En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation

Comment résoudre les erreurs « Connection timed out » (Connexion expirée) liées a Elastic Load Balancing ?

Lecture de 5 minute(s)
0

J'utilise Elastic Load Balancing (ELB) et je reçois une erreur « Connection timed out » (Connexion expirée). Comment résoudre un problème de connexion expirée entre mon équilibreur de charge et un client ?

Solution

Vérifiez que votre méthode d'équilibrage de charge est connectée à Internet

Si le client essaie de se connecter via Internet, vérifiez que la méthode ELB est connectée à Internet.

Confirmez qu'un écouteur est configuré pour le port d'équilibreur de charge

Vérifiez la configuration des écouteurs pour le port d'équilibreur de charge auquel le client se connecte :

Confirmez que les groupes de sécurité de vos instances cibles autorisent le trafic

Application Load Balancers et Classic Load Balancers

Vérifiez les paramètres du groupe de sécurité associé à l'équilibreur de charge. Confirmez que le trafic est autorisé dans les deux sens pour les ports d'écouteur et de surveillance de l'état. Pour plus d'informations, consultez Groupes de sécurité pour votre Application Load Balancer ou Configurer des groupes de sécurité pour Classic Load Balancer.

Network Load Balancers

Si vous enregistrez des instances EC2 en tant que cibles, confirmez que les groupes de sécurité de ces instances autorisent le trafic sur les ports d'écouteur et de surveillance de l'état. Si vous enregistrez des cibles par adresse IP, assurez-vous que le groupe de sécurité des cibles autorise le trafic provenant des nœuds NLB. Pour plus d'informations, consultez Enregistrer des cibles auprès de votre groupe cible (Network Load Balancer).

Si vous utilisez la conservation de l'adresse IP du client, confirmez que le groupe de sécurité cible autorise le trafic provenant des adresses IP du client. Pour plus d'informations, consultez Conservation de l'adresse IP du client.

Vérifiez que l'ACL réseau autorise le trafic requis

Vérifiez que la liste de contrôle d'accès réseau (ACL réseau) associée aux sous-réseaux dans lesquels des nœuds d'équilibreur de charge sont présents :

  • Permet l'accès sur le port auquel on accède
  • Permet d'accéder à des adresses IP de clients particulières dans les règles entrantes.

Les listes de contrôle d'accès (ACL) réseau sont sans état. Vous devez donc autoriser l'accès dans les règles entrantes et sortantes. Confirmez également que tous les ports éphémères sont autorisés dans vos règles sortantes. Des problèmes de connexion intermittents peuvent survenir si vous autorisez uniquement certains ports éphémères. Pour plus d'informations, consultez Liste de contrôle d'accès (ACL) réseau pour les équilibreurs de charge dans un VPC.

Confirmez que les tables de routage sont correctement configurées

Dans le cas d'équilibreurs de charge connectés à Internet, confirmez que les tables de routage associées aux sous-réseaux où se trouvent des nœuds d'équilibreur de charge disposent d'une passerelle Internet.

Pour les équilibreurs de charge internes utilisant une connexion privée à l'équilibreur de charge, plusieurs tables de routage peuvent être associées à différents sous-réseaux. Des problèmes de connectivité peuvent survenir sur des nœuds individuels et provoquer des problèmes intermittents. Vérifiez les tables de routage associées à tous les nœuds. Si la connectivité échoue pour un nœud, vérifiez que la table de routage associée au sous-ensemble de nœuds d'équilibreur de charge est configurée. Ajoutez des acheminements selon vos besoins.

Utilisez la commande suivante pour tester la connectivité des nœuds :

nc –v <ELB IP Address> <Port>
telnet <ELB IP Address> <Port>

Remarque : saisissez vos informations pour Adresse IP ELB et Port.

Vérifiez que le client ne se connecte pas à un nœud terminé (Application Load Balancer et Classic Load Balancer)

Confirmez que le client ne se connecte pas à un nœud Application Load Balancer ou Classic Load Balancer qui est terminé. Vérifiez que les adresses IP du client figurent dans la liste des adresses IP actuelles publiées dans le système de nom de domaine (DNS) ELB. Exécutez la commande dig suivante en utilisant votre nom de domaine pour exemple.com :

$ dig +short example.com
35.154.42.229
13.126.64.179

Confirmez qu'un pare-feu côté client ne bloque pas le trafic

Si d'autres méthodes de dépannage ne résolvent pas vos problèmes de connectivité, il se peut qu'un pare-feu côté client bloque le trafic. Pour résoudre ce problème, suivez ces étapes :

  • Si vous utilisez des Journaux de flux VPC avec des métadonnées, consultez les journaux des interfaces des nœuds d'équilibreur de charge. Confirmez que le SYN de l'adresse IP du client est reçu par l'équilibreur de charge. Confirmez ensuite que le SYN, ACK est renvoyé par le nœud d'équilibreur de charge à l'adresse IP du client. Si SYN, ACK n'est pas renvoyé par le nœud d'équilibreur de charge, il est possible qu'il y ait un problème avec ce nœud. Pour obtenir un exemple de lecture des journaux de flux, consultez la section Séquence d'indicateurs TCP.
  • Effectuez une capture de paquets sur la machine qui exécute le client. Utilisez l'utilitaire tcpdump pour obtenir le trafic réseau à des fins d'analyse. Si la connexion échoue, mettez à jour vos règles de pare-feu pour autoriser le trafic requis.

Informations connexes

Résoudre les problèmes liés à votre Application Load Balancer

Résoudre les problèmes liés à votre Classic Load Balancer

ACL réseau personnalisées

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 3 ans