はじめに
こんにちは。現在、入社研修でAWSの基礎を学んでいる横山です。
エンジニアとして成長するためには「失敗から学ぶ」ことが大切だと言われますが、今回の研修ではまさに「自分の思い込み」によって長い時間ハマり、そして便利なツールによって劇的に救われるという経験をしました。
今回は、私がEC2構築研修で遭遇したトラブルと、解決の決め手となったツール 「VPC Reachability Analyzer」 について紹介します。
設定は完璧なのに、なぜ繋がらない?
遭遇した事象
事象は非常にシンプルでした。「作成したLinuxサーバー(EC2)にSSH接続できない」という、よくあるトラブルです。
設定項目は合っているはず
セキュリティグループ、ルートテーブル、インターネットゲートウェイ、ネットワークACL、パブリックIP。 何度見直しても、設定は完璧であるように見受けられた。「設定ミスはないはず。AWS側の不具合じゃないか?」 そんな根拠のない思い込みすら頭をよぎり始めた時、あるツールを使ってみることにしました。
救世主「Reachability Analyzer」とは?
通信を「シミュレーション」するツール
これは、VPC内の2つのリソース間(例:インターネットゲートウェイとEC2)で、「通信が到達可能かどうか」を診断してくれる機能です。 このツールの最大の特徴は、実際にPingなどのパケットを送るのではなく、AWS上の設定情報を分析して「理論上、通信が通るか」をシミュレーションしてくれる点です。
詳細については公式ドキュメントを確認してください。 docs.aws.amazon.com
失敗原因を可視化してくれる
インスタンスにログインできなくても使えますし、もし通信が通らない場合は「ネットワーク経路のどこで、何の設定によってブロックされているか」を具体的に可視化してくれます。
実際に診断してみた
パスの作成と分析
使い方は簡単でした。VPC画面の左メニューから、 Reachability Analyzer を選択しパスの作成をクリック
各種必要事項を入力します。
入力したら画面右下の「パスの作成と分析」をクリック。
分析結果
数秒後、返ってきた結果は 「到達不可能」
しかし、このツールの真価はここからです。 「なぜ繋がらないのか」の詳細パスを見ると、見慣れないエラーコードが表示されていました。
Reachability Analyzer が教えてくれた原因は、セキュリティグループやルートテーブルの設定ミスではなく、それらよりもさらに上位のレイヤーに存在する、「VPC パブリックアクセスブロック (Block Public Access for VPCs)」 という機能が ON になっていたことでした。
原因が分かれば対応は簡単です。VPCの設定画面からこの機能の除外対象に今回作成したリソースを設定したところ、あっさりとSSH接続に成功しました。
まとめ
今回の経験で学んだことは以下の2点です。
「設定が正しい」と思い込まない 自分が見ている範囲(SGやルートテーブル)が全てではなく、もっと上位の設定や自分が把握できていな仕様や設定が影響している可能性があります。
解決への近道としてツールを活用する ハマった時、そのまま悩み続けるよりも、ツールを使う方が解決への近道になる場合があります。
トラブルシューティングにおいて、原因の切り分けにかかる時間を大幅に短縮してくれるこのツールは、今後の業務でも強い味方になりそうです。 もし皆さんが「設定は完璧なのになぜ?」と迷宮に入り込んだ時は、ぜひ Reachability Analyzer を試してみてください。
きっと、見えない壁を見つけてくれるはずです。
