Comment résoudre les problèmes de connectivité rencontrés lorsque j'utilise une passerelle NAT sur mon Amazon VPC privé ?

Lecture de 4 minute(s)
0

Je souhaite résoudre les problèmes de connectivité rencontrés lorsque j'utilise une passerelle NAT sur mon Amazon Virtual Private Cloud (Amazon VPC) privé.

Brève description

Les ressources de sous-réseaux privés peuvent subir des délais d'expiration, des interruptions de connexion soudaines ou des ralentissements de connectivité pour les raisons suivantes :

  • Règles des listes de contrôle d'accès au réseau (ACL réseau)
  • Erreur ErrorPortAllocation sur la passerelle NAT
  • Épuisement du port de l'instance client
  • Erreur IdleTimeoutCount lors de la libération de capacité
  • Limitation de bande passante par passerelle NAT

Résolution

Résolvez les problèmes liés aux délais d’expiration, aux interruptions de connexion soudaines ou aux ralentissements de connectivité dus aux causes suivantes :

Règles ACL réseau

Assurez-vous que l'ACL réseau associée au sous-réseau public de la passerelle NAT autorise le trafic provenant de la plage de ports éphémères (1024-65535). Si l'ACL réseau autorise un sous-ensemble de la plage de ports et que les instances utilisent un port source hors de portée, le trafic sera interrompu. Pour en savoir plus, consultez la page Exemple : VPC avec des serveurs dans des sous-réseaux privés et NAT.

Erreur « ErrorPortAllocation » sur la passerelle NAT

Les passerelles NAT prennent en charge 55 000 connexions simultanées maximum vers chaque destination. Si ce seuil est dépassé, les nouvelles connexions vers la destination échouent et la métrique ErrorPortAllocation augmente dans Amazon CloudWatch pour la passerelle NAT. Pour résoudre ce problème, vous pouvez associer jusqu'à huit adresses IPv4 à vos passerelles NAT afin d'augmenter la limite. Vous pouvez associer une adresse IPv4 principale et sept adresses secondaires.

Remarque : les adresses IPv4 secondaires augmentent le nombre de ports disponibles. Cela signifie que le nombre de connexions simultanées que vos charges de travail peuvent utiliser pour établir une connexion avec une passerelle NAT augmente également.

Pour en savoir plus, consultez la page Comment résoudre l'erreur ErrorPortAllocation sur ma passerelle NAT ?

Épuisement du port de l'instance client

Vérifiez si les instances client du sous-réseau privé ont atteint les limites de connexion de leur système d'exploitation (OS) :

Affichez le nombre de connexions actives :

Linux :

netstat -ano | grep ESTABLISHED | wc --lnetstat -ano | grep TIME_WAIT | wc --l

Windows :

netstat -ano | find /i "estab" /cnetstat -ano | find /i "TIME_WAIT" /c

Si la commande précédente renvoie une valeur proche de la plage de ports locaux autorisée (port source pour les connexions client), il est possible que les ports soient épuisés.

Pour réduire l'épuisement des ports, procédez comme suit :

  • Résolvez tous les problèmes qui épuisent les connexions disponibles au niveau de l'application.
  • Augmentez la plage de ports locaux (éphémères) du système d'exploitation :
net.ipv4.ip_local_port_range = 1025 61000

Remarque : le nombre total de plages de ports ne permet pas toujours de résoudre le problème d'allocation de ports en raison des fermetures de connexion silencieuses.

Erreur « IdleTimeoutCount » lors de la libération de capacité

Si une connexion qui utilise une passerelle NAT est inactive pendant 350 secondes ou plus, la connexion expire. Un pic apparaîtra également sur la métrique IdleTimeoutCount. Lorsqu'une connexion expire, une passerelle NAT renvoie un paquet RST à toutes les ressources situées derrière la passerelle NAT qui tentent de poursuivre la connexion. La passerelle NAT n'envoie pas de paquet FIN.

Pour corriger ou contourner l'erreur IdleTimeoutCount, procédez comme suit :

  • Utilisez la métrique IdleTimeoutCount dans Amazon CloudWatch pour surveiller l'augmentation du nombre de connexions inactives. Veillez à configurer Amazon CloudWatch Contributor Insights afin de voir les principaux contributeurs des clients dont les processus présentent l'état Inactif.
  • Fermez les connexions inactives des clients pour libérer de la capacité.
  • Augmentez le trafic via la connexion.
  • Activez la fonction keepalive TCP sur l'instance avec une valeur inférieure à 350 secondes.

Limitation de bande passante depuis la passerelle NAT

Les passerelles NAT prennent en charge une bande passante de 5 Gbit/s et augmentent automatiquement à 100 Gbit/s. Si les métriques de débit réseau sont supérieures ou égales à 100 Gbit/s sur toutes les instances de la passerelle NAT, le trafic ralentit. Pour en savoir plus, consultez la page Dimensions et métriques de la passerelle NAT.

Pour résoudre ou contourner une limitation de bande passante provenant de la passerelle NAT, répartissez les ressources entre différents sous-réseaux et créez plusieurs passerelles NAT.

Pour en savoir plus, consultez la page Comment utiliser les métriques Amazon CloudWatch pour identifier les problèmes de bande passante des passerelles NAT ?

Informations connexes

Comment résoudre les problèmes de connexion intermittents lors de l'utilisation d'une instance NAT ?

Résoudre les problèmes liés aux passerelles NAT

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 8 mois