VPC Reachability Analyzerを使ってみてわかった便利さと意外なハマりどころ

by daiki.handa

Slide 1

Slide 1 text

VPC Reachability Analyzerを使ってみてわかった便利さと意外なハマりどころ 2024年2月16日半田大樹（@handydd18） AWS10分LT会 - vol.3

Slide 2

Slide 2 text

AWS10分LT会 - vol.3 自己紹介半田大樹(Daiki Handa) • 普段はAWSを中心とした技術支援や設計・構築等を担当 • 最近はAWSとAzureを跨いだアーキテクチャの検討や技術検証も少し担当こんな資料も作ってます→「AWS履修者のためのAzure入門」(speakerdeck) • 好きなAWSサービスはS3とAppFlow • SAA対策本の一部執筆も担当 • 趣味はクラウド資格取得(現在29個) (数えたら2021年から毎年6個～9個ずつ取ってました) 株式会社BeeX所属 ×13 ×8 ×8 X→@handydd18

Slide 3

Slide 3 text

いきなりですが、このような経験はありますか？

Slide 4

Slide 4 text

AWS Cloud Virtual private cloud (VPC) Amazon EC2 AWS Cloud Virtual private cloud (VPC) Amazon EC2 Peering connection Peering connection ピアリング構成例設定合ってるはずなのに何故か通信できない…

Slide 5

Slide 5 text

Slide 6

Slide 6 text

AWS Cloud Virtual private cloud (VPC) Amazon EC2 AWS Cloud Virtual private cloud (VPC) Amazon EC2 Peering connection Peering connection ピアリング構成例設定合ってるはずなのに何故か通信できない… SG設定が間違っている？ Route table Route table ルート設定が間違っている？ SG設定が間違っている？ルート設定が間違っている？

Slide 7

Slide 7 text

Slide 8

Slide 8 text

Slide 9

Slide 9 text

Slide 10

Slide 10 text

原因どこなんだ…(´;ω;｀)

Slide 11

Slide 11 text

もっと複雑な構成だったら？

Slide 12

Slide 12 text

AWS Cloud Virtual private cloud (VPC) AWS Cloud Virtual private cloud (VPC) AWS Cloud Virtual private cloud (VPC) AWS Transit Gateway Amazon EC2 AWS Network Firewall AWS Cloud Virtual private cloud (VPC) Amazon EC2 Internet gateway NAT gateway Attachment Attachment Attachment Attachment 構成例原因調査だけで数日かかりそう…

Slide 13

Slide 13 text

そんな時に使えるのが

Slide 14

Slide 14 text

VPC Reachability Analyzer

Slide 15

Slide 15 text

VPC Reachability Analyzerとは？簡単に言うとコンソール上からVPC内の接続テストをできる構成分析ツールです。以下のようなことができます。 • ネットワークの設定ミスによる接続問題のトラブルシュート • ネットワーク構成の正確性調査など

Slide 16

Slide 16 text

最初の疎通エラーの環境で使ってみます

Slide 17

Slide 17 text

エラー時画面

Slide 18

Slide 18 text

エラー時画面アクセス先のEC2のセキュリティグループの設定が不足していました。

Slide 19

Slide 19 text

VPCエンドポイントへの疎通確認 EC2からVPCエンドポイントへの疎通も確認できます。

Slide 20

Slide 20 text

VPC Reachability Analyzerの設定項目以下の設定項目で構成されています。 • パス設定 • パスの送信元 • パスの送信先 • プロトコル • タグ

Slide 21

Slide 21 text

VPC Reachability Analyzerの設定項目以下の設定項目で構成されています。 • パス設定 • パスの送信元 • パスの送信先 • プロトコル • タグ送信元タイプ(9種類) • Instances • Internet Gateways • Network Interfaces • Transit Gateways • Transit Gateway Attachments • VPC Endpoint • VPC Endpoint Service • VPC Peering Connections • VPN Gateways

Slide 22

Slide 22 text

VPC Reachability Analyzerの設定項目以下の設定項目で構成されています。 • パス設定 • パスの送信元 • パスの送信先 • プロトコル • タグ送信先タイプ(8種類) • Instances • Internet Gateways • IP Address • Network Interfaces • Transit Gateways • Transit Gateway Attachments • VPC Endpoint • VPC Endpoint Service • VPC Peering Connections • VPN Gateways

Slide 23

Slide 23 text

VPC Reachability Analyzerの設定項目以下の設定項目で構成されています。 • パス設定 • パスの送信元 • パスの送信先 • プロトコル • タグプロトコル • TCP • UDP

Slide 24

Slide 24 text

そんな便利なVPC Reachability Analyzerですが意外なハマりどころがありました

Slide 25

Slide 25 text

Slide 26

Slide 26 text

AWS Cloud Virtual private cloud (VPC) Amazon RDS AWS Cloud Virtual private cloud (VPC) Amazon EC2 Peering connection Peering connection ピアリング (実際はTGW) 実際の構成 VPC Reachability Analyzerで EC2からRDSへ疎通確認できたのに何故か通信できない… SG設定は合ってる SG設定は合ってる疎通コマンドは合ってる

Slide 27

Slide 27 text

Slide 28

Slide 28 text

AWS Cloud Virtual private cloud (VPC) Amazon RDS AWS Cloud Virtual private cloud (VPC) Amazon EC2 Peering connection Peering connection ピアリング (実際はTGW) 実際の構成 EC2に戻りの通信が届いてない？ SG設定は合ってる SG設定は合ってる疎通コマンドは合ってる Flow logs Flow logs RDSに通信は届いていた

Slide 29

Slide 29 text

AWS Cloud Virtual private cloud (VPC) Amazon RDS AWS Cloud Virtual private cloud (VPC) Amazon EC2 Peering connection Peering connection ピアリング (実際はTGW) 実際の構成戻りのルート設定が足りてないやんけ！ SG設定は合ってる SG設定は合ってる疎通コマンドは合ってる Flow logs Flow logs RDSに通信は届いていた Route table Route table 戻りのルート設定が不足

Slide 30

Slide 30 text

AWS Cloud Virtual private cloud (VPC) Amazon RDS AWS Cloud Virtual private cloud (VPC) Amazon EC2 Peering connection Peering connection ピアリング (実際はTGW) 実際の構成戻りのルートを設定したら疎通できた SG設定は合ってる SG設定は合ってる疎通コマンドは合ってる Flow logs Flow logs RDSに通信は届いていた Route table Route table ルート設定を修正

Slide 31

Slide 31 text

VPC Reachability Analyzerで見つけられなかった原因疎通を確認するサービスという認識だったので往復の通信もチェックされていると思い込んでいた ※pingコマンドをイメージしてました

Slide 32

Slide 32 text

VPC Reachability Analyzerドキュメント参考URL：https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html 以下の「到達可能性」というのは、双方向ではなくあくまで送信元と宛先間の単方向のみ

Slide 33

Slide 33 text

VPC Reachability Analyzer料金料金は1回$0.10とちょっと高めです

Slide 34

Slide 34 text

まとめ • VPC Reachability Analyzer便利なので是非使ってみてください • 単方向の「到達可能性」しかチェックしないので、戻りの通信経路は別途チェックする必要があります

Slide 35

Slide 35 text

おまけ

Slide 36

Slide 36 text

参考URL：https://aws.amazon.com/jp/blogs/networking-and-content-delivery/introducing-amazon-q-support-for-network-troubleshooting/ Amazon Qを利用したトラブルシュート 2023年のre:Invent期間のアップデートで Amazon Qでトラブルシュートできるようになったらしい (英語のみ)

Slide 37

Slide 37 text

聞いてみましたが、バージニアしかまだ対応してないようです。 Amazon Qを利用したトラブルシュート

Slide 38

Slide 38 text

おわり