Wie behebe ich Verbindungsprobleme, wenn ich das NAT-Gateway auf meiner privaten Amazon VPC verwende?

Lesedauer: 4 Minute

Ich möchte Verbindungsprobleme beheben, wenn ich das NAT-Gateway in meiner privaten Amazon Virtual Private Cloud (Amazon VPC) verwende.

Kurzbeschreibung

Bei privaten Subnetzressourcen kann es aus den folgenden Gründen zu Verbindungszeitüberschreitungen, plötzlichen Verbindungsabbrüchen oder zu einer langsamen Konnektivität kommen:

Netzwerk-Zugriffssteuerungslisten (Netzwerk-ACLs)-Regeln
****ErrorPortAllocation-Fehler auf dem NAT-Gateway
Port-Erschöpfung der Client-Instanz
IdleTimeOutCount-Fehler beim Freigeben von Kapazität
Bandbreitenbeschränkung pro NAT-Gateway

Behebung

Beheben Sie Verbindungstimeouts, plötzliche Verbindungsabbrüche oder Verbindungsverzögerungen aufgrund der folgenden Ursachen:

Netzwerk-ACL-Regeln

Stellen Sie sicher, dass die Netzwerk-ACL, die dem öffentlichen Subnetz des NAT-Gateways zugeordnet ist, Datenverkehr aus dem kurzlebigen Portbereich (1024-65535) zulässt. Wenn die Netzwerk-ACL eine Teilmenge des Portbereichs zulässt und die Instances einen Quellport außerhalb des Bereichs verwenden, wird der Verkehr unterbrochen. Weitere Informationen finden Sie unter Beispiel: VPC mit Servern in privaten Subnetzen und NAT.

ErrorPortAllocation-Fehler auf dem NAT-Gateway

NAT-Gateways unterstützen maximal 55.000 gleichzeitige Verbindungen zu jedem Ziel. Wenn dieser Schwellenwert überschritten wird, schlagen neue Verbindungen zum Ziel fehl und der Messwert ErrorPortAllocation für das NAT-Gateway steigt in Amazon CloudWatch. Um dieses Problem zu beheben, ordnen Sie Ihren NAT-Gateways bis zu acht IPv4-Adressen zu, um Ihr Limit zu erhöhen. Sie können eine primäre und sieben sekundäre IPv4-Adressen zuordnen.

**Hinweis:**Sekundäre IPv4-Adressen erhöhen die Anzahl der verfügbaren Ports. Das bedeutet, dass die Anzahl der gleichzeitigen Verbindungen, über die Ihre Workloads eine Verbindung zu einem NAT-Gateway herstellen können, ebenfalls erhöht wird.

Weitere Informationen finden Sie unter Wie behebe ich den ErrorPortAllocation-Fehler auf meinem NAT-Gateway?

Port-Erschöpfung der Client-Instanz

Prüfen Sie, ob die Client-Instances im privaten Subnetz ihre Verbindungslimits für das Betriebssystem (OS) erreicht haben:

Sehen Sie sich die Anzahl der aktiven Verbindungen an:

Linux:

netstat -ano | grep ESTABLISHED | wc --lnetstat -ano | grep TIME_WAIT | wc --l

Windows:

netstat -ano | find /i "estab" /cnetstat -ano | find /i "TIME_WAIT" /c

Wenn der vorherige Befehl einen Wert zurückgibt, der in der Nähe des zulässigen lokalen Portbereichs (Quellport für Clientverbindungen) liegt, liegt möglicherweise eine Porterschöpfung vor.

Führen Sie die folgenden Aufgaben aus, um die Portauslastung zu verringern:

Beheben Sie alle Probleme auf Anwendungsebene, die die verfügbaren Verbindungen belasten.
Erhöhen Sie den lokalen (kurzlebigen) Portbereich des Betriebssystems:

net.ipv4.ip_local_port_range = 1025 61000

**Hinweis:**Die Gesamtnummer des Portbereichs kann bei der Behebung des Problems mit der Portzuweisung helfen oder auch nicht, da Verbindungen im Hintergrund geschlossen werden.

IdleTimeOutCount-Fehler beim Freigeben von Kapazität

Wenn eine Verbindung, die ein NAT-Gateway verwendet, 350 Sekunden oder länger inaktiv ist, wird die Verbindung unterbrochen. Sie werden auch einen Anstieg der IdleTimeOutCount-Metrik feststellen. Wenn bei einer Verbindung ein Timeout auftritt, sendet ein NAT-Gateway ein RST-Paket an alle Ressourcen hinter dem NAT-Gateway zurück, die versuchen, die Verbindung fortzusetzen. Das NAT-Gateway sendet kein FIN-Paket.

Führen Sie die folgenden Aufgaben aus, um den IdleTimeOutCount-Fehler zu beheben oder zu umgehen:

Verwenden Sie die IdleTimeOutCount-Metrik in Amazon CloudWatch, um die Zunahme inaktiver Verbindungen zu überwachen. Stellen Sie sicher, dass Sie CloudWatch Contributor Insights so konfigurieren, dass Sie einen Überblick über die wichtigsten Mitwirkenden von Kunden erhalten, deren Prozesse sich im Idle-Status befinden.
Schließen Sie inaktive Verbindungen von Clients, um Kapazität freizugeben.
Initiieren Sie mehr Verkehr über die Verbindung.
Schalten Sie TCP-Keepalive auf der Instanz mit einem Wert ein, der weniger als 350 Sekunden beträgt.

Bandbreitenbeschränkung vom NAT-Gateway

NAT-Gateways unterstützen eine Bandbreite von 5 Gbit/s und skalieren automatisch auf bis zu 100 Gbit/s. Wenn die Netzwerkdurchsatzmetriken für alle Instances im NAT-Gateway 100 Gbit/s oder mehr betragen, verlangsamt sich der Datenverkehr. Weitere Informationen finden Sie unter NAT-Gateway-Metriken und -Dimensionen.

Um eine Bandbreitenbeschränkung des NAT-Gateways zu beheben oder zu umgehen, teilen Sie die Ressourcen auf mehrere Subnetze auf und erstellen Sie mehrere NAT-Gateways.

Weitere Informationen finden Sie unter Wie kann ich Amazon CloudWatch-Metriken verwenden, um Bandbreitenprobleme am NAT-Gateway zu identifizieren?

Zusammengehörige Informationen

Wie behebe ich zeitweise auftretende Verbindungsprobleme, wenn ich eine NAT-Instance verwende?

Fehlerbehebung bei NAT-Gateways

Themen

Vernetzung & Bereitstellung von Inhalten

Relevanter Inhalt

Wie kann ich ein Docker-Image aus einem privaten Repository abrufen und es auf einer Elastic-Beanstalk-Docker-Plattform verwenden?
AWS OFFICIALAktualisiert vor 10 Monaten
Wie verwende ich AWS AppSync, um auf private Ressourcen in meiner VPC zuzugreifen?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie kann ich Verbindungsprobleme mit einer Amazon RDS-DB-Instance beheben, die ein öffentliches oder privates Subnetz einer VPC verwendet?
AWS OFFICIALAktualisiert vor einem Jahr
Wie behebe ich Verbindungsprobleme mit meinen Amazon VPC-Schnittstellenendpunkten?
AWS OFFICIALAktualisiert vor 6 Monaten