はじめに
AWSを触り始めると、よく「EC2に接続できません。なぜですか?」「EC2からインターネットに接続できない。接続できるはずなのに。。」等、相談されることがあります。認定試験でも出てきそうな問題ですね。
どこが悪いか確認するために各サービスの接続ポイントを1つ1つ調べることになりますが、時間がかかりますね。。。手っ取り早く問題は「ここ!」を知りたいですよね。
そんな時に便利なのが、VPC Reachability Analyzerです。
例えば、AというEC2と、BというEC2が接続できるか分析してくれます。接続できない場合は、どこが問題になっていて接続できないのか教えてくれます。
VPC Reachability Analyzer
以下のドキュメントに説明が記載されていますが、VPC内の2つのエンドポイント間、または複数のVPC間で、通信の到達性を確認でき、VPC Reachability Analyzerを使うことで問題を解決することができます。
実際にやってみる
実際にどんな感じなのかやってみます。
構成
以下のような構成があり、EC2(access-test-2)からEC2(access-test-1)が接続できない状態とします。
VPC Reachability Analyzerを開く
VPCを開き、左のメニューから「Reachability Analyzer」をクリックします。
パスの作成と分析を設定する
右上の「パスの作成と分析」をクリックし、作成画面を開きます。
名前タグを設定し、送信元タイプ、送信先タイプ、送信先ポート、プロトコルを設定します。
送信元、送信先タイプは以下を選択できます。今回はEC2ですので、Instancesを選択します。
入力すると、以下のような形です。送信元(access-test-2のインスタンスID)、送信先(access-test-1のインスタンスID)を選択しています。
パスの作成と分析を実行する
作成画面の下段にある「パスの作成と分析」をクリックし、実行します。
↓↓実行されます。
分析は数秒〜数十秒で完了します。(複雑だと長いかも)
「到達不可能」と表示されていますね。
分析内容を確認する
分析IDをクリックし、分析結果を表示します。
↓↓概要は以下のように表示されます。
↓↓さらに下を確認すると、分析結果が表示され、何が問題かわかります。「Details」をクリックして開くとさらに詳細な内容が確認できます。
↓↓Details
上記より、セキュリティグループで弾かれていることがわかります。
修正後に再確認する
分析結果より、再度セキュリティグループを見直し、修正しましたので再度確認してみたいと思います。
「Reachability Analyzer」を開き、パスIDをクリックし、分析結果を開きます。(「アクション」-「詳細を表示」でも同じ画面が表示されます。)
「パスの分析」をクリックし、分析を実行します。
※中間コンポーネントは、NAT Gateway等を利用した構成での確認の際にARNを入力し利用します。今回は使いませんので、空欄です。
再実行時の結果を確認する
再実行後、分析タブに分析結果が表示されます。今回は、「到達可能」となり、接続できることが確認できました。
下段には、ルートが表示されますので、どのような経路で接続できたかもわかります。
まとめ
今回は、EC2からEC2への接続で確認しましたが、送信元/先の選択肢にもあった各エンドポイント間での接続を確認することが可能です。1人で順に各接続ポイントを見てもなかなか見つけられず、時間が経つことはよくあるかと思います。そんな時、VPC Reachability Analyzerを使うとあっさり問題点がわかりますので、ぜひ活用していただければと思います。
だいたい単純なミスで、「そこかよっ!」ってなる時が多いのですよね、こういうの。(笑)
1人でハマって問題を見つけられない時の便利ツールですね。