Route Analyzer とは
2020/5/4 に発表された、AWS Transit Gateway Network Manager の新機能です。
Announcing Route Analyzer in AWS Transit Gateway Network Manager
https://aws.amazon.com/jp/about-aws/whats-new/2020/05/announcing-route-analyzer-in-aws-transit-gateway-network-manager/
Route Analyzer により、実際のトラフィックの送信を行う前に Transit Gateway で接続された
ネットワーク内の特定の送信元と送信先間のルーティング構成を検証できます。
これによりトラフィック障害の原因となっているルート関連の問題を簡単に確認できるようになります。
やってみる
前提
東京リージョンとバージニアリージョンの Transit Gateway 間で Inter-Region Peering を構成します。
Route Analyzer でそれぞれの Transit Gateway にアタッチされた VPC 間の接続性を確認します。
ここでは詳細を割愛しますが、事前に以下の準備が必要です。
- 両リージョンで Transit Gateway を作成し、自リージョン内のVPCをアタッチ
- Network Manager でグローバルネットワークを作成し、両リージョンの Transit Gateway を登録
- 東京から Peering Connection のアタッチメントを作成し、バージニア北部の Transit Gateway を指定
- バージニア北部側で Peering Connection のリクエストを承認する
Peering Connection の指定例
Network Manager の地域マップを確認すると、2つのリージョン間で Transit Gateway のピアリングが
確立されていることを確認できます。
Route Analyzer を試すため、ここではあえてルートテーブルの編集はまだ行いません。
Route Analyzer の実行
Network Manager のルートアナライザータブを選択します。
送信元には東京リージョンの Transit Gateway、VPC のアタッチメント、
および VP C内のプライベートIP を指定します。
同様に送信先にはバージニア北部リージョンの Transit Gateway、VPC のアタッチメント、
および VPC 内のプライベートIP を設定し、ルート分析を実行 をクリックします。
結果が表示され、ステータスから接続ができなていないことがわかります。
前提の手順では Inter-Region Peering を構成後にルートテーブルの編集を行っていないため
想定どおりの結果です。
東京リージョン側のTransit Gateway ルートテーブルに静的ルートを追加します。
ここでは CIDR に先ほど Route Analyzer で指定したバージニア北部リージョン側 VPCの
プライベートIPアドレスを、/32 で指定します。
Choose attachment では Peering Connection のアタッチメントを指定する必要があります。
この状態でルート分析を再度実行すると、東京→バージニア北部リージョンの接続に成功します。
Route Analyzer では宛先から送信元に戻るトラフィックの戻りパスも分析することもできます。
戻りパスの接続は失敗していますが、この時点ではまだバージニア北部リージョン側の
Transigt Gateway ルートテーブルの編集は行っていないため、想定通りの結果です。
同様にバージニア北部側のルートテーブルを編集し、分析を再実行した結果が以下です。
前向きパスと戻りパスの両方で接続が確認できました。
実際にトラフィックを流さずに接続性を確認できますし、設定追加が必要な
ルートテーブルも明示してくれるのでとても便利です。
注意点など
Route Analyzer は、セキュリティグループやネットワーク ACL ルールを分析しません。
これらの影響も考慮する場合、VPCフローログを併用して分析、確認する必要があります。
参考
Amazon VPC Document - Route Analyzer
https://docs.aws.amazon.com/vpc/latest/tgw/route-analyzer.html
以上です。
参考になれば幸いです。