インターネットから Amazon EC2 インスタンスへの接続の問題をトラブルシューティングする方法を教えてください。

問題

Virtual Private Cloud (VPC) 内の EC2 インスタンスに接続できません。

説明

VPC 内の EC2 インスタンスへの接続の問題は、多くの場合、セキュリティグループ、ネットワークアクセスコントロールリスト（ACL）、またはルートテーブルの設定に関連しています。

解決方法

以下の手順を完了して、セキュリティグループ、ネットワーク ACL、ルートテーブルの適切な設定を確認します。

ステップ 1: インスタンスがシステムステータスとインスタンスステータスの両方のチェックに合格することを確認する

ステップ 2: インスタンスに関連付けられているセキュリティグループで必要なポートの接続が許可されていることを確認する

この例では、ポート 22 と 3389 は、SSH と RDP をそれぞれ使用してソース IP アドレスからの受信トラフィックを許可するために開かれます。

テスト目的で、0.0.0.0/0 のカスタム IP アドレスを指定して、すべての IP アドレスに SSH または RDP を使用したインスタンスへのアクセスを許可できます。これは、テスト環境で短期間でのみ行ってください。本稼働環境では、特定の IP アドレスまたはアドレス範囲にのみインスタンスへのアクセスを許可する必要があります。

ステップ 3: サブネットに関連付けられているネットワーク ACL で必要なポートを経由するトラフィックを許可していることを確認する

ネットワーク ACL はステートレスです。許可されているインバウンドトラフィックに対する応答は、アウトバウンドトラフィックのルールに従います（その逆の場合も同様です）。したがって、インバウンドとアウトバウンドの両方のトラフィックが許可されていることを確認します。

ステップ 4: VPC にインターネットゲートウェイがアタッチされていることを確認する

ステップ 5: ルートテーブルでインターネットゲートウェイを経由するターゲット 0.0.0.0/0 への適切なルートエントリがあることを確認する

ステップ 6: サブネットルートテーブルでインターネットゲートウェイへのルートエントリがあることを確認する

サブネットルートテーブルでインターネットゲートウェイへのルートエントリがない場合、インスタンスはプライベートサブネット内にあり、インターネットからアクセスできません。

ステップ 7: パブリック IP アドレスがインスタンスに割り当てられているか、Elastic IP アドレスがインスタンスの Elastic Network Interface (ENI) にアタッチされていることを確認する

ステップ 8: インスタンスにインストールされているすべての OS レベルのソフトウェアやファイアウォールで必要なポートを経由するトラフィックを許可していることを確認する

ステップ 9: OS レベルのルートテーブルでインターネットからのトラフィックを許可していることを確認する

route -n (Linux) または netstat -rn (Linux と Windows) コマンドを実行して、この情報を見つけます。ルートは以下のようになります。

キーワード

接続, EC2 インスタンス, インターネット, VPC, インターネットゲートウェイ, ファイアウォール, ルートテーブル, EIP, ENI, ACL