Pourquoi mon instance Amazon EC2 située dans un sous-réseau privé ne peut-elle pas se connecter à Internet à l’aide d’une passerelle NAT ?

Dernière mise à jour : 12-05-2022

J'ai créé une passerelle NAT pour accéder à Internet depuis mon instance Amazon Elastic Compute Cloud (Amazon EC2). Mon instance utilise des ports HTTP ou HTTPS dans un sous-réseau privé, mais ne parvient pas à accéder à Internet. Comment puis-je résoudre ce problème ?

Résolution

Vérifiez que les instances remplissent les conditions suivantes :

1.    La destination est accessible en effectuant un ping vers celle-ci à partir d'une autre source à l'aide d'une adresse IP publique.

2.    L'état de la passerelle NAT est Disponible. Si l'état de la passerelle NAT est Échec, consultez Échec de la création d'une passerelle NAT.

Remarque : une passerelle NAT à l'état Échec est automatiquement supprimée après environ une heure.

3.    Vous avez créé la passerelle NAT dans un sous-réseau public et la table de routage publique comporte un acheminement par défaut pointant vers une passerelle Internet.

4.    La table de routage du sous-réseau privé comporte un acheminement par défaut pointant vers la passerelle NAT.

Important : assurez-vous que vous n'utilisez pas la même table de routage pour le sous-réseau privé et public. L'utilisation de la même table de routage signifie que le trafic n'est pas acheminé vers Internet.

5.    L'attribut enableDnsSupport est défini sur vrai dans le VPC. Pour plus d'informations, consultez la section Afficher et mettre à jour les attributs DNS de votre VPC.

Remarque : mettez en marche le DNS pour éviter l'échec de résolution DNS.

6.    Les pare-feu ne bloquent pas le trafic sur les ports 80 (pour le trafic HTTP) et 443 (pour le trafic HTTPS). Veillez à vérifier si un pare-feu bloque le trafic sur l'hôte de destination. Vous pouvez utiliser l'exemple de commande suivant pour vérifier la présence de pare-feu :

$ telnet PUBLIC_IP TCP_PORT

7.    Le groupe de sécurité attaché à l'interface réseau Elastic de l'instance autorise le trafic sortant sur les ports 80 et 443. Pour plus d'informations, consultez les sections Groupes de sécurité Amazon EC2 pour les instances Linux ou Groupes de sécurité Amazon EC2 pour les instances Windows.

8.    Les exemples suivants comportent des règles qui autorisent le trafic entrant et sortant sur les ports 80 et 443 à l'aide de l'adresse IP de destination 0.0.0.0/0 :

  • Les listes de contrôle d'accès (ACL) réseau associées au sous-réseau privé où se trouve l'instance.
  • Listes ACL réseau associées au sous-réseau public où se trouve la passerelle NAT.

Pour permettre à vos instances Amazon EC2 d'accéder à un site web HTTPS, la liste de contrôle d’accès associée au sous-réseau de la passerelle NAT doit comporter les règles suivantes :

Règles entrantes

Source Protocole Plage de ports Autoriser/Refuser
CIDR VPC TCP 443 AUTORISER
PUBLIC_IP TCP 1024-65535 AUTORISER

Règles sortantes

Destination Protocole Plage de ports Autoriser/Refuser
PUBLIC_IP TCP 443 AUTORISER
CIDR VPC TCP 1024-65535 AUTORISER

Pour plus d'informations sur la configuration des listes ACL réseau, consultez Utilisation des listes ACL réseau.


Cet article vous a-t-il été utile ?


Avez-vous besoin d'aide pour une question technique ou de facturation ?