Je souhaite résoudre les problèmes de connectivité rencontrés lorsque j'utilise une passerelle NAT sur mon Amazon Virtual Private Cloud (Amazon VPC) privé.
Brève description
Les ressources qui se trouvent dans des sous-réseaux privés peuvent subir des délais d'expiration, des interruptions de connexion soudaines ou un ralentissement de la connectivité pour les raisons suivantes :
- Restrictions des règles de liste de contrôle d'accès réseau (ACL réseau) sur les plages de ports éphémères
- Erreur ErrorPortAllocation sur la passerelle NAT
- Épuisement des ports sur l'instance cliente
- Erreur IdleTimeoutCount en raison de connexions inactives
- Limites de bande passante de passerelle NAT
Résolution
Restrictions des règles ACL réseau sur les plages de ports éphémères
Vérifiez que l'ACL réseau que vous avez associée au sous-réseau public de la passerelle NAT autorise le trafic provenant de la plage de ports éphémères ; 1024-65535.
Si l'ACL réseau n'autorise qu'un sous-ensemble de la plage et qu'un client utilise un port en dehors de la plage, le trafic diminue. Pour plus d’informations, consultez la section Exemple : VPC avec des serveurs dans des sous-réseaux privés et NAT.
Erreur « ErrorPortAllocation » sur la passerelle NAT
Chaque passerelle NAT prend en charge jusqu'à 55 000 connexions simultanées vers chaque destination. Si les connexions dépassent le seuil, les nouvelles connexions vers la destination échouent et la métrique ErrorPortAllocation augmente dans Amazon CloudWatch pour la passerelle NAT.
Pour résoudre ce problème, prenez les mesures suivantes :
- Associez une adresse IPv4 principale et jusqu'à sept adresses IPv4 secondaires à vos passerelles NAT.
- Ajoutez des adresses IPv4 secondaires pour augmenter le nombre de ports disponibles et augmenter le nombre de connexions simultanées.
Remarque : Les adresses IPv4 secondaires augmentent le nombre de ports disponibles, de sorte que le nombre de connexions simultanées à une passerelle NAT que les charges de travail peuvent utiliser augmente également.
Pour en savoir plus, consultez la section Comment résoudre l'erreur « ErrorPortAllocation » sur ma passerelle NAT ?
Épuisement des ports sur l'instance cliente
Les instances clientes qui se trouvent dans le sous-réseau privé ont peut-être atteint les quotas de connexion de leur système d'exploitation (OS).
Pour vérifier le nombre de connexions actives, exécutez les commandes suivantes :
Linux :
netstat -ano | grep ESTABLISHED | wc --l
netstat -ano | grep TIME_WAIT | wc --l
Windows :
netstat -ano | find /i "estab" /c
netstat -ano | find /i "TIME_WAIT" /c
Si la sortie est proche de la plage de ports locaux autorisée, l'épuisement des ports peut en être la cause.
Pour réduire l'épuisement des ports, prenez les mesures suivantes :
Remarque : Une gamme de ports plus étendue risque de ne pas résoudre les problèmes d'attribution des ports en raison de la fermeture des connexions silencieuses.
Erreur IdleTimeoutCount en raison de connexions inactives
Une passerelle NAT met fin aux connexions inactives pendant 350 secondes ou plus et provoque un pic de la métrique IdleTimeoutCount. La passerelle NAT envoie ensuite un paquet TCP Reset (RST), et non un TCP Finish (FIN), aux clients qui tentent de reprendre la connexion expirée.
Pour résoudre l'erreur IdleTimeoutCount, effectuez les actions suivantes :
- Consultez la métrique IdleTimeoutCount dans Amazon CloudWatch pour identifier les connexions inactives.
- Utilisez CloudWatch Contributor Insights pour voir pourquoi les clients demeurent à l’état Inactif.
- Fermez les connexions inactives des clients pour libérer de la capacité.
- Initiez un trafic plus fréquent sur une connexion de longue durée.
- Activez la fonction keepalive TCP sur l'instance cliente avec une valeur inférieure à 350 secondes.
Limites de bande passante de passerelle NAT
Une passerelle NAT démarre à 5 Gbit/s de bande passante et évolue automatiquement jusqu'à 100 Gbit/s. Si le débit réseau combiné de toutes les instances qui utilisent la passerelle NAT atteint 100 Gbit/s, le trafic ralentit. Pour en savoir plus, consultez la section Dimensions et métriques de la passerelle NAT.
Pour résoudre une limitation de bande passante provenant de la passerelle NAT, distribuez le trafic sur plusieurs passerelles NAT dans des sous-réseaux distincts.
Pour en savoir plus, consultez la section Comment utiliser les métriques Amazon CloudWatch pour identifier les problèmes de bande passante des passerelles NAT ?
Informations connexes
Comment résoudre les problèmes de connexion intermittents lors de l'utilisation d'une instance NAT ?
Résoudre les problèmes liés aux passerelles NAT