双方向パス分析にネットワークインテリジェンスサービス (NIS) を使用して、構成エラーによるVPCピアリング接続の接続性の問題を診断できます。
シナリオ
ある企業は、中国 (北京) リージョンにVPC1を、中国 (上海) リージョンにVPC2を作成しました。
VPCピアリング接続を設定しても、ECS1とECS2は互いに通信できません。 トラブルシューティングにはパス分析が必要です。
前提条件
Network Intelligence Service (NIS) が有効になります。 サービスの有効化ページでNISを有効にできます。
インスタンス診断を初めて実行する場合、システムはサービスにリンクされたロールAliyunServiceRoleForNisを自動的に作成します。 詳細については、「サービスにリンクされたロール」をご参照ください。
パス分析が必要なVPCピアリング接続が作成されました。 詳細については、「VPCピアリング接続を使用したVPCプライベートネットワーク接続の有効化」をご参照ください。
手順
パス分析は、実際のパケットを送信しない仮想プロセスであるため、運用に影響を与えません。
手順1: パス分析の設定
VPCコンソールにログインします。
左側のナビゲーションウィンドウで、VPC ピアリング接続 をクリックします。
上部のナビゲーションバーから対象のリージョンを選択します。
[VPCピアリング接続] ページで、管理するVPCピアリング接続インスタンスを見つけ、次のいずれかの方法でパス分析を開始します。
[診断] 列で、 を選択し、[到達性アナライザー] パネルでパラメーターを設定します。
インスタンスIDをクリックし、[パス分析] タブでパラメーターを設定します。
次のようにパラメーターを設定し、分析を開始するをクリックします。
ステップ2: トラブルシューティング
到達可能性分析が完了すると、システムは、ソースと宛先を接続する仮想ネットワークパスに沿った各ノードの詳細を表示します。
パスが到達不能の場合は、次の手順でトラブルシューティングを行います。
到達不能: VPCルートテーブルに、宛先CIDRブロックがピアVPCのルートであり、ネクストホップがVPCピアリング接続であるルートが含まれていることを確認します。
リクエストがセキュリティグループルールと一致するか、デフォルトで拒否されます: VPC内のECSインスタンスのセキュリティグループがピアVPCからのトラフィックを許可していることを確認します。 必要に応じて、インバウンドルールまたはアウトバウンドルールを変更します。
リクエストがネットワークACL拒否ルールに一致するか、デフォルトで拒否されます: vSwitchのネットワークACLがピアVPCからのトラフィックを許可しているかどうかを確認します。 必要に応じて、インバウンドルールまたはアウトバウンドルールを変更します。
ステータスが [到達可能] の場合、[リバースパス分析] を選択して、Network Intelligence Serviceコンソールの [分析の開始] ページに移動し、リバースパスを設定してネットワーク接続を検証できます。
関連ドキュメント
Network Intelligence Serviceの到達可能性アナライザーの詳細については、「到達可能性アナライザーの操作」をご参照ください。
トラブルシューティング機能を使用して、VPCとインターネット間の接続、コスト、リソースの割り当てなどの問題を調べます。 詳細については、「トラブルシューティング」をご参照ください。