1.Amazon Q network troubleshootingとは
Amazon Q network troubleshootingは、Amazon VPC Reachability Analyzer と連携する Amazon Q の機能です。AWS アカウント内のネットワーク層リソース間の通信におけるトラブルシューティングを行ってくれます。
2024年2月現在プレビューリリース中で、バージニア北部リージョンで利用可能です。対応言語は英語のみとなります。
また、1日に20回まで質問可能という制約があり、24時間ごとにリセットされます。
以下のリソース間のネットワークトラフィック制御を分析できます。
・EC2
・RDS
・Auto scaling group
・Elastic network interface
・Internet gateway
・NAT gateway
・Transit gateway
・Virtual private gateway
・VPC
・VPC endpoint
・VPC peering
2.実際にトラブルシューティングしてみた
今回は以下のネットワーク構成でパブリックサブネットに作成したEC2へ外部端末からRDP接続を行います。
以下の3つの接続不可パターンに対してAmazon Q network troubleshootingがどのような返答をするか検証してみます。
①パブリックIPアドレス(EIP)をEC2にアタッチしていない
②ルートテーブルにインターネットゲートウェイ向きのルートなし
③セキュリティグループのインバウンドルールで外部端末GIP許可設定なし
①パブリックIPアドレス(EIP)をEC2にアタッチしていない
まずAWSコンソールログイン後右上にある正六角形アイコンを押し、AmazonQを開きます。昨年のAWS re:InventでAmazon Qが発表されて以降このアイコンが追加されました。
こちらを押すとAmazon Qへ質問を入力する画面が出るので、EC2に対してインターネット経由でアクセス不可の旨を入力します。ネットワーク問題のためプレビュー中のAWS Q for Reachability Analyzerへ誘導されます。
以下がAmazon Qの回答の日本語訳と実際の画面キャプチャとなります。翻訳精度の都合のため不自然な日本語ではありますが、パブリックIP付与に触れており直接的な原因を示唆してくれています。
| Amazon Q 回答 |
|---|
| 送信先アドレスが機能状態のアタッチメントを持つ VPC vpc-×× 内のネットワークインターフェイスのパブリック IP でない場合、インターネットゲートウェイ igw-××はパブリックインターネットからのインバウンドトラフィックを受け入れることができません。IPv4 パブリック IP アドレスを送信先に追加し、または編集するには、Elastic IP address。 |
②ルートテーブルにインターネットゲートウェイ向きのルートなし
EC2配置サブネットに紐づくルートテーブルに接続元端末GIPネクストホップ:インターネットゲートウェイのルートがない場合です。
IGWへのルートが該当ルートテーブルにないことをAmazon Qが回答しています。
| Amazon Q 回答 |
|---|
| ルートテーブル rtb-××には igw-×× への適切なルートがありません。rtb-××。 |
③セキュリティグループのインバウンドルールで外部端末GIP許可設定なし
EC2にアタッチされているセキュリティグループのインバウンドルールで接続元端末GIP RDPを許可設定しないパターンです。
セキュリティグループのイングレスルールに問題がある旨を回答してくれています。
| Amazon Q 回答 |
|---|
| 次のセキュリティグループの ingress ルールはいずれも適用されません: sg-××を参照してください。 |
3パターンの結果をみると問題となりうるリソースを的確に回答してくれました。
3.まとめ
Amazon Q network troubleshootingの登場でネットワーク層のトラブルシューティングがより効率的にできるようになりました。日本のリージョンでも使えるようになる、トラブルシューティングだけでなくアーキテクチャー設計から提案してくれるなど今後の更なるアップデートに期待です。