Pourquoi ne puis-je pas utiliser une passerelle NAT pour accéder à Internet depuis mes instances Amazon EC2 ?

Résolution

Des problèmes de connectivité Internet avec les passerelles NAT peuvent survenir en raison de problèmes de configuration de sous-réseau ou de routes manquantes.

Utiliser l’analyseur d'accessibilité pour vérifier votre connectivité

Pour vérifier si une route est accessible, utilisez l’Analyseur d’accessibilité.

Tout d’abord, créez et analysez un chemin. Dans Type de source, choisissez Instances, puis sélectionnez votre instance. Dans Type de destination, choisissez Passerelles Internet, puis sélectionnez la passerelle par laquelle vous souhaitez passer comme destination. Puis, consultez les résultats pour déterminer si le chemin est accessible. S'il est inaccessible, analysez le chemin et mettez à jour votre configuration si nécessaire.

Vérifier les configurations de vos sous-réseaux

Vérifiez que les configurations de vos tables de routage sont les suivantes :

• La passerelle NAT se trouve dans un sous-réseau public doté d'une table de routage qui achemine le trafic Internet vers une passerelle Internet.
• Votre instance se trouve dans un sous-réseau privé doté d'une table de routage qui achemine le trafic Internet vers la passerelle NAT.
• Aucune autre entrée de table de routage n'achemine tout ou partie du trafic Internet vers un autre appareil au lieu de la passerelle NAT.

Assurez-vous que les groupes de sécurité et les listes de contrôle d'accès (ACL) au réseau associés à votre instance source autorisent le trafic sortant. Le sous-réseau sur lequel vous avez lancé la passerelle NAT doit avoir une ACL réseau associée qui autorise le trafic entrant provenant des instances et des hôtes Internet. L'ACL réseau doit également autoriser le trafic sortant vers les hôtes Internet et les instances.

Vérifiez que la passerelle NAT est à l'état Disponible. Pour consulter l'état de votre passerelle NAT, ouvrez la console Amazon Virtual Private Cloud (Amazon VPC). Accédez à la page Passerelles NAT, puis affichez les informations d'état dans le volet de détails. Si la passerelle NAT est en état d'échec, une erreur s'est peut-être produite lors de la création de la passerelle NAT. Pour plus d'informations, consultez la section Échec de la création de la passerelle NAT.

Pour vous aider à diagnostiquer les connexions interrompues en raison d'une ACL réseau ou de règles de groupe de sécurité, activez Journaux de flux VPC.

Si vous utilisez la commande ping, assurez-vous d'envoyer une requête ping à un hôte sur lequel le protocole ICMP (Internet Control Message Protocol) est activé. Si l'ICMP n'est pas activé sur l'hôte, vous ne recevrez pas de paquets de réponse. Pour vérifier si ICMP est activé sur l'hôte, exécutez la même commande ping depuis le terminal de ligne de commande de votre ordinateur.

Vérifiez que votre instance peut envoyer une requête ping à d'autres ressources, telles que d'autres instances du sous-réseau privé.

Remarque : Assurez-vous que les règles de votre groupe de sécurité vous autorisent à envoyer une requête ping à d'autres ressources.

Vérifiez que votre connexion utilise uniquement un protocole TCP, UDP ou ICMP.

Pour autoriser des instances à accéder à un site Web HTTPS, l'ACL réseau que vous associez au sous-réseau de la passerelle NAT doit comporter les règles suivantes :

Règles entrantes :

Règles de trafic sortant :