Perché non posso utilizzare un gateway NAT per accedere a Internet dalle mie istanze Amazon EC2?
Desidero risolvere i problemi che riscontro quando utilizzo un gateway NAT per accedere a Internet dalle mie istanze Amazon Elastic Compute Cloud (Amazon EC2).
Risoluzione
I problemi di connettività Internet con i gateway NAT possono verificarsi a causa di problemi di configurazione della sottorete o di route mancanti.
Utilizza il sistema di analisi della reperibilità per verificare la connettività
Per verificare se una route è raggiungibile, utilizza il sistema di analisi della reperibilità.
Crea e analizza un percorso. Per Tipo di origine, scegli Istanze, quindi seleziona l'istanza. Per Tipo di destinazione, scegli Gateway Internet, quindi seleziona il gateway che desideri attraversare come destinazione. Dopodiché visualizza i risultati per stabilire se il percorso è raggiungibile. Se non è raggiungibile, analizza il percorso e aggiorna la configurazione secondo necessità.
Verifica le configurazioni della sottorete
Verifica che le tabelle di routing abbiano le seguenti configurazioni:
- Il gateway NAT si trova in una sottorete pubblica con una tabella di routing che indirizza il traffico Internet verso un gateway Internet.
- L'istanza si trova in una sottorete privata con una tabella di routing che indirizza il traffico Internet al gateway NAT.
- Non ci sono altre voci della tabella di routing che indirizzano tutto o parte del traffico Internet a un altro dispositivo anziché al gateway NAT.
Assicurati che i gruppi di sicurezza e le liste di controllo dell'accesso alla rete (ACL) associate per l'istanza di origine consentano il traffico in uscita. La sottorete in cui si avvia il gateway NAT deve avere un'ACL associata che consenta il traffico in entrata dalle istanze e dagli host Internet. L'ACL deve inoltre consentire il traffico in uscita verso gli host Internet e le istanze.
Verifica che il gateway NAT sia nello stato Disponibile. Per visualizzare lo stato del gateway NAT, apri la console Amazon Virtual Private Cloud (Amazon VPC). Vai alla pagina Gateway NAT, quindi visualizza le informazioni sullo stato nel pannello dei dettagli. Se il gateway NAT è in uno stato di operazione non riuscita, potrebbe essersi verificato un errore durante la creazione del gateway NAT. Per ulteriori informazioni, consulta Creazione gateway NAT non riuscita.
Per diagnosticare più facilmente le connessioni interrotte a causa dell'ACL o delle regole del gruppo di sicurezza, attiva Log di flusso VPC.
Se utilizzi il comando ping, assicurati di eseguire il ping su un host con Internet Control Message Protocol (ICMP) attivato. Se l'host non ha l'ICMP , non riceverai pacchetti di risposta. Per verificare se l'host ha l'ICMP attivato, esegui lo stesso comando ping dal terminale a riga di comando sul computer.
Verifica che l'istanza sia in grado di eseguire il ping di altre risorse, ad esempio altre istanze nella sottorete privata.
Nota: assicurati che le regole del gruppo di sicurezza ti consentano di eseguire il ping di altre risorse.
Verifica che la connessione utilizzi solo un protocollo TCP, UDP o ICMP.
Per consentire alle istanze di accedere a un sito web HTTPS, l'ACL associata alla sottorete del gateway NAT deve avere le seguenti regole.
Regole in entrata:
| Origine | Protocollo | Intervallo di porte | Consenti/Nega |
|---|---|---|---|
| CIDR VPC | TCP | 443 | CONSENTI |
| IP Internet | TCP | 1024-65535 | CONSENTI |
Regole in uscita:
| Destinazione | Protocollo | Intervallo di porte | Consenti/Nega |
|---|---|---|---|
| IP Internet | TCP | 443 | CONSENTI |
| CIDR VPC | TCP | 1024-65535 | CONSENTI |
- Argomenti
- Networking & Content Delivery
- Tag
- Amazon VPC
- Lingua
- Italiano
