Warum kann ich kein NAT-Gateway verwenden, um von meinen Amazon EC2-Instances aus auf das Internet zuzugreifen?

Lösung

Probleme mit der Internetverbindung mit NAT-Gateways können aufgrund von Problemen mit der Subnetzkonfiguration oder fehlenden Routen auftreten.

Den Reachability Analyzer verwenden, um deine Konnektivität zu prüfen

Verwende den Reachability Analyzer, um zu überprüfen, ob eine Route erreichbar ist.

Erstelle und analysiere zunächst einen Pfad. Wähle als Quelltyp die Option Instances und dann deine Instance aus. Wähle als Zieltyp die Option Internet-Gateways und dann das Gateway aus, das du als Ziel passieren möchtest. Sieh dir dann die Ergebnisse an, um festzustellen, ob der Pfad erreichbar ist. Wenn er nicht erreichbar ist, analysiere den Pfad und aktualisiere deine Konfiguration nach Bedarf.

Subnetzkonfigurationen überprüfen

Vergewissere dich, dass deine Routing-Tabellen die folgenden Konfigurationen haben:

• Das NAT-Gateway befindet sich in einem öffentlichen Subnetz mit einer Routing-Tabelle, die den Internetverkehr an ein Internet-Gateway weiterleitet.
• Deine Instance befindet sich in einem privaten Subnetz mit einer Routing-Tabelle, die den Internetverkehr an das NAT-Gateway weiterleitet.
• Es gibt keine anderen Routing-Tabelleneinträge, die den gesamten oder einen Teil des Internetverkehrs an ein anderes Gerät anstelle des NAT-Gateways weiterleiten.

Stelle sicher, dass die zugehörigen Sicherheitsgruppen und Netzwerk-Zugriffssteuerungslisten (ACLs) für deine Quell-Instance ausgehenden Traffic zulassen. Das Subnetz, in dem du das NAT-Gateway startest, muss über eine zugeordnete Netzwerk-ACL verfügen, die eingehenden Datenverkehr von den Instances und den Internet-Hosts zulässt. Die Netzwerk-ACL muss auch ausgehenden Datenverkehr zu den Internet-Hosts und den Instances zulassen.

Vergewissere dich, dass sich das NAT-Gateway im Status Verfügbar befindet. Um deinen NAT-Gateway-Status einzusehen, öffne die Amazon Virtual Private Cloud (Amazon VPC)-Konsole. Navigiere zur Seite NAT-Gateways und sieh dir die Statusinformationen im Detailbereich an. Wenn sich das NAT-Gateway in Zustand „Fehlgeschlagen“ befindet, ist möglicherweise ein Fehler bei der Erstellung des NAT-Gateways aufgetreten. Weitere Informationen findest du unter Fehler bei der Erstellung des NAT-Gateways.

Um dir bei der Diagnose unterbrochener Verbindungen aufgrund von Regeln für Netzwerk-ACLs oder Sicherheitsgruppen zu helfen, aktiviere VPC-Flow-Protokolle.

Wenn du den Befehl ping verwendest, stelle sicher, dass du einen Ping an einen Host sendest, auf dem das Internet Control Message Protocol (ICMP) aktiviert ist. Wenn auf dem Host ICMP nicht aktiviert ist, erhältst du keine Antwortpakete. Um zu testen, ob auf dem Host ICMP aktiviert ist, führe denselben Ping-Befehl über das Befehlszeilenterminal auf deinem Computer aus.

Prüfe, ob deine Instance andere Ressourcen anpingen kann, z. B. andere Instances im privaten Subnetz.

Hinweis: Stelle sicher, dass deine Regeln für Sicherheitsgruppen es dir ermöglichen, andere Ressourcen anzupingen.

Vergewissere dich, dass deine Verbindung nur ein TCP-, UDP- oder ICMP-Protokoll verwendet.

Damit die Instances auf eine HTTPS Website zugreifen können, muss die Netzwerk-ACL, die du dem NAT-Gateway-Subnetz zugeordnet hast, die folgenden Regeln erfüllen.

Regeln für eingehenden Datenverkehr:

Regeln für ausgehenden Datenverkehr: