AWS Reachability Analyzer を活用したネットワークトラブルシューティング
AWSのネットワーク構成が複雑になると、「このEC2からこのRDSに接続できる?」というシンプルな疑問に答えるのが難しくなります。セキュリティグループ、ネットワークACL、ルートテーブル、VPCピアリング……いろんな要素が絡み合うと、原因特定に時間がかかることも。
そんなときに役立つのが AWS Reachability Analyzer です。
本記事では、AWS Reachability Analyzer の使い方と活用シナリオについて、わかりやすく解説していきます。
AWS Reachability Analyzer とは?
AWS Reachability Analyzer は、指定した2つのリソース間のネットワーク到達性を分析できるツール です。
例えば、次のようなケースで使えます。
✅ 「EC2 から RDS に接続できない」 → どこでブロックされているか調べたい
✅ 「VPC ピアリングを設定したけど、通信できない」 → ルートやセキュリティ設定を確認したい
✅ 「NAT Gateway 経由でインターネットアクセスできる?」 → 設定ミスがないかチェックしたい
これまでは トラブル発生時に手動でセキュリティグループやルートテーブルを調査 していた人も多いと思います。
しかし、Reachability Analyzer を使えば ワンクリックでネットワーク経路を分析 し、どこで通信がブロックされているかを特定できます。
↓到達不可能の場合
↓到達可能の場合
基本の使い方
1. 分析対象のリソースを指定する
AWS マネジメントコンソールで [Reachability Analyzer] を開き、ソース(送信元) と デスティネーション(宛先) を指定します。
例えば、EC2 から RDS への接続をチェックする場合:
• ソース → EC2 インスタンス(または ENI)
• デスティネーション → RDS インスタンス(または ENI)
プロトコル(TCP/UDP)とポート番号も指定できます。
2. 分析を実行する
「パスを分析」ボタンを押すと、Reachability Analyzer が VPC、サブネット、ルートテーブル、セキュリティグループ、ネットワークACL をチェックし、通信が可能かどうかを解析します。
3. 結果を確認する
• 到達可能(Reachable) → 設定に問題なし
• 到達不可(Not Reachable) → どこでブロックされているかが表示される
到達不可のケースでは、ブロックの原因となっているリソース(上の画像の場合はファイアウォールによるブロック) がハイライトされるので、すぐに修正できます。
よくあるユースケース
1. EC2 から RDS への接続チェック
「アプリからDBに接続できない…何が悪い?」 というケースで、よくある原因は以下のようなもの。
• セキュリティグループの設定ミス → RDS のセキュリティグループで EC2 からのアクセスを許可していない
• サブネットルートの問題 → RDS がプライベートサブネットにあり、NAT Gateway の設定が不足している
• ネットワークACLの制限 → サブネットレベルで通信がブロックされている
Reachability Analyzer を使えば、どの部分でブロックされているかを可視化できます。
2. VPC ピアリングの通信確認
VPC ピアリングを設定したのに通信できない場合、次のような問題が考えられます。
• ルートテーブルにピアリング先のCIDRがない
• セキュリティグループが他のVPCからのアクセスを拒否している
• ネットワークACLでピアリング経由の通信がブロックされている
手動で調べるのは大変ですが、Reachability Analyzer を使えば 一発でチェック可能 です。
3. インターネット接続の経路確認
「このEC2は本当にインターネットに出られる?」と確認したいとき、次のようなチェックができます。
• パブリックサブネットのEC2 → インターネットゲートウェイ
• プライベートサブネットのEC2 → NAT Gateway → インターネット
ルートテーブル、NATの設定、ACLなどのミスがすぐに分かるので、トラブルシューティングが一気に楽になります。
まとめ:Reachability Analyzer を活用してネットワークトラブルを解決しよう
AWSのネットワークトラブルは、手作業で調査すると時間がかかります。
しかし、AWS Reachability Analyzer を使えば 「どこで通信がブロックされているか」を一発で特定 できるので、トラブルシューティングが圧倒的に楽になります。
✅ EC2 → RDS 接続チェック
✅ VPC ピアリングの通信確認
✅ インターネット接続の確認
これらのケースで困ったら、ぜひ Reachability Analyzer を活用してみてください!
Discussion