Perché la mia istanza Amazon EC2 in una sottorete privata non riesce a connettersi a Internet utilizzando un gateway NAT?

3 minuti di lettura
0

Ho creato un gateway NAT per accedere a Internet dalla mia istanza Amazon Elastic Compute Cloud (Amazon EC2). La mia istanza utilizza le porte HTTP o HTTPS in una sottorete privata, ma non è in grado di accedere a Internet.

Risoluzione

Verifica che le istanze soddisfino le seguenti condizioni:

1.    La destinazione è raggiungibile eseguendo il ping della destinazione da un'altra origine tramite indirizzo IP pubblico.

2.    Il gateway NAT risulta Disponibile. Se lo stato del gateway NAT risulta Non riuscito, consulta la pagina Creazione gateway NAT non riuscita.

Nota: un gateway NAT nello stato Non riuscito viene eliminato automaticamente dopo circa un'ora.

3.    Hai creato il gateway NAT in una sottorete pubblica e la tabella di routing pubblica ha un routing predefinito che punta a un gateway Internet.

4.    La tabella di routing della sottorete privata ha un routing predefinito che punta al gateway NAT.

Importante: assicurati di non utilizzare la stessa tabella di routing sia per la sottorete privata che per quella pubblica. Se utilizzi la stessa tabella di routing, il traffico non verrà indirizzato a Internet.

5.    L'attributo enableDNSSupport è impostato su true nel VPC. Per ulteriori informazioni, consulta la pagina Visualizzazione e aggiornamento degli attributi DNS per il VPC.

Nota: attiva il DNS per evitare errori di risoluzione del DNS.

6.    I firewall non bloccano il traffico sulle porte 80 (per il traffico HTTP) e 443 (per il traffico HTTPS). Assicurati di verificare se è presente un firewall che blocca il traffico sull'host di destinazione. È possibile utilizzare il seguente comando di esempio per verificare la presenza di firewall:

$ telnet PUBLIC_IP TCP_PORT

7.    Il gruppo di sicurezza collegato all'interfaccia di rete elastica dell'istanza consente il traffico in uscita verso le porte 80 e 443. Per ulteriori informazioni, consulta la pagina Gruppi di sicurezza Amazon EC2 per istanze Linux o Gruppi di sicurezza Amazon EC2 per istanze Windows.

8.    Gli esempi seguenti contengono regole che consentono il traffico in entrata e in uscita verso le porte 80 e 443 utilizzando l'indirizzo IP di destinazione 0.0.0.0/0:

  • Le liste di controllo degli accessi di rete (ACL) associate alla sottorete privata in cui si trova l'istanza.
  • Le ACL di rete associate alla sottorete pubblica in cui si trova il gateway NAT.

Per consentire alle tue istanze Amazon EC2 di accedere a un sito web HTTPS, l'ACL di rete associata alla sottorete del gateway NAT deve avere le seguenti regole:

Regole in entrata

OrigineProtocolloIntervallo di porteAllow/Deny
CIDR VPCTCP443ALLOW
PUBLIC_IPTCP1024-65535ALLOW

Regole in uscita

DestinazioneProtocolloIntervallo di porteAllow/Deny
PUBLIC_IPTCP443ALLOW
CIDR VPCTCP1024-65535ALLOW

Per ulteriori informazioni sulla configurazione delle ACL di rete, consulta la pagina Utilizzo di ACL di rete.


Informazioni correlate

Gateway NAT

Configurare le tabelle di routing

AWS UFFICIALE
AWS UFFICIALEAggiornata 3 anni fa