Warum kann meine Amazon EC2 Instance in einem privaten Subnetz über ein NAT Gateway keine Verbindung zum Internet herstellen?
Ich habe ein NAT Gateway erstellt, um von meiner Amazon Elastic Compute Cloud (Amazon EC2) Instance aus das Internet zu erreichen. Meine Instance verwendet HTTP oder HTTPS Ports in einem privaten Subnetz, kann aber das Internet nicht erreichen.
Lösung
Stellen Sie sicher, dass die Instances die folgenden Bedingungen erfüllen:
1. Das Ziel ist erreichbar, indem Sie das Ziel von einer anderen Quelle aus mit einer öffentlichen IP-Adresse anpingen.
2. Das NAT Gateway befindet sich im Status Verfügbar. Wenn sich das NAT Gateway im Status Fehlgeschlagen befindet, finden Sie weitere Informationen unter NAT-Gateway-Erstellung schlägt fehl.
Hinweis: Ein NAT Gateway im Status Fehlgeschlagen wird nach etwa einer Stunde automatisch gelöscht.
3. Sie haben Ihr NAT Gateway in einem öffentlichen Subnetz erstellt, und die öffentliche Routing-Tabelle enthält eine Standardroute, die auf ein Internet-Gateway verweist.
4. Die Routing-Tabelle des privaten Subnetzes enthält eine Standardroute, die auf das NAT Gateway verweist.
Wichtig: Stellen Sie sicher, dass Sie nicht sowohl für das private als auch für das öffentliche Subnetz dieselbe Routing-Tabelle verwenden. Die Verwendung derselben Routing-Tabelle bedeutet, dass der Verkehr nicht ins Internet geleitet wird.
5. Das Attribut enableDnsSupport ist in der VPC auf true gesetzt. Weitere Informationen finden Sie unter DNS-Attribute für Ihre VPC anzeigen und aktualisieren.
Hinweis: Schalten Sie DNS ein, um Fehler bei der DNS-Auflösung zu verhindern.
6. Firewalls blockieren den Verkehr über die Ports 80 (für HTTP-Verkehr) und 443 (für HTTPS-Verkehr) nicht. Stellen Sie sicher, dass Sie nach einer Firewall suchen, die den Datenverkehr auf dem Zielhost blockiert. Sie können den folgenden Beispielbefehl verwenden, um nach Firewalls zu suchen:
$ telnet PUBLIC_IP TCP_PORT
7. Die an die Elastic-Network-Schnittstelle der Instance angehängte Sicherheitsgruppe ermöglicht ausgehenden Datenverkehr zu den Ports 80 und 443. Weitere Informationen finden Sie unter Amazon-EC2-Sicherheitsgruppen für Linux-Instances oder Amazon-EC2-Sicherheitsgruppen für Windows Instances.
8. Die folgenden Beispiele enthalten Regeln, die eingehenden und ausgehenden Verkehr auf den Ports 80 und 443 unter Verwendung der Ziel-IP-Adresse 0.0.0.0/0 zulassen:
- Die Netzwerk-Zugriffssteuerungslisten (ACLs), die dem privaten Subnetz zugeordnet sind, in dem sich die Instance befindet.
- Die Netzwerk-ACLs, die dem öffentlichen Subnetz zugeordnet sind, in dem sich das NAT Gateway befindet.
Damit Ihre Amazon EC2 Instances auf eine HTTPS Website zugreifen können, muss die Netzwerk-ACL, die dem NAT-Gateway-Subnetz zugeordnet ist, die folgenden Regeln erfüllen:
Regeln für eingehenden Datenverkehr
| Quelle | Protokoll | Portbereich | Zulassen/Ablehnen |
| VPC CIDR | TCP | 443 | ALLOW |
| PUBLIC_IP | TCP | 1024-65535 | ALLOW |
Regeln für ausgehenden Datenverkehr
| Zielort | Protokoll | Portbereich | Zulassen/Ablehnen |
| PUBLIC_IP | TCP | 443 | ALLOW |
| VPC CIDR | TCP | 1024-65535 | ALLOW |
Weitere Informationen zur Konfiguration von Netzwerk-ACLs finden Sie unter Arbeiten mit Netzwerk-ACLs.
Verwandte Informationen
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 7 Monaten
- AWS OFFICIALAktualisiert vor 2 Jahren