト」を参照してください。

前述のチェックリストを実行し、考えられる根本原因としてサービスリンクの非対称ルーティングを特定した後は、他にもいくつかのアクションを実行できます。

  • 会社のネットワークの変更を元に戻すか、プロバイダーが計画したメンテナンスが完了するまで待機して、対称ルーティングを復元します。

  • 一方または両方のファイアウォールにログインし、コマンドラインからすべてのフローのすべてのフロー状態情報をクリアします (ファイアウォールベンダーがサポートしている場合)。

  • 一方のファイアウォールを介して BGP の発表を一時的に除外するか、一方のファイアウォールのインターフェイスをシャットダウンして、もう一方のファイアウォールを介して対称ルーティングを強制します。

  • 各ファイアウォールを順番に再起動して、ファイアウォールのメモリ内のサービスリンクトラフィックのフロー状態追跡の潜在的な破損を排除します。

  • ファイアウォールベンダーに、ポート 443 から送信され、ポート 443 宛ての UDP 接続の UDP フローステートの追跡を確認または緩和してもらいます。