¿Cómo puedo solucionar los problemas de conectividad cuando utilizo la puerta de enlace NAT en mi VPC privada?

5 minutos de lectura
0

Quiero solucionar los problemas de conectividad cuando utilizo la puerta de enlace NAT en mi Amazon Virtual Private Cloud (Amazon VPC) privada.

Breve descripción

Los recursos de subred privada pueden experimentar problemas de tiempo de espera de conectividad, caídas repentinas de la conexión o lentitud en la conectividad por los siguientes motivos:

  • Reglas de las listas de control de acceso de la red (ACL de la red)
  • Error ErrorPortAllocation en la puerta de enlace NAT
  • Agotamiento del puerto de instancias del cliente
  • Error IdleTimeoutCount para liberar capacidad
  • Limitación del ancho de banda por la puerta de enlace NAT

Solución

Solucione los problemas de tiempo de espera de conectividad, caídas repentinas de la conexión o lentitud en la conectividad según las siguientes causas:

Reglas de las ACL de la red

Confirme que la ACL de la red asociada a la subred pública en la que está presente la puerta de enlace NAT permite el tráfico desde el rango de puertos efímeros (1024-65535). Si la ACL de la red solo permite un subconjunto del rango de puertos y las instancias utilizan un puerto de origen fuera de ese rango, se interrumpe el tráfico. Para obtener más información, consulte Ejemplo: una VPC con servidores en subredes privadas y NAT.

Error «ErrorPortAllocation» en la puerta de enlace NAT

Las puertas de enlace NAT admiten un máximo de 55 000 conexiones simultáneas para cada destino. Si se supera este umbral, se produce un error en las nuevas conexiones al destino y la métrica ErrorPortAllocation aumenta en Amazon CloudWatch para la puerta de enlace NAT. Para solucionar este problema, asocie hasta ocho direcciones IPv4 a las puertas de enlace NAT para aumentar el límite. Puede asociar una dirección IPv4 principal y siete secundarias.

Nota: Las direcciones IPv4 secundarias aumentan la cantidad de puertos disponibles. Esto significa que también aumenta la cantidad de conexiones simultáneas que sus cargas de trabajo pueden utilizar para conectarse a una puerta de enlace NAT.

Para obtener más información, consulte ¿Cómo soluciono el error ErrorPortAllocation en mi puerta de enlace NAT?

Agotamiento del puerto de instancias del cliente

Compruebe si las instancias del cliente en la subred privada han alcanzado los límites de conexión de su sistema operativo (OS):

Visualice el número de conexiones activas:

Linux:

netstat -ano | grep ESTABLISHED | wc --lnetstat -ano | grep TIME_WAIT | wc --l

Windows:

netstat -ano | find /i "estab" /cnetstat -ano | find /i "TIME_WAIT" /c

Si el comando anterior devuelve un valor cercano al rango de puertos locales permitidos (el puerto de origen para las conexiones del cliente), es posible que se agoten los puertos.

Para reducir el agotamiento de los puertos, haga lo siguiente:

  • Resuelva cualquier problema en el nivel de aplicación que agote las conexiones disponibles.
  • Aumente el rango de puertos locales (efímeros) del sistema operativo:
net.ipv4.ip_local_port_range = 1025 61000

Nota: El número total del rango de puertos puede o no ayudar a solucionar el problema de asignación de puertos debido al cierre silencioso de las conexiones.

Error «IdleTimeoutCount» para liberar capacidad

Si una conexión que utiliza una puerta de enlace NAT está inactiva durante 350 segundos o más, se agota el tiempo de espera de la conexión y se observa un pico en la métrica IdleTimeoutCount. Cuando se agota el tiempo de espera de una conexión, una puerta de enlace NAT devuelve un paquete RST a cualquier recurso tras la puerta de enlace NAT que intente continuar con la conexión. La puerta de enlace NAT no envía ningún paquete FIN.

Para solucionar o evitar el error IdleTimeoutCount, haga lo siguiente:

  • Utilice la métrica IdleTimeoutCount en Amazon CloudWatch para monitorear el aumento de conexiones inactivas. Configure CloudWatch Contributor Insights para dar visibilidad a los principales contribuyentes de clientes con procesos en estado Inactivo.
  • Cierre las conexiones inactivas de los clientes para liberar capacidad.
  • Inicie más tráfico a través de la conexión.
  • Active keepalive de TCP en la instancia con un valor inferior a 350 segundos.

Limitación del ancho de banda de la puerta de enlace NAT

Las puertas de enlace NAT admiten 5 Gbps de ancho de banda y escalan automáticamente hasta los 100 Gbps. Si las métricas del rendimiento de red de todas las instancias en la puerta de enlace NAT suman 100 Gbps o más, el tráfico se ralentiza. Para obtener más información, consulte Métricas y dimensiones de gateway NAT.

Para solucionar o evitar una limitación del ancho de banda de la puerta de enlace NAT, divida los recursos entre varias subredes y cree varias puertas de enlace NAT.

Para obtener más información, consulte How can I use Amazon CloudWatch metrics to identify NAT gateway bandwidth issues?

Información relacionada

How do I resolve intermittent connection issues when using a NAT instance?

Solucionar problemas de las gateways NAT

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 6 meses