🌐

AWS Reachability Analyzer を活用したネットワークトラブルシューティング

2025/01/29に公開

AWSのネットワーク構成が複雑になると、「このEC2からこのRDSに接続できる?」というシンプルな疑問に答えるのが難しくなります。セキュリティグループ、ネットワークACL、ルートテーブル、VPCピアリング……いろんな要素が絡み合うと、原因特定に時間がかかることも。

そんなときに役立つのが AWS Reachability Analyzer です。
本記事では、AWS Reachability Analyzer の使い方と活用シナリオについて、わかりやすく解説していきます。

AWS Reachability Analyzer とは?

AWS Reachability Analyzer は、指定した2つのリソース間のネットワーク到達性を分析できるツール です。
例えば、次のようなケースで使えます。

✅ 「EC2 から RDS に接続できない」 → どこでブロックされているか調べたい
✅ 「VPC ピアリングを設定したけど、通信できない」 → ルートやセキュリティ設定を確認したい
✅ 「NAT Gateway 経由でインターネットアクセスできる?」 → 設定ミスがないかチェックしたい

これまでは トラブル発生時に手動でセキュリティグループやルートテーブルを調査 していた人も多いと思います。
しかし、Reachability Analyzer を使えば ワンクリックでネットワーク経路を分析 し、どこで通信がブロックされているかを特定できます。

↓到達不可能の場合

↓到達可能の場合

基本の使い方

1. 分析対象のリソースを指定する

AWS マネジメントコンソールで [Reachability Analyzer] を開き、ソース(送信元) と デスティネーション(宛先) を指定します。
例えば、EC2 から RDS への接続をチェックする場合:
• ソース → EC2 インスタンス(または ENI)
• デスティネーション → RDS インスタンス(または ENI)

プロトコル(TCP/UDP)とポート番号も指定できます。

2. 分析を実行する

「パスを分析」ボタンを押すと、Reachability Analyzer が VPC、サブネット、ルートテーブル、セキュリティグループ、ネットワークACL をチェックし、通信が可能かどうかを解析します。

3. 結果を確認する
• 到達可能(Reachable) → 設定に問題なし
• 到達不可(Not Reachable) → どこでブロックされているかが表示される

到達不可のケースでは、ブロックの原因となっているリソース(上の画像の場合はファイアウォールによるブロック) がハイライトされるので、すぐに修正できます。

よくあるユースケース

1. EC2 から RDS への接続チェック

「アプリからDBに接続できない…何が悪い?」 というケースで、よくある原因は以下のようなもの。
• セキュリティグループの設定ミス → RDS のセキュリティグループで EC2 からのアクセスを許可していない
• サブネットルートの問題 → RDS がプライベートサブネットにあり、NAT Gateway の設定が不足している
• ネットワークACLの制限 → サブネットレベルで通信がブロックされている

Reachability Analyzer を使えば、どの部分でブロックされているかを可視化できます。

2. VPC ピアリングの通信確認

VPC ピアリングを設定したのに通信できない場合、次のような問題が考えられます。
• ルートテーブルにピアリング先のCIDRがない
• セキュリティグループが他のVPCからのアクセスを拒否している
• ネットワークACLでピアリング経由の通信がブロックされている

手動で調べるのは大変ですが、Reachability Analyzer を使えば 一発でチェック可能 です。

3. インターネット接続の経路確認

「このEC2は本当にインターネットに出られる?」と確認したいとき、次のようなチェックができます。
• パブリックサブネットのEC2 → インターネットゲートウェイ
• プライベートサブネットのEC2 → NAT Gateway → インターネット

ルートテーブル、NATの設定、ACLなどのミスがすぐに分かるので、トラブルシューティングが一気に楽になります。

まとめ:Reachability Analyzer を活用してネットワークトラブルを解決しよう

AWSのネットワークトラブルは、手作業で調査すると時間がかかります。
しかし、AWS Reachability Analyzer を使えば 「どこで通信がブロックされているか」を一発で特定 できるので、トラブルシューティングが圧倒的に楽になります。

✅ EC2 → RDS 接続チェック
✅ VPC ピアリングの通信確認
✅ インターネット接続の確認

これらのケースで困ったら、ぜひ Reachability Analyzer を活用してみてください!

Discussion