Comment puis-je résoudre les problèmes de connectivité entre Internet et les instances Amazon EC2 au sein de mon VPC ?

Lecture de 5 minute(s)
0

Je ne peux pas me connecter à une instance Amazon Elastic Compute Cloud (Amazon EC2) au sein d’un Virtual Private Cloud (VPC) Amazon à partir d’Internet.

Brève description

Les problèmes de connectivité entre Internet et une instance Amazon EC2 sont généralement liés aux éléments de configuration suivants :

Résolution

Avant de commencer, confirmez que votre instance EC2 passe les contrôles de l’état du système et les contrôles de statut de l’instance.

Si vous utilisez Network Firewall, consultez la page Comment puis-je résoudre les problèmes liés à Network Firewall lorsqu’une règle ne fonctionne pas comme prévu ?

Vérification des groupes de sécurité

Vérifiez que le groupe de sécurité associé à l’interface réseau Elastic de l’instance autorisent les connexions depuis les ports requis. Les groupes de sécurité étant dynamiques, il n’est pas nécessaire de configurer leurs règles de sortie.

Important : dans un environnement de production, seule une adresse IP ou une plage d’adresses spécifique doit être autorisée à accéder à votre instance. À des fins de test, spécifiez l’adresse IP personnalisée 0.0.0.0/0 pour permettre à toutes les adresses IP d’utiliser SSH ou RDP pour accéder à votre instance.

Par exemple, si vous utilisez SSH pour vous connecter à l’instance depuis Internet, vous devez ajouter une règle sur le port 22. Vérifiez que cette règle autorise bien l’adresse IP source à accéder à l’instance. Pour autoriser quiconque à se connecter, vous devez ajouter une règle autorisant l’adresse IP 0.0.0.0/0 à accéder au port 80.

Vérification des listes de contrôle d’accès (ACL) réseau

Consultez les ACL de votre réseau pour vérifier les paramètres de configuration suivants :

  • Les ACL réseau associées à votre sous-réseau VPC doivent autoriser le passage du trafic via les ports requis. Pour en savoir plus, consultez les sections Contrôle du trafic vers les sous-réseaux à l’aide de listes de contrôle d’accès réseau et Ajout et suppression de règles.
  • Vous devez autoriser le trafic entrant et sortant. Les ACL réseau sont sans état. Les réponses au trafic entrant autorisé sont soumises aux règles relatives au trafic sortant. De même, les réponses au trafic sortant autorisé sont soumises aux règles relatives au trafic entrant.
  • Vérifiez que les ports éphémères sont les seuls ports ouverts aux ACL sortantes. Il est recommandé de n’autoriser que les ports dont vous avez besoin.

Important : si vous ne pouvez toujours pas identifier ce qui empêche le trafic d’accéder à votre instance, activez les journaux de flux VPC. Les journaux de flux capturent le trafic d’adresse IP qui passe par votre VPC. Si vos journaux de flux indiquent un rejet de trafic, vérifiez à nouveau les paramètres de vos groupes de sécurité et de vos ACL réseau.

Vérification des tables de routage

Pour vérifier si une passerelle Internet est attachée à votre VPC, procédez comme suit :

  1. Ouvrez la console Amazon VPC.
  2. Dans le volet de navigation, accédez à la section Cloud privé virtuel, puis sélectionnez Passerelles Internet.
  3. Recherchez la passerelle Internet attachée à votre VPC. Vous pouvez également rechercher votre ID de VPC attaché, par exemple vpc-xxxxxxxx.
  4. Notez l’ID de la passerelle Internet, par exemple igw-xxxxxxxx.

Si une passerelle Internet est déjà attachée à votre VPC, procédez comme suit :

  1. Consultez les tables de routage de votre VPC pour trouver la route menant à votre passerelle Internet. Recherchez une route dont la Cible est l’ID de la passerelle Internet attachée à votre VPC et dont la Destination est 0.0.0.0/0.
  2. Si cette route n’existe pas, ajoutez une route en indiquant la passerelle Internet comme Cible et 0.0.0.0/0 comme Destination.
  3. Vérifiez que la table de routage du sous-réseau comporte également une route menant à la passerelle Internet. Dans le cas contraire, l’instance se trouve dans un sous-réseau privé et est inaccessible depuis Internet.

Remarque : vérifiez que les tables de routage au niveau du système d’exploitation autorisent bien le trafic en provenance d’Internet. En fonction de votre configuration, vous pouvez utiliser la commande route -n pour les instances Linux ou la commande netstat -rn pour les instances Linux ou Windows.

Vérification des adresses IP

  • Vérifiez qu’une adresse IP publique est attribuée à votre instance VPC ou qu’une adresse IP Elastic est attachée à l’interface réseau de l’instance. Dans le cas contraire, vous devez attribuer une adresse IP publique ou une adresse IP Elastic.
    Remarque : pour en savoir plus, consultez les sections Adressage IP pour vos VPC et sous-réseaux et Utilisation d’adresses IP Elastic.
  • Vérifiez que le logiciel au niveau du système d’exploitation ou les pare-feux de l’instance autorisent le trafic via les ports requis.

Informations connexes

Pourquoi mes instances EC2 ne peuvent-elles pas accéder à Internet via une passerelle NAT ?

Confidentialité du trafic réseau dans Amazon VPC

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 8 mois