VPC Reachability Analyzer で VPC 内の宛先リソースが送信元リソースから到達可能かどうかを判断する

2021.06.02

こんにちは、yagiです。

本日は、VPC Reachability Analyzer を使用して VPC 内の宛先リソースが送信元リソースから到達可能かどうかを確認する手順をやってみたので紹介します。

以下のAWSドキュメントを参考に実施しました。 VPC Reachability Analyzer

VPC Reachability Analyzer とは?

VPC Reachability Analyzer を使用して、仮想プライベート クラウド (VPC) 内の宛先リソースが送信元リソースから到達可能かどうかを判断できます。開始するには、送信元と宛先を指定します。たとえば、2 つのネットワーク インターフェイス間、またはネットワーク インターフェイスとゲートウェイ間で到達可能性分析を実行できます。 (上記AWS公式ドキュメントからの引用)

設定不備などでネットワークの接続ができない場合のトラブルシューティングに役立ちそうです。早速やってみます。

やってみた

2台のEC2インスタンスをそれぞれ異なるAZで起動して試してみます。

AWS コンソールから VPC へ移動し、 Reachability Analyzer を選択します。

「パスの作成と分析」を押下します。

送信元と送信先を指定して、プロトコルを選択します。

ちなみに2021年6月現在、以下の送信元/先 タイプが指定できるようです。

画面右下の「パスの作成と分析」を押下して数分待つとすぐに到達可能と判断されました。

画面下部に図が表示され、送信元から送信先への流れがひと目で確認できます!これは便利!

次に送信先のインスタンスに対して、セキュリティグループを変更して到達不可能になるよう試してみます。 再度、「パスの分析」を押下して分析をします。

表示内容を確認して、「確認」を押下します。

到達不可能と判断されました。

一意の分析IDとともに、履歴が残るので後で確認ができます。

原因の詳細について表示されます。直接リンクをクリックして、原因となっているセキュリティグループの修正ができました。

結論

VPC Reachability Analyzer を使用して VPC 内の宛先リソースがソース リソースから到達可能かどうかを確認する手順をやってみました。通信経路の図が表示されたり、分析の度に履歴が残るなど、トラブルシューティングで色々試したりした際にはとても便利な機能ではないかと思います。

なお、以下のブログで触れていますが、本サービスのコストは有料なようです。

【速報】VPC内の接続性テストとトラブルシューティングを簡単にする!VPC Reachability Analyzerが発表されました! #reinvent

参考

What is VPC Reachability Analyzer?