J'ai créé une passerelle NAT pour accéder à Internet depuis une instance Amazon Elastic Compute Cloud (Amazon EC2). L’instance utilise des ports HTTP ou HTTPS dans un sous-réseau privé, mais ne parviens pas à se connecter à Internet.
Résolution
Vérifiez que les instances répondent aux conditions suivantes :
1. La destination est accessible par ping depuis une autre source à l'aide d'une adresse IP publique.
2. La passerelle NAT est à l'état Disponible. Si la passerelle NAT est à l’état Échec, consultez la page Échec de la création d’une passerelle NAT.
Remarque : une passerelle NAT à l’état Échec est automatiquement supprimée au bout d'une heure environ.
3. Vous avez créé la passerelle NAT dans un sous-réseau public et la table de routage publique comporte une route par défaut pointant vers une passerelle Internet.
4. La table de routage du sous-réseau privé possède une route par défaut pointant vers la passerelle NAT.
Important : veillez à ne pas utiliser la même table de routage pour le sous-réseau privé et le sous-réseau public. Si vous utilisez la même table de routage, le trafic n'est pas acheminé vers Internet.
5. L'attribut enableDnsSupport est défini sur true dans le VPC. Pour plus d'informations, consultez la section Affichage et mise à jour des attributs DNS pour un VPC.
Remarque : activez le DNS pour éviter tout échec de résolution DNS.
6. Les pare-feux ne bloquent pas le trafic vers les ports 80 (pour le trafic HTTP) et 443 (pour le trafic HTTPS). Assurez-vous de vérifier l'existence d'un pare-feu bloquant le trafic vers l'hôte de destination. Vous pouvez utiliser l'exemple de commande suivant pour vérifier la présence de pare-feux :
$ telnet PUBLIC_IP TCP_PORT
7. Le groupe de sécurité rattaché à l'interface réseau élastique de l'instance autorise le trafic sortant vers les ports 80 et 443. Pour plus d'informations, consultez la page Groupes de sécurité Amazon EC2 pour les instances Linux ou Groupes de sécurité Amazon EC2 pour les instances Windows.
8. Les exemples suivants contiennent des règles autorisant le trafic entrant et sur les ports 80 et 443 à l'aide de l'adresse IP de destination 0.0.0.0/0 :
- Les listes de contrôle d'accès (ACL) réseau associées au sous-réseau privé où se trouve l'instance.
- Les ACL réseau associées au sous-réseau public où se trouve la passerelle NAT.
Pour autoriser des instances Amazon EC2 à accéder à un site Web HTTPS, l'ACL réseau associée au sous-réseau de la passerelle NAT doit comporter les règles suivantes :
Règles entrantes
| | | |
---|
Source | Protocole | Plage de ports | Autoriser/Refuser |
CIDR VPC | TCP | 443 | AUTORISER |
PUBLIC_IP | TCP | 1024-65535 | AUTORISER |
Règles sortantes
| | | |
---|
Destination | Protocole | Plage de ports | Autoriser/Refuser |
PUBLIC_IP | TCP | 443 | AUTORISER |
CIDR VPC | TCP | 1024-65535 | AUTORISER |
Pour plus d'informations sur la configuration des ACL réseau, consultez la section Utilisation des ACL réseau.
Informations connexes
Passerelles NAT
Configuration des tables de routage