Pourquoi mon instance EC2 située dans un sous-réseau privé ne peut-elle pas se connecter à Internet via une passerelle NAT ?

Dernière mise à jour : 17/08/2021

J'ai créé une passerelle NAT pour accéder à Internet depuis mon instance Amazon Elastic Compute Cloud (Amazon EC2) à l'aide de ports HTTP ou HTTPS dans un sous-réseau privé. Cependant, mon instance n'est pas en mesure d'accéder à Internet. Comment puis-je résoudre ce problème ?

Résolution

Vérifiez que les instances remplissent les conditions suivantes :

1.    La destination est accessible en effectuant un ping vers celle-ci à partir d'une autre source à l'aide d'une adresse IP publique.

2.    L'état de la passerelle NAT est Disponible. Si l'état de la passerelle NAT est Échec, consultez la section Échec de la création d'une passerelle NAT.

Remarque : une passerelle NAT à l'état Échec est automatiquement supprimée après approximativement une heure.

3.    Vous avez créé la passerelle NAT dans un sous-réseau public et la table de routage publique comporte un acheminement par défaut pointant vers une passerelle Internet.

4.    La table de routage du sous-réseau privé comporte un acheminement par défaut pointant vers la passerelle NAT.

Remarque : assurez-vous que vous n'utilisez pas la même table de routage pour le sous-réseau privé et public. L'utilisation de la même table de routage signifie que le trafic n'est pas acheminé vers Internet.

5.    L'attribut enableDnsSupport est défini sur vrai dans le VPC. Pour plus d'informations, consultez la section Afficher et mettre à jour les attributs DNS de votre VPC.

Remarque : activez le DNS pour éviter l'échec de résolution DNS.

6.    Les pare-feu logiciels ne bloquent pas le trafic via HTTP ou HTTPS. Veillez à vérifier si un pare-feu bloque le trafic sur l'hôte de destination. Vous pouvez utiliser l'exemple de commande suivant pour vérifier la présence de pare-feu :

$ telnet PUBLIC_IP TCP_PORT

7.    Le groupe de sécurité attaché à l'interface réseau Elastic de l'instance autorise le trafic sortant sur les ports 80 (pour le trafic HTTP) et 443 (pour le trafic HTTPS). Pour plus d'informations, consultez les sections Groupes de sécurité Amazon EC2 pour les instances Linux ou Groupes de sécurité Amazon EC2 pour les instances Windows.

8.    Les deux éléments suivants comportent des règles qui autorisent le trafic entrant et sortant sur les ports 80 et 443 à l'aide de l'adresse IP de destination 0.0.0.0/0 :

  • Les listes de contrôle d'accès (ACL) réseau associées au sous-réseau privé où se trouve l'instance.
  • Listes ACL réseau associées au sous-réseau public où se trouve la passerelle NAT.

Par exemple, la liste ACL réseau associée au sous-réseau de passerelle NAT doit avoir les règles ci-dessous pour permettre à vos instances EC2 d'accéder à un site web HTTPS.

Règles entrantes :

Source Protocole Plage de ports Autoriser/Refuser
CIDR VPC TCP 443 AUTORISER
PUBLIC_IP TCP 1024-65535 AUTORISER

Règles sortantes :

Destination Protocole Plage de ports Autoriser/Refuser
PUBLIC_IP TCP 443 AUTORISER
CIDR VPC TCP 1024-65535 AUTORISER

Pour plus d'informations sur la configuration des listes ACL réseau, consultez Utilisation des listes ACL réseau.

Pour plus d'informations sur le routage du trafic dans un VPC, consultez la section VPC et sous-réseaux.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?