¿Cómo puedo solucionar el error «ErrorPortAllocation» en mi puerta de enlace NAT en Amazon VPC?

Breve descripción

Las puertas de enlace de NAT admiten hasta 55 000 conexiones simultáneas a cada destino. Si se supera este umbral, se produce un error en las nuevas conexiones al destino y la métrica ErrorPortAllocation aumenta en Amazon CloudWatch para la puerta de enlace NAT.

Antes de empezar a solucionar el error ErrorPortAllocation, sigue estos pasos:

• Asegúrate de que el registro de flujo de VPC esté activado en el nivel de la Amazon VPC o en las subredes donde se utilice la puerta de enlace NAT.
• Comprueba que el registro de flujo de VPC esté configurado para la entrega a CloudWatch.

Para solucionar el error ErrorPortAllocation, sigue estos pasos:

1. Busca los clientes de origen y sus destinos de conexión.
2. Utilización de las prácticas recomendadas para solucionar los errores de asignación de puertos

Solución

Búsqueda de los clientes de origen y sus destinos de conexión

1.    Abre la consola de CloudWatch.

2.    En el panel de navegación, selecciona Información.

3.    En Grupo de registro, elige el grupo de registro en el que se guardan los registros de flujo.

4.    Identifica la dirección IP de destino del tráfico con el mayor número de respuestas durante el período en el que se mostraron los errores de asignación de puerto:

Nota: Sustituye example-NAT-gateway-private-IP por la dirección IP privada de la puerta de enlace NAT cuyo destino de tráfico deseas encontrar. Sustituye example-y.y por los dos primeros octetos del intervalo de CIDR de Amazon VPC.

filter (srcAddr like example-NAT-gateway-private-IP and dstAddr not like example-y.y)
| stats count(*) as numaccept by dstAddr
| sort numaccept desc
| limit 10

5.    Identifica los clientes de origen que envían tráfico a la dirección IP de destino:

Nota: Sustituye example-destination-IP por la dirección IP de destino anterior del paso 4. Sustituye example-y.y por los dos primeros octetos del intervalo de CIDR de Amazon VPC.

filter (dstAddr like example-destination-IP and srcAddr like example-y.y)
| stats sum(bytes) as bytesTransferred by srcAddr, dstAddr
| sort bytesTransferred desc
| limit 10

Utilización de las prácticas recomendadas para solucionar los errores de asignación de puertos

Utiliza estas prácticas recomendadas para solucionar los errores de asignación de puertos:

• Asocia direcciones IPv4 secundarias para aumentar la cantidad de puertos disponibles y el límite de conexiones simultáneas que pueden establecer sus cargas de trabajo. Se puede asociar un máximo de ocho direcciones IPv4 a las puertas de enlace NAT (1 dirección IPv4 principal y 7 direcciones IPv4 secundarias).
• Crea una puerta de enlace NAT en cada zona de disponibilidad y, a continuación, distribuye tus clientes entre las zonas de disponibilidad. Utiliza una puerta de enlace NAT para enrutar el tráfico en la misma zona de disponibilidad que tu cliente. Esto ayuda a reducir los cargos por datos entre zonas de disponibilidad.
• Si observas un aumento en la métrica IdleTimeOutCount en CloudWatch, configura la aplicación o instancia privada para que cierre las conexiones inactivas. Esto permite que la puerta de enlace NAT asigne el puerto de origen a las nuevas conexiones.
• Limita la cantidad de conexiones que tus clientes pueden establecer a un único destino.
• Si el tráfico atraviesa una dirección IP pública de Amazon Simple Storage Service (Amazon S3) o Amazon DynamoDB en la misma región de AWS, utiliza un punto de conexión de la puerta de enlace. Si utilizas un punto de conexión de Amazon VPC de una puerta de enlace, no se te cobrará por los datos.

Información relacionada

Consultas de ejemplo

Monitorear las puertas de enlace NAT mediante Amazon CloudWatch

Edición de asociaciones de direcciones IP secundarias