NAT ゲートウェイを使用して Amazon EC2 インスタンスからインターネットにアクセスできない原因を教えてください。

解決策

サブネットの構成ミスまたはルートの欠落が原因で、NAT ゲートウェイでのインターネット接続に問題が発生する場合があります。

Reachability Analyzer を使用して接続を確認する

ルートが到達可能かどうかを確認するには、Reachability Analyzer を使用します。

まず、パスを作成して解析します。[ソースタイプ] で [インスタンス] を選択し、目的のインスタンスを選択します。[送信先タイプ] で [インターネットゲートウェイ] を選択し、送信先として通過させるゲートウェイを選択します。次に結果を参照し、そのパスが到達可能かどうかを確認します。到達できない場合は、パスを分析し、必要に応じて設定を更新します。

サブネットの構成を確認する

ルートテーブルで次の構成が行われていることを確認します。

• NAT ゲートウェイは、インターネットトラフィックをインターネットゲートウェイにルーティングするルートテーブルが含まれるパブリックサブネットに配置されていること。
• インスタンスは、インターネットトラフィックを NAT ゲートウェイにルーティングするルートテーブルを含むプライベートサブネットに配置されていること。
• 他には、インターネットトラフィックの全部または一部を NAT ゲートウェイではなく別のデバイスにルーティングするルートテーブルエントリが存在しないこと。

ソースインスタンスに関連するセキュリティグループとネットワークアクセスコントロールリスト (ACL) では、アウトバウンドトラフィックを許可する必要があります。NAT ゲートウェイを起動するサブネットには、関連するネットワーク ACL が必要です。ACL では、インスタンスおよびインターネットホストからのインバウンドトラフィックを許可する必要があります。ネットワーク ACL では、インターネットホストとインスタンスへのアウトバウンドトラフィックも許可する必要があります。

NAT ゲートウェイの状態が Available であることを確認します。NAT ゲートウェイのステータスを確認するには、Amazon Virtual Private Cloud (Amazon VPC) コンソールを開きます。[NAT ゲートウェイ] ページに移動すると、詳細ペインにステータス情報が表示されます。NAT ゲートウェイが障害状態の場合、NAT ゲートウェイの作成中にエラーが発生した可能性があります。詳細については、「NAT ゲートウェイを作成できない場合」を参照してください。

VPC フローログを有効にすると、ネットワーク ACL またはセキュリティグループのルールが原因でドロップされた接続を診断できます。

ping コマンドを使用する場合は、インターネット制御メッセージプロトコル (ICMP) が有効なホストに ping を実行する必要があります。ホストで ICMP が有効になっていない場合、応答パケットを受信できません。ホストで ICMP が有効になっているかどうかをテストするには、使用するコンピュータのコマンドラインターミナルから同じ ping コマンドを実行します。

インスタンスが他のリソース (例: プライベートサブネット内の他のインスタンス) に ping を送信できるかどうかを確認します。

注: セキュリティグループのルールでは、他のリソースに ping を送信できることを確認してください。

接続では、TCP、UDP、または ICMP プロトコルのみを使用していることを確認してください。

インスタンスが HTTPS ウェブサイトにアクセスできるようにするには、NAT ゲートウェイサブネットに関連付けられたネットワーク ACL には、次のルールが必要です。

インバウンドルール:

ソース	プロトコル	ポート範囲	Allow/Deny
VPC CIDR	TCP	443	ALLOW
インターネット IP	TCP	1024-65535	ALLOW

アウトバウンドルール:

総員先	プロトコル	ポート範囲	Allow/Deny
インターネット IP	TCP	443	ALLOW
VPC CIDR	TCP	1024-65535	ALLOW