はじめに
こんにちは、CSM課の設樂です。
VPC ピアリングの接続可否を分析してくれる Reachability Analyzer が追加されたので試しに使ってみました。
VPC ピアリングを有効にするだけでは VPC 間の通信を自動的に可能にしてくれるものでありません。
通信を可能にするはルートテーブルだったり、セキュリティグループの許可が必要です。
他にも色々ありますが、そういった二次的な問題点を教えてくれる機能が Reachability Analyzer です。
以前、多数の VPC が相互にピアリングしている構成でインスタンス間で通信がとれず、ルーティングやセキュリティグループを見直すのに苦労した覚えがあります。
当時は Transit Gateway の機能追加に助けられましたが、今回の Reachability Analyzer も非常に便利でした。
構成図
やってみた
■ VPC を2つ準備しました。
■ 各 VPC に EC2 を準備しました。
■ VPC をピアリングしました。
■ VPC サービスコンソールの左ペインにある "Reachability Analyzer" を選択肢、「パスの作成と分析」を選択する。
■ 送信元 / 送信先タイプを "Instances" を選択し、送信元 / 送信先を "instances" のある VPC を指定しました。「パスの作成と分析」をクリックで作成。
分析できる送信元 / 送信先タイプは下記です。
- Transit Gateways
- VPN Gateways
- Instances
- Network Interfaces
- Internet Gateways
- VPC Endpoints
- VPC Peering Connections
画面の右下にある「パスの作成と分析」をクリックで作成。
■ 分析には数分かかり、結果がでました。「到達不可能」と表示されてます。
■ 到達不可能理由は、「ルートテーブル」と「セキュリティグループ」が原因と表示されています。
■ ルートテーブルとセキュリティグループを見直し、再度「パスの分析」を実行したところ、到達可能になりました。
■ 通信の流れも表示してくれました。
おわりに
ネットワークが複雑になってくるとどこが原因で通信がとれないのか調査するのが大変ですよね。
Reachability Analyzer はそんなタスクから開放してくれる機能でした。
分析系の機能追加は便利です。これからも色々追加されることを期待しています。
設樂 勲史 (記事一覧)
