Come faccio a risolvere i problemi di connettività da Internet alle istanze Amazon EC2 all'interno del mio VPC?

4 minuti di lettura

Non riesco a connettermi da Internet a un'istanza Amazon Elastic Compute Cloud (Amazon EC2) nel mio Amazon Virtual Private Cloud (Amazon VPC).

Breve descrizione

I problemi di connessione da Internet alle istanze Amazon EC2 sono in genere correlati alle seguenti impostazioni di configurazione:

Gruppo di sicurezza
Liste di controllo degli accessi alla rete
Tabella di routing
Firewall di rete AWS
Sistema operativo (OS)

Risoluzione

Prima di iniziare, conferma che l'istanza EC2 superi i controlli sullo stato del sistema e i controlli sullo stato dell'istanza.

Se utilizzi Network Firewall, consulta Come faccio a risolvere i problemi con Network Firewall quando una regola non funziona come previsto?

Controllare i gruppi di sicurezza

Verifica che il gruppo di sicurezza associato all'interfaccia di rete elastica dell'istanza consenta le connessioni dalle porte richieste. Poiché i gruppi di sicurezza hanno uno stato, non è necessario configurare le regole di uscita dei gruppi di sicurezza.

**Importante:**in un ambiente di produzione, consenti solo a un indirizzo IP o a un intervallo di indirizzi specifico di accedere alla tua istanza. A scopo di test, specifica l'indirizzo IP personalizzato 0.0.0.0/0 per consentire a tutti gli indirizzi IP di utilizzare SSH o RDP per accedere all’istanza.

Ad esempio, se utilizzi SSH per connetterti all'istanza da Internet, aggiungi una regola sulla porta 22. Assicurati che la regola consenta all'indirizzo IP di origine di accedere all'istanza. Per consentire a chiunque di connettersi, aggiungi una regola per consentire la porta 80 per l'indirizzo IP 0.0.0.0/0.

Controllare gli ACL di rete

Controlla gli ACL di rete per le seguenti impostazioni di configurazione:

Gli ACL di rete associati alla sottorete VPC devono consentire il traffico attraverso le porte richieste. Per ulteriori informazioni, consulta Controllo del traffico verso le sottoreti utilizzando gli ACL di rete e Aggiungere ed eliminare regole.
Consenti sia il traffico in entrata che in uscita. Gli ACL di rete sono senza stato. Le risposte al traffico in entrata consentito sono soggette alle regole per il traffico in uscita. Le risposte al traffico in uscita consentito sono soggette alle regole per il traffico in entrata.
Assicurati che le porte temporanee siano le uniche porte aperte agli ACL di rete in uscita. È consigliabile consentire solo le porte necessarie.

**Importante:**se non sei ancora sicuro di cosa stia bloccando il traffico dall'accesso alla tua istanza, attiva i log di flusso VPC. I log di flusso acquisiscono il traffico degli indirizzi IP che fluisce attraverso il VPC. Se riscontri traffico rifiutato nei log di flusso, controlla nuovamente i gruppi di sicurezza e le impostazioni ACL di rete.

Controllare le tabelle di routing

Per verificare se un gateway Internet è collegato al VPC, completa i seguenti passaggi:

Apri la console Amazon VPC.
Nel pannello di navigazione, nella sezione Virtual Private Cloud, scegli Gateway Internet.
Cerca il gateway Internet collegato al VPC. Puoi anche cercare il tuo ID VPC allegato, ad esempio vpc-xxxxxxxx.
Annota l'ID del gateway Internet, ad esempio igw-xxxxxxxx.

Se un gateway Internet è già collegato al VPC, completa i seguenti passaggi:

Controlla le tabelle di routing di VPC per trovare un percorso verso il tuo gateway Internet. Cerca una voce di percorso il cui Target è l'ID del gateway Internet collegato al tuo VPC e la cui Destinazione è 0.0.0.0/0.
Se il percorso non esiste, aggiungi una voce di percorso con il gateway Internet come Target e 0.0.0.0/0 come Destinazione.
Accertati che la tabella di routing della sottorete contenga anche una voce di routing verso il gateway Internet. Se questa voce non esiste, l'istanza si trova in una sottorete privata ed è inaccessibile da Internet.

**Nota:**verifica che le tabelle di routing a livello di sistema operativo consentano il traffico da Internet. A seconda della configurazione, usa il comando route -n per le istanze Linux o il comando netstat -rn per le istanze Linux o Windows.

Controlla gli indirizzi IP

Verifica che un indirizzo IP pubblico sia assegnato alla tua istanza VPC o che un indirizzo IP elastico sia collegato all'interfaccia di rete dell'istanza. Se non viene assegnato un indirizzo IP pubblico o un indirizzo IP elastico, assegnane uno.
**Nota:**per ulteriori informazioni, consulta Indirizzamento IP per i tuoi VPC e sottoreti e Lavorare con gli indirizzi IP elastici.
Assicurati che il software o i firewall a livello di sistema operativo sull'istanza consentano il traffico attraverso le porte richieste.

Informazioni correlate

Perché le mie istanze EC2 non possono accedere a Internet utilizzando un gateway NAT?

Riservatezza del traffico Internet in Amazon VPC

Argomenti

Networking e distribuzione di contenuti

Tag

Amazon VPC

Lingua

Italiano

Video correlati

Guarda il video di Zezo per saperne di più (4:55)

AWS UFFICIALEAggiornata 7 mesi fa

Contenuto pertinente

Come faccio a risolvere i problemi di connettività da Direct Connect alle risorse AWS?
AWS UFFICIALEAggiornata 10 mesi fa
Come faccio a risolvere i problemi di connettività SSH o RDP alle mie istanze EC2 avviate in una zona di wavelength?
AWS UFFICIALEAggiornata un anno fa
Come posso risolvere gli errori di timeout della connessione dell'istanza Amazon EC2 da Internet?
AWS UFFICIALEAggiornata 2 anni fa
Come posso risolvere i problemi relativi alle prestazioni di rete tra le istanze EC2 Linux o Windows in un VPC e un host on-premise tramite il gateway Internet?
AWS UFFICIALEAggiornata un anno fa