Warum kann ich NAT nicht verwenden, um meine EC2-Instance in einem privaten Subnetz mit dem Internet zu verbinden?

Lesedauer: 3 Minute

Ich habe ein NAT Gateway erstellt, um von meiner Amazon Elastic Compute Cloud (Amazon EC2) Instance aus das Internet zu erreichen. Meine Instance verwendet HTTP oder HTTPS Ports in einem privaten Subnetz, kann aber das Internet nicht erreichen.

Lösung

Erreichbarkeit des Ziels und den NAT-Gateway-Status überprüfen

Überprüfe, ob das Ziel von einer anderen Quelle über eine öffentliche IP-Adresse erreichbar ist. Vergewissere dich, dass sich das NAT-Gateway im Status Verfügbar befindet. Wenn sich das NAT Gateway im Status Fehlgeschlagen befindet, findest du weitere Informationen unter NAT-Gateway-Erstellung schlägt fehl.

Hinweis: Ein NAT-Gateway im Status Fehlgeschlagen wird nach etwa einer Stunde automatisch gelöscht.

Subnetz- und Routing-Tabellenkonfigurationen verifizieren

Stelle sicher, dass du dein NAT-Gateway in einem öffentlichen Subnetz erstellt hast. Vergewissere dich, dass die öffentliche Routing-Tabelle über eine Standardroute verfügt, die den Datenverkehr an ein Internet-Gateway leitet. Stelle außerdem sicher, dass die Routing-Tabelle des privaten Subnetzes eine Standardroute enthält, die den Datenverkehr zum NAT-Gateway leitet.

Wichtig: Stelle sicher, dass du nicht sowohl für das private als auch für das öffentliche Subnetz dieselbe Routing-Tabelle verwendest. Wenn du dieselbe Routing-Tabelle verwendest, wird der Verkehr nicht ins Internet weitergeleitet.

Um Fehler bei der DNS-Auflösung zu vermeiden, setze das Attribut enableDNSSupport in deiner Virtual Private Cloud (VPC) auf true. Weitere Informationen findest du unter Anzeigen und Aktualisieren von DNS-Attributen für deine VPC.

Firewall- und Port-Einstellungen überprüfen

Stelle sicher, dass Firewalls Datenverkehr über Port 80 für HTTP-Verkehr und Port 443 für HTTPS-Verkehr auf dem Quell- und Zielhost zulassen. Führe den folgenden Befehl aus, um die Konnektivität zu überprüfen:

telnet PUBLIC_IP TCP_PORT

Sicherheitsgruppeneinstellungen überprüfen

Stelle sicher, dass die an die Elastic-Network-Schnittstelle der Instance angehängte Sicherheitsgruppe ausgehenden Datenverkehr zu den Ports 80 und 443 zulässt. Weitere Informationen findest du unter Amazon EC2-Sicherheitsgruppen für deine EC2-Instances.

Überprüfe die Network Access Control List (ACL), die dem NAT-Gateway-Subnetz zugeordnet ist. Um deinen EC2-Instances Zugriff auf eine HTTPS-Website zu gewähren, muss die Netzwerk-ACL, die dem NAT-Gateway-Subnetz zugeordnet ist, die folgenden Regeln erfüllen:

Regeln für eingehenden Datenverkehr


Quelle	Protokoll	Port-Bereich	Erlauben/Verweigern
VPC CIDR	TCP	443	ALLOW
PUBLIC_IP	TCP	1024-65535	ALLOW

Regeln für ausgehenden Datenverkehr


Zielort	Protokoll	Port-Bereich	Erlauben/Verweigern
PUBLIC_IP	TCP	443	ALLOW
VPC CIDR	TCP	1024-65535	ALLOW

Weitere Informationen zur Konfiguration von Netzwerk-ACLs findest du unter Subnetzverkehr mit Netzwerkzugriffskontrolllisten steuern.

Relevanter Inhalt

Warum kann ich kein NAT-Gateway verwenden, um von meinen Amazon EC2-Instances aus auf das Internet zuzugreifen?
AWS OFFICIALAktualisiert vor 10 Monaten
Wie verwende ich CloudWatch-Metriken, um Bandbreitenprobleme mit dem NAT-Gateway zu identifizieren?
AWS OFFICIALAktualisiert vor 6 Monaten
Wie richte ich ein öffentliches NAT-Gateway ein, um von einem privaten Subnetz in Amazon VPC aus auf das Internet zuzugreifen?
AWS OFFICIALAktualisiert vor 9 Monaten
Wie behebe ich Verbindungsprobleme, wenn ich das NAT-Gateway auf meiner privaten Amazon VPC verwende?
AWS OFFICIALAktualisiert vor einem Jahr