Saltar al contenido
Al usar AWS re:Post, aceptas las AWS re:Post Términos de uso
AWS re:Postre:Post
Acerca de re:Post

¿Cómo puedo solucionar los problemas de conectividad cuando utilizo una puerta de enlace de NAT en mi VPC privada?

5 minutos de lectura
0

Quiero solucionar los problemas de conectividad cuando utilizo una puerta de enlace de NAT en mi Amazon Virtual Private Cloud (Amazon VPC) privada.

Descripción breve

Es posible que los recursos que se encuentran en subredes privadas experimenten problemas de tiempo de espera de conectividad, caídas repentinas de la conexión o lentitud en la conectividad por los siguientes motivos:

  • Restricciones de reglas de la lista de control de acceso de la red (ACL de la red) en rangos de puertos efímeros
  • Error ErrorPortAllocation en la puerta de enlace de NAT
  • Agotamiento de puertos en la instancia del cliente
  • Error IdleTimeoutCount debido a conexiones inactivas
  • Limitaciones de ancho de banda de la puerta de enlace de NAT

Resolución

Restricciones de reglas de ACL de la red en rangos de puertos efímeros

Confirma que la ACL de la red que asociaste a la subred pública de la puerta de enlace de NAT permite el tráfico desde el rango de puertos efímeros (1024-65535).

Si la ACL de la red solo permite un subconjunto del rango y un cliente usa un puerto fuera del rango, el tráfico se interrumpe. Para obtener más información, consulta Ejemplo: una VPC con servidores en subredes privadas y NAT.

Error ErrorPortAllocation en la puerta de enlace de NAT

Cada puerta de enlace de NAT admite hasta 55 000 conexiones simultáneas a cada destino. Si las conexiones superan el umbral, se produce un error en las nuevas conexiones al destino y la métrica ErrorPortAllocation aumenta en Amazon CloudWatch para la puerta de enlace de NAT.

Para solucionar este problema, toma las siguientes medidas:

  • Asocia una dirección IPv4 principal y hasta siete direcciones IPv4 secundarias a tus puertas de enlace de NAT.
  • Añade direcciones IPv4 secundarias para aumentar la cantidad de puertos disponibles y ampliar la cantidad de conexiones simultáneas.

Nota: Las direcciones IPv4 secundarias aumentan la cantidad de puertos disponibles, por lo que también aumenta la cantidad de conexiones simultáneas a una puerta de enlace de NAT que las cargas de trabajo pueden usar.

Para obtener más información, consulta ¿Cómo puedo solucionar el error «ErrorPortAllocation» en mi puerta de enlace NAT en Amazon VPC?

Agotamiento de puertos en la instancia del cliente

Es posible que las instancias de cliente que se encuentran en la subred privada hayan alcanzado las cuotas de conexión de tu sistema operativo (SO).

Para comprobar el número de conexiones activas, ejecuta los siguientes comandos:

Linux:

netstat -ano | grep ESTABLISHED | wc --l

netstat -ano | grep TIME_WAIT | wc --l

Windows:

netstat -ano | find /i "estab" /c

netstat -ano | find /i "TIME_WAIT" /c

Si la salida está cerca del rango de puertos locales permitido, la causa podría ser el agotamiento de los puertos.

Para reducir el agotamiento de los puertos, toma las siguientes medidas:

  • Resuelve los problemas en el nivel de aplicación que agoten las conexiones disponibles.
  • Ejecuta el siguiente comando para aumentar el rango de puertos efímeros del sistema operativo: 
    net.ipv4.ip_local_port_range = 1025 61000

Nota: Es posible que un rango de puertos más amplio no resuelva los problemas de asignación de puertos debido a los cierres de las conexiones silenciosas.

Error IdleTimeoutCount debido a conexiones inactivas

Una puerta de enlace de NAT agota el tiempo de espera de las conexiones que están inactivas durante 350 segundos o más y provoca un aumento en la métrica IdleTimeoutCount. A continuación, la puerta de enlace de NAT envía un paquete de restablecimiento de TCP (RST), no un paquete de finalización de TCP (FIN), a los clientes que intentan reanudar la conexión agotada.

Para resolver el error IdleTimeoutCount, realiza las siguientes acciones:

  • Revisa la métrica IdleTimeoutCount en Amazon CloudWatch para identificar las conexiones inactivas.
  • Utiliza Información de colaboradores de CloudWatch para ver qué es lo que hace que los clientes permanezcan en estado inactivo.
  • Cierra las conexiones inactivas de los clientes para liberar capacidad.
  • Inicia un tráfico más frecuente a través de una conexión de larga duración.
  • Activa keepalive de TCP en la instancia de cliente con un valor inferior a 350 segundos.

Limitaciones de ancho de banda de la puerta de enlace de NAT

Una puerta de enlace de NAT comienza con 5 Gbps de ancho de banda y se amplía automáticamente hasta 100 Gbps. Si el rendimiento combinado de la red en todas las instancias que utilizan la puerta de enlace de NAT alcanza los 100 Gbps, el tráfico se ralentiza. Para obtener más información, consulta Métricas y dimensiones de gateway NAT.

Para resolver una limitación de ancho de banda de la puerta de enlace de NAT, distribuye el tráfico entre varias puertas de enlace de NAT en subredes separadas.

Para obtener más información, consulta How can I use Amazon CloudWatch metrics to identify NAT gateway bandwidth issues? (¿Cómo puedo usar las métricas de Amazon CloudWatch para identificar problemas d ancho de banda de la puerta de enlace de NAT?).

Información relacionada

How do I resolve intermittent connection issues when using a NAT instance?

Solucionar problemas de las gateways NAT

Temas
Networking & Content Delivery
Etiquetas
Amazon VPC
Idioma
Español
OFICIAL DE AWSActualizada hace un año
Sin comentarios

Contenido relevante