For the most recent update on ongoing service disruptions affecting the AWS Middle East (UAE) Region (ME-CENTRAL-1), refer to the AWS Health Dashboard. For information on AWS Service migration, see How do I migrate my services to another region?
Wie behebe ich Verbindungsprobleme, wenn ich das NAT-Gateway auf meiner privaten Amazon VPC verwende?
Ich möchte Verbindungsprobleme beheben, wenn ich das NAT-Gateway in meiner privaten Amazon Virtual Private Cloud (Amazon VPC) verwende.
Kurzbeschreibung
Bei Ressourcen, die sich in privaten Subnetzen befinden, kann es aus den folgenden Gründen zu Verbindungszeitüberschreitungen, plötzlichen Verbindungsabbrüchen oder einer langsamen Konnektivität kommen:
- Regelbeschränkungen der Netzwerk-Zugriffssteuerungsliste (Netzwerk-ACL) für kurzlebige Portbereiche
- ****ErrorPortAllocation-Fehler auf dem NAT-Gateway
- Porterschöpfung auf der Client-Instance
- IdleTimeoutCount-Fehler aufgrund inaktiver Verbindungen
- Bandbreitenbeschränkungen für NAT-Gateways
Lösung
Netzwerk-ACL-Regelbeschränkungen für kurzlebige Portbereiche
Stelle sicher, dass die Netzwerk-ACL, die du dem öffentlichen Subnetz des NAT-Gateways zugeordnet hast, Datenverkehr aus dem kurzlebigen Portbereich (1024-65535) zulässt.
Wenn die Netzwerk-ACL nur eine Teilmenge des Bereichs zulässt und ein Client einen Port außerhalb des Bereichs verwendet, wird der Datenverkehr unterbrochen. Weitere Informationen siehe Beispiel: VPC mit Servern in privaten Subnetzen und NAT.
ErrorPortAllocation-Fehler auf dem NAT-Gateway
Jedes NAT-Gateway unterstützt bis zu 55 000 gleichzeitige Verbindungen zu jedem Ziel. Wenn die Verbindungen diesen Schwellenwert überschreiten, schlagen neue Verbindungen zum Ziel fehl und der Messwert ErrorPortAllocation für das NAT-Gateway steigt in Amazon CloudWatch.
Gehe wie folgt vor, um dieses Problem zu beheben:
- Ordne deinen NAT-Gateways eine primäre und bis zu sieben sekundäre IPv4-Adressen zu.
- Füge sekundäre IPv4-Adressen hinzu, um die Anzahl der verfügbaren Ports und die Anzahl gleichzeitiger Verbindungen zu erhöhen.
Hinweis: Sekundäre IPv4-Adressen erhöhen die Anzahl der verfügbaren Ports, sodass auch die Anzahl der gleichzeitigen Verbindungen zu einem NAT-Gateway, die Workloads verwenden können, zunimmt.
Weitere Informationen findest du unter Wie behebe ich den „ErrorPortAllocation“-Fehler auf meinem NAT-Gateway in Amazon VPC?
Porterschöpfung auf der Client-Instance
Die Client-Instances, die sich im privaten Subnetz befinden, haben möglicherweise ihre Verbindungskontingente für das Betriebssystem (OS) erreicht.
Führe die folgenden Befehle aus, um die Anzahl der aktiven Verbindungen zu überprüfen:
Linux:
netstat -ano | grep ESTABLISHED | wc --l netstat -ano | grep TIME_WAIT | wc --l
Windows:
netstat -ano | find /i "estab" /c netstat -ano | find /i "TIME_WAIT" /c
Wenn die Ausgabe in der Nähe des zulässigen lokalen Portbereichs liegt, ist möglicherweise eine Porterschöpfung die Ursache.
Gehe wie folgt vor, um die Portauslastung zu reduzieren:
- Behebe Probleme auf Anwendungsebene, die die verfügbaren Verbindungen belasten.
- Führe den folgenden Befehl aus, um den temporären Portbereich des Betriebssystems zu erhöhen:
net.ipv4.ip_local_port_range = 1025 61000
Hinweis: Ein breiterer Portbereich löst Probleme mit der Portzuweisung möglicherweise nicht, da Verbindungen im Hintergrund geschlossen werden.
„IdleTimeoutCount“-Fehler aufgrund inaktiver Verbindungen
Ein NAT-Gateway führt zu einer Zeitüberschreitung bei Verbindungen, die mindestens 350 Sekunden lang inaktiv sind, und führt zu einem Anstieg der IdleTimeoutCount-Metrik. Das NAT-Gateway sendet dann ein TCP-Reset-Paket (RST), kein TCP-Finish-Paket (FIN), an Clients, die versuchen, die Timeout-Verbindung wieder aufzunehmen.
Gehe wie folgt vor, um den IdleTimeoutCount-Fehler zu beheben:
- Überprüfe die IdleTimeoutCount-Metrik in Amazon CloudWatch, um inaktive Verbindungen zu identifizieren.
- Verwende CloudWatch Contributor Insights, um zu sehen, warum Kunden im Idle-Status bleiben.
- Schließe inaktive Verbindungen von Clients, um Kapazität freizugeben.
- Initiiere häufigeren Verkehr über eine lang andauernde Verbindung.
- Schalte TCP-Keepalive auf der Client-Instance mit einem Wert ein, der weniger als 350 Sekunden beträgt.
Bandbreitenbeschränkungen für NAT-Gateways
Ein NAT-Gateway beginnt bei einer Bandbreite von 5 Gbit/s und skaliert automatisch auf bis zu 100 Gbit/s. Wenn der kombinierte Netzwerkdurchsatz aller Instances, die das NAT-Gateway verwenden, 100 Gbit/s erreicht, verlangsamt sich der Datenverkehr. Weitere Informationen findest du unter NAT-Gateway-Metriken und -Dimensionen.
Um eine vom NAT-Gateway ausgehende Bandbreitenbeschränkung zu beheben, verteile den Datenverkehr auf mehrere NAT-Gateways in separaten Subnetzen.
Weitere Informationen findest du unter Wie kann ich Amazon-CloudWatch-Metriken verwenden, um Bandbreitenprobleme am NAT-Gateway zu identifizieren?
Zusammengehörige Informationen
Wie behebe ich zeitweise auftretende Verbindungsprobleme, wenn ich eine NAT-Instance verwende?
- Tags
- Amazon VPC
- Sprache
- Deutsch
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor einem Jahr