Amazon EC2 インスタンスがインターネットゲートウェイを使用してインターネットに接続できないのはなぜですか?

簡単な説明

Amazon EC2 がインターネットにアクセスできない理由をトラブルシューティングするには、以下を実行してください:

• EC2 インスタンスがすべての前提条件を満たしていることを確認します。
• インスタンスにパブリック IP アドレスがあることを確認します。
• ファイアウォールがアクセスをブロックしていないことを確認します。

解決策

インスタンスがすべての前提条件を満たしていることを確認する

インスタンスは次の条件を満たす必要があります:

• インスタンスのサブネットに関連付けられているルートテーブルには、インターネットゲートウェイ (0.0.0.0/0) へのデフォルトルートがあります。
• ルートに関連付けられているインターネットゲートウェイは削除されません。
• インスタンスの Elastic Network Interface にアタッチされているセキュリティグループには、ポートとプロトコルのアウトバウンドのインターネットトラフィック (0.0.0.0/0) を許可するルールがあります。
• インスタンスのサブネットに関連付けられているネットワークアクセスコントロールリスト (ネットワーク ACL) には、インターネットへのアウトバウンドのトラフィックとインバウンドのトラフィックの両方を許可するルールがあります。

インスタンスにパブリック IP アドレスがあることを確認する

パブリックサブネットのインスタンスにパブリック IP アドレスがない場合、インスタンスが存在している仮想プライベートクラウド (VPC) の外部からはそのインスタンスにアクセスできません。これは、インスタンスにインターネットゲートウェイがある場合にも当てはまります。

インスタンスがインターネットに接続できるようにするには、Elastic IP アドレスを割り当て、その Elastic IP アドレスをインスタンスに関連付けます。

ファイアウォールがアクセスをブロックしていないことを確認する

インスタンスが上記の条件を満たしていてもインターネット接続の問題が解決しない場合は、オペレーティングシステムでローカルファイアウォールが実行されている可能性があります。オペレーティングシステムにローカルファイアウォールを用意するのではなく、セキュリティグループを使用するのがベストプラクティスです。ローカルファイアウォールを無効にしても、ワークロードに影響を与えないことを確認してください。

# For Uncomplicated Firewall
sudo ufw disable

# For firewalld
sudo systemctl disable firewalld --now

ファイアウォールを使用する必要がある場合、インターネット接続の問題は通常 OUTPUT チェーンに関連しています。次のコマンドを実行すると、発信トラフィックを許可できます:

sudo iptables -P OUTPUT ACCEPT
sudo iptables -I OUTPUT 1 -j ACCEPT

Windows Server:

Windows Server のデフォルトファイアウォールの場合は、次のコマンドを実行します:

netsh advfirewall firewall show rule name=all

前述のコマンドでブロックされたトラフィックが表示されている場合は、古いルールを削除するか、その特定のポートのトラフィックを許可する新しいルールを追加します。詳細については、Microsoft のドキュメントの「高度なセキュリティルールを備えた Windows ファイアウォールの概要」を参照してください。

関連情報

インターネットゲートウェイを使用してインターネットに接続する

セキュリティグループを使用して AWS リソースへのトラフィックを制御する

プライベートサブネットの Amazon EC2 インスタンスが NAT ゲートウェイを使用してインターネットに接続できないのはなぜですか?