Wie behebe ich den Fehler „ErrorPortAllocation“ auf meinem NAT-Gateway in Amazon VPC?

Kurzbeschreibung

NAT Gateways unterstützen bis zu 55.000 gleichzeitige Verbindungen zu jedem Ziel. Wenn dieser Schwellenwert erreicht wird, schlagen neue Verbindungen zum Ziel fehl und die Metrik ErrorPortAllocation für das NAT-Gateway steigt in Amazon CloudWatch.

Führen Sie die folgenden Aufgaben aus, bevor Sie mit der Behebung des Fehlers ErrorPortAllocation beginnen:

• Stellen Sie sicher, dass das VPC-Flow-Protokoll auf Amazon-VPC-Ebene oder in den Subnetzen, in denen das NAT-Gateway verwendet wird, aktiviert ist.
• Stellen Sie sicher, dass das VPC-Flow-Protokoll so konfiguriert ist, dass es an CloudWatch übermittelt wird.

Gehen Sie wie folgt vor, um den Fehler ErrorPortAllocation zu beheben:

1. Finden Sie die Quellen-Clients und ihre Verbindungsziele.
2. Verwenden bewährter Methoden, um Fehler bei der Portzuweisung zu beheben

Lösung

Finden von Quellen-Clients und ihren Verbindungszielen

1.    Öffnen Sie die CloudWatch-Konsole.

2.    Wählen Sie im Navigationsbereich Erkenntnisse aus.

3.    Wählen Sie als Protokollgruppe jene Protokollgruppe aus, in der die Flow-Protokolle aufgezeichnet werden.

4.    Identifizieren Sie die Ziel-IP-Adresse des Datenverkehrs, der in dem Zeitraum, in dem die Portzuweisungsfehler aufgetreten sind, die meisten Antworten erhalten hat:

Hinweis: Ersetzen Sie example-NAT-gateway-private-IP durch die private IP-Adresse des NAT-Gateways, für das Sie das Ziel des Datenverkehrs ermitteln möchten. Ersetzen Sie example-y.y durch die ersten beiden Achtbitzeichen des VPC-CIDR-Bereichs von Amazon.

filter (srcAddr like example-NAT-gateway-private-IP and dstAddr not like example-y.y)
| stats count(*) as numaccept by dstAddr
| sort numaccept desc
| limit 10

5.    Identifizieren Sie die Quell-Clients, die Datenverkehr an die Ziel-IP-Adresse senden:

Hinweis: Ersetzen Sie example-destination-IP durch die vorherige Ziel-IP-Adresse aus Schritt 4. Ersetzen Sie example-y.y durch die ersten beiden Achtbitzeichen des VPC-CIDR-Bereichs von Amazon.

filter (dstAddr like example-destination-IP and srcAddr like example-y.y)
| stats sum(bytes) as bytesTransferred by srcAddr, dstAddr
| sort bytesTransferred desc
| limit 10

Verwenden bewährter Methoden, um Fehler bei der Portzuweisung zu beheben

Verwenden Sie diese bewährten Methoden, um Fehler bei der Portzuweisung zu beheben:

• Ordnen Sie sekundäre IPv4-Adressen zu, um die Anzahl der verfügbaren Ports zu erhöhen und die Anzahl gleichzeitiger Verbindungen zu erhöhen, die Ihre Workloads herstellen können. Ihren NAT-Gateways können maximal acht IPv4-Adressen zugeordnet werden (1 primäre IPv4-Adresse und 7 sekundäre IPv4-Adressen).
• Erstellen Sie in jeder Availability Zone ein NAT-Gateway und verteilen Sie dann Ihre Clients auf die Availability Zones. Verwenden Sie ein NAT Gateway, um den Verkehr in derselben Availability Zone wie Ihr Client weiterzuleiten. Das trägt dazu bei, die Datengebühren für die Nutzung mehrerer Availability Zones zu senken.
• Wenn es einen Anstieg der Metrik IdleTimeoutCount in CloudWatch zu verzeichnen gibt, konfigurieren Sie Ihre Anwendung oder private Instance so, dass inaktive Verbindungen geschlossen werden. Dadurch kann das NAT-Gateway den Quellport neuen Verbindungen zuweisen.
• Beschränken Sie die Anzahl der Verbindungen, die Ihre Clients zu einem einzelnen Ziel herstellen können.
• Verwenden Sie einen Gateway-Endpunkt, wenn der Verkehr über die öffentliche IP-Adresse von Amazon Simple Storage Service (Amazon S3) oder Amazon DynamoDB in derselben AWS-Region läuft. Wenn Sie einen Gateway-VPC-Endpunkt von Amazon verwenden, fallen keine Datengebühren an.

Ähnliche Informationen

Beispielabfragen

Überwachen von NAT-Gateways mit Amazon CloudWatch

Sekundäre IP-Adresszuordnungen bearbeiten