Comment résoudre les problèmes de connectivité TCP sur mon Network Load Balancer ?

Lecture de 6 minute(s)
0

Je souhaite résoudre les problèmes de connectivité TCP sur mon Network Load Balancer.

Résolution

Pour suivre les paquets et déterminer l’emplacement où ils sont déposés, vous pouvez utiliser les journaux de flux Amazon Virtual Private Cloud (Amazon VPC) ou des captures de paquets.

Voici un exemple de flux de trafic simple entre un serveur sur site et un Network Load Balancer connecté à Internet :

Client(sur site)---->Pare-feu(sur site)---via Internet--->NLB--->cible

Si un message d'erreur s’affiche, vérifiez le chemin réseau et les périphériques intermédiaires entre le client et la cible.

Résoudre les problèmes de connexion du client

Identifiez si l'erreur est due à un échec de résolution DNS, à un refus de connexion ou à un délai de connexion expiré.

Assurez-vous que le client peut résoudre le DNS avec l'adresse IP correcte du Network Load Balancer. Utilisez des outils tels que dig (dig www.exemple.com) pour Linux ou nslookup (nslookup.www.exemple.com) pour Microsoft Windows.

Utilisez dig ou nslookup pour résoudre le Fully Qualified Domain Name (FQDN) du Network Load Balancer qui est disponible sur votre console de gestion AWS. Le nom de domaine complet du Network Load Balancer possède la syntaxe suivante :

name-id.elb.region.amazonaws.com. For example: dig my-load-balancer-1234567890abcdef.elb.us-east-2.amazonaws.com

Assurez-vous que les adresses IP du DNS du domaine personnalisé retournées par dig ou nslookup sont les mêmes que celles du FQDN de l'équilibreur de charge.

Vérifiez si les paquets clients sont dirigés vers votre Network Load Balancer. Utilisez des outils de capture de paquets, tels que tcpdump, wireshark ou les journaux de flux VPC du client pour vérifier les paquets qui sortent et entrent dans l'interface réseau du client. Si les paquets SYN ne sont pas acheminés vers votre Network Load Balancer, vérifiez dans l'application cliente ce qui bloque le trafic. Assurez-vous que le système d'exploitation et le pare-feu du client autorisent le trafic entrant et sortant pour le Network Load Balancer.

Le message REJECT peut apparaître dans les journaux de flux VPC pour le trafic destiné à l'adresse IP du Network Load Balancer. Vérifiez le groupe de sécurité de l'équilibreur de charge et les règles sortantes de la liste de contrôle d'accès réseau (ACL réseau) pour déterminer si elles autorisent le trafic. Le message REJECT peut également s’afficher dans les journaux de flux VPC pour le trafic provenant de l'adresse IP du Network Load Balancer. Vérifiez le groupe de sécurité du client et les règles entrantes de la liste ACL réseau pour déterminer s'ils autorisent le trafic.

Vous pouvez voir le trafic de réponse (SYN\ _ACK) allant de l'équilibreur de charge vers le client, mais pas d’ACK renvoyé du client vers l'équilibreur de charge. Vérifiez si le pare-feu du client bloque le trafic provenant de l'équilibreur de charge.

Résoudre les problèmes de connexion au Network Load Balancer

Consultez les journaux de flux VPC du Network Load Balancer pour déterminer si le trafic du client atteint l'équilibreur de charge.Si les journaux de flux VPC indiquent que l'équilibreur de charge a rejeté du trafic en provenance du client, vérifiez le groupe de sécurité de l'équilibreur de charge et les règles d'accès réseau en entrée du sous-réseau. Assurez-vous que les règles autorisent le trafic entrant depuis l'adresse IP du client sur le port d'écoute de l'équilibreur de charge.

Si le Network Load Balancer a accepté le trafic en provenance du client, vérifiez si l’équilibreur de charge transfère le trafic vers l'adresse IP cible. Les paquets envoyés à la cible du Network Load Balancer doivent avoir l'adresse IP privée de l'équilibreur de charge comme adresse IP source. Ils doivent également avoir comme adresse IP de destination l’adresse IP de la cible.

Pour résoudre une erreur REJECT, vérifiez le groupe de sécurité et les règles sortantes de la liste ACL réseau du sous-réseau. Assurez-vous que les règles autorisent le trafic sortant vers l'adresse IP cible sur le port cible.

Consultez les journaux de flux VPC du Network Load Balancer pour déterminer si l'équilibreur de charge reçoit le trafic de réponse provenant de l'adresse IP de la cible. En l’absence de trafic, vérifiez les journaux de flux VPC ou les captures de paquets de la cible pour déterminer si la cible a reçu du trafic provenant de l'équilibreur de charge et y a répondu.

Si l'équilibreur de charge reçoit le trafic de réponse provenant de la cible mais rejette les paquets qui sont envoyés au client, vérifiez les règles sortantes de la liste ACL réseau. Vérifiez que les règles autorisent le trafic entre le port éphémère (1024-65535) et l'adresse IP du client.

Si le Network Load Balancer transfère le trafic de réponse au client mais que celui-ci ne le reçoit pas, vérifiez les périphériques intermédiaires, tels que le pare-feu. Utilisez les traceroutes TCP pour trouver les périphériques réseau sur le chemin réseau. Exécutez les exemples de commandes suivants depuis le périphérique client :

 mtr -P  -T  -r
 traceroute -T -p  

Résoudre les erreurs liées à la cible

Consultez les journaux de flux VPC du Network Load Balancer pour identifier la cible qui reçoit du trafic provenant de l'équilibreur de charge et vérifiez que le trafic a atteint la cible. Si le groupe cible a activé la conservation de l'adresse IP du client, l'adresse IP du client apparaît dans le champ IP source. Si la conservation de l'adresse IP du client est désactivée, l'adresse IP privée de l'équilibreur de charge s'affiche.

Si les journaux de flux VPC de la cible indiquent que celle-ci a rejeté le trafic entrant provenant de l'équilibreur de charge, vérifiez le groupe de sécurité et la liste ACL réseau de la cible. Assurez-vous que le port de la cible dans le groupe cible est ouvert à l'adresse IP privée de l'équilibreur de charge ou à l'adresse IP du client. Si les journaux indiquent que la cible a rejeté le trafic sortant, vérifiez les règles sortantes du groupe de sécurité et de la liste ACL réseau de la cible. Assurez-vous que le port éphémère (1024-65535) est ouvert à l'adresse IP privée de l'équilibreur de charge ou à l'adresse IP du client.

Si des paquets SYN arrivent mais qu'aucun SYN\ _ACK correspondant n'est envoyé, vérifiez si les pare-feux ou les proxys au niveau du système d'exploitation, tels que iptables, bloquent le trafic.

Vérifiez si la cible possède une application exécutée sur le port enregistré auprès du groupe cible du Network Load Balancer. Exécutez des commandes telles que telnet, CURL ou netcat. Par exemple, si une cible est enregistrée sur le port 80, connectez-vous au terminal de la cible et exécutez la commande suivante :

telnet localhost 80
curl -v http://localhost:80  
nc -vz localhost 80

Remarque : Pour Microsoft Windows, ouvrez un navigateur sur la cible et saisissez http://localhost:80.

Informations connexes

Contrôler le trafic vers vos ressources AWS à l’aide de groupes de sécurité

Contrôler le trafic vers les sous-réseaux à l'aide des listes ACL réseau

Conservation de l’adresse IP du client

Journalisation du trafic IP à l'aide des journaux de flux VPC

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 8 mois