Pourquoi mon instance EC2 située dans un sous-réseau privé ne peut-elle pas se connecter à Internet via une passerelle NAT ?

Date de la dernière mise à jour : 27/11/2020

J'ai créé une passerelle NAT pour accéder à Internet depuis mon instance Amazon Elastic Compute Cloud (Amazon EC2) située dans un sous-réseau privé, mais mon instance n'est pas en mesure d'accéder à Internet. Comment puis-je résoudre ce problème ?

Solution

Vérifiez que les instances remplissent les conditions suivantes :

1.    La destination est accessible en effectuant un ping vers celle-ci à partir d'une autre source à l'aide d'une adresse IP publique.

2.    La passerelle NAT est à l'état Disponible. Si la passerelle NAT est à l'état Échec, suivez les étapes de dépannage détaillées dans la section La passerelle NAT passe en statut d'échec. Remarque : une passerelle NAT à l'état Échec est automatiquement supprimée après une heure environ.

3.    Vous avez créé la passerelle NAT dans un sous-réseau public et la table de routage publique comporte un routage qui pointe vers une passerelle Internet.

4.    La table de routage du sous-réseau privé comporte un routage par défaut qui pointe vers la passerelle NAT. Remarque : assurez-vous que vous n'utilisez pas la même table de routage pour le sous-réseau privé et public. L'utilisation de la même table de routage signifie que le trafic n'est pas acheminé vers Internet.

5.    L'attribut enableDnsSupport est défini sur true dans le VPC. Pour plus d'informations, consultez Affichage et mise à jour de la prise en charge de DNS pour votre VPC.

6.    Aucun pare-feu logiciel ne bloque le trafic via HTTP ou HTTPS.

7.    Le groupe de sécurité attaché à l'interface réseau Elastic de l'instance autorise le trafic sortant sur les ports 80 (pour le trafic HTTP) et 443 (pour le trafic HTTPS). Pour plus d'informations, consultez Groupes de sécurité Amazon EC2 pour les instances Linux ou Groupes de sécurité Amazon EC2 pour les instances Windows.

8.    Les deux éléments suivants comportent des règles qui autorisent le trafic entrant et sortant sur les ports 80 et 443 à l'aide de l'adresse IP de destination 0.0.0.0/0 :

  • Listes de contrôle d'accès (ACL) réseau associées au sous-réseau privé où se trouve l'instance ;
  • Listes ACL réseau associées au sous-réseau public où se trouve la passerelle NAT.

Par exemple, la liste ACL réseau associée au sous-réseau de passerelle NAT doit avoir les règles ci-dessous pour permettre à vos instances EC2 d'accéder à un site web HTTPS.

Règles entrantes :

Source Protocole Plage de ports Autoriser/Refuser
CIDR VPC TCP 443 AUTORISER
IP Internet TCP 1024-65535 AUTORISER

Règles sortantes :

Destination Protocole Plage de ports Autoriser/Refuser
IP Internet TCP 443 AUTORISER
CIDR VPC TCP 1024-65535 AUTORISER

Pour plus d'informations sur la configuration des listes ACL réseau, consultez Utilisation des listes ACL réseau.
Pour plus d'informations sur le routage du trafic dans un VPC, consultez VPC et sous-réseaux.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?