Come posso risolvere i problemi di connettività quando utilizzo il gateway NAT sul mio Amazon VPC privato?

4 minuti di lettura
0

Desidero risolvere i problemi di connettività quando utilizzo il gateway NAT sul mio Amazon Virtual Private Cloud (Amazon VPC) privato.

Breve descrizione

Le risorse di sottorete private potrebbero riscontrare problemi di timeout di connettività, interruzioni improvvise della connessione o rallentamenti della connettività per i seguenti motivi:

  • Regole delle liste di controllo degli accessi alla rete (ACL)
  • Errore ErrorPortAllocation sul gateway NAT
  • Esaurimento delle porte nell'istanza client
  • Errore IdleTimeoutCount per il rilascio della capacità
  • Limitazione della larghezza di banda per il gateway NAT

Risoluzione

Risolvi i timeout di connettività, le interruzioni improvvise della connessione o la lentezza della connettività in funzione delle seguenti cause:

Regole ACL di rete

Assicurati che l'ACL di rete associato alla sottorete pubblica del gateway NAT consenta il traffico proveniente dall'intervallo di porte temporaneo (1024-65535). Se l'ACL di rete consente un sottoinsieme dell'intervallo di porte e le istanze utilizzano una porta di origine al di fuori dell’intervallo, il traffico viene interrotto. Per ulteriori informazioni, consultaEsempio: VPC con server in sottoreti private e NAT.

Errore ErrorPortAllocation sul gateway NAT

I gateway NAT supportano fono a 55.000 connessioni simultanee verso ciascuna destinazione. Se si supera questa soglia, le nuove connessioni verso la destinazione non andranno a buon fine e ci sarà un aumento del valore del parametro ErrorPortAllocation per il gateway NAT in Amazon CloudWatch. Per risolvere questo problema, associa fino a otto indirizzi IPv4 ai gateway NAT allo scopo di aumentare il limite. È possibile associare un indirizzo IPv4 primario e sette secondari.

Nota: gli indirizzi IPv4 secondari aumentano il numero di porte disponibili. Ciò significa che aumenta anche il numero di connessioni simultanee da stabilire che i carichi di lavoro possono utilizzare per connettersi a un gateway NAT.

Per ulteriori informazioni, consulta Come faccio a risolvere l'errore ErrorPortAllocation sul mio gateway NAT?

Esaurimento delle porte nell'istanza client

Verifica se le istanze client nella sottorete privata hanno raggiunto i limiti di connessione del sistema operativo (OS):

Visualizza il numero di connessioni attive:

Linux:

netstat -ano | grep ESTABLISHED | wc --lnetstat -ano | grep TIME_WAIT | wc --l

Windows:

netstat -ano | find /i "estab" /cnetstat -ano | find /i "TIME_WAIT" /c

Se il comando precedente restituisce un valore prossimo all'intervallo di porte locali consentito (porta di origine per le connessioni client), è possibile che le porte si esauriscano.

Per ridurre l'esaurimento delle porte, completa le seguenti attività:

  • Risolvi eventuali problemi a livello di applicazione che esauriscono le connessioni disponibili.
  • Aumenta l'intervallo di porte locali (temporanee) del sistema operativo:
net.ipv4.ip_local_port_range = 1025 61000

Nota: il numero totale di porte nell'intervallo potrebbe o meno aiutare a risolvere il problema di allocazione delle porte, a causa di chiusure silenziose delle connessioni.

Errore IdleTimeoutCount per il rilascio della capacità

Se una connessione che utilizza un gateway NAT resta inattiva per 350 secondi o più, la connessione scade. Si vedrà anche un picco nel parametro IdleTimeoutCount. Quando si verifica il timeout di una connessione, il gateway NAT restituisce un pacchetto RST a tutte le risorse dietro tale gateway NAT che tentano di continuare la connessione. Il gateway NAT non invia un pacchetto FIN.

Per risolvere o aggirare l'errore IdleTimeoutCount, completa le seguenti attività:

  • Utilizza il parametro IdleTimeoutCount in Amazon CloudWatch per monitorare l'aumento delle connessioni inattive. Assicurati di configurare Contributor Insights di CloudWatch per ottenere visibilità sui principali collaboratori dei client con processi allo stato inattivo.
  • Chiudi le connessioni inattive dei client per liberare capacità.
  • Avvia più traffico sulla connessione.
  • Attiva TCP keepalive sull'istanza con un valore inferiore a 350 secondi.

Limitazione della larghezza di banda da parte del gateway NAT

I gateway NAT supportano 5 Gbps di larghezza di banda e aumentano automaticamente fino a 100 Gbps. Se i parametri di velocità di trasmissione effettiva della rete in tutte le istanze del gateway NAT sono uguali o superiori a 100 Gbps, il traffico rallenta. Per ulteriori informazioni, consulta Parametri e dimensioni del gateway NAT.

Per risolvere o aggirare una limitazione della larghezza di banda del gateway NAT, suddividi le risorse tra più sottoreti e crea più gateway NAT.

Per ulteriori informazioni, consulta In che modo posso utilizzare i parametri di Amazon CloudWatch per identificare i problemi di larghezza di banda del gateway NAT?

Informazioni correlate

In che modo posso risolvere problemi di connessione intermittente quando uso un'istanza NAT?

Risoluzione dei problemi relativi ai gateway NAT

AWS UFFICIALE
AWS UFFICIALEAggiornata 5 mesi fa