Pourquoi mon instance Amazon EC2 située dans un sous-réseau privé ne peut-elle pas se connecter à Internet à l’aide d’une passerelle NAT ?

Lecture de 3 minute(s)
0

J'ai créé une passerelle NAT pour accéder à Internet depuis mon instance Amazon Elastic Compute Cloud (Amazon EC2). Mon instance utilise des ports HTTP ou HTTPS dans un sous-réseau privé, mais ne parvient pas à accéder à Internet.

Résolution

Vérifiez que les instances remplissent les conditions suivantes :

1.    La destination est accessible en effectuant un ping vers celle-ci à partir d'une autre source à l'aide d'une adresse IP publique.

2.    L'état de la passerelle NAT est Disponible. Si l'état de la passerelle NAT est Échec, consultez Échec de la création d'une passerelle NAT.

Remarque : une passerelle NAT à l'état Échec est automatiquement supprimée après environ une heure.

3.    Vous avez créé la passerelle NAT dans un sous-réseau public et la table de routage publique comporte un acheminement par défaut pointant vers une passerelle Internet.

4.    La table de routage du sous-réseau privé comporte un acheminement par défaut pointant vers la passerelle NAT.

Important : assurez-vous que vous n'utilisez pas la même table de routage pour le sous-réseau privé et public. L'utilisation de la même table de routage signifie que le trafic n'est pas acheminé vers Internet.

5.    L'attribut enableDnsSupport est défini sur vrai dans le VPC. Pour plus d'informations, consultez la section Afficher et mettre à jour les attributs DNS de votre VPC.

Remarque : mettez en marche le DNS pour éviter l'échec de résolution DNS.

6.    Les pare-feu ne bloquent pas le trafic sur les ports 80 (pour le trafic HTTP) et 443 (pour le trafic HTTPS). Veillez à vérifier si un pare-feu bloque le trafic sur l'hôte de destination. Vous pouvez utiliser l'exemple de commande suivant pour vérifier la présence de pare-feu :

$ telnet PUBLIC_IP TCP_PORT

7.    Le groupe de sécurité attaché à l'interface réseau Elastic de l'instance autorise le trafic sortant sur les ports 80 et 443. Pour plus d'informations, consultez les sections Groupes de sécurité Amazon EC2 pour les instances Linux ou Groupes de sécurité Amazon EC2 pour les instances Windows.

8.    Les exemples suivants comportent des règles qui autorisent le trafic entrant et sortant sur les ports 80 et 443 à l'aide de l'adresse IP de destination 0.0.0.0/0 :

  • Les listes de contrôle d'accès (ACL) réseau associées au sous-réseau privé où se trouve l'instance.
  • Listes ACL réseau associées au sous-réseau public où se trouve la passerelle NAT.

Pour permettre à vos instances Amazon EC2 d'accéder à un site web HTTPS, la liste de contrôle d’accès associée au sous-réseau de la passerelle NAT doit comporter les règles suivantes :

Règles entrantes

SourceProtocolePlage de portsAutoriser/Refuser
CIDR VPCTCP443AUTORISER
PUBLIC_IPTCP1024-65535AUTORISER

Règles sortantes

DestinationProtocolePlage de portsAutoriser/Refuser
PUBLIC_IPTCP443AUTORISER
CIDR VPCTCP1024-65535AUTORISER

Pour plus d'informations sur la configuration des listes ACL réseau, consultez Utilisation des listes ACL réseau.


Informations connexes

Passerelles NAT

Configuration des tables de routage

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 2 ans