Como solucionar problemas de conectividade ao usar o gateway NAT em uma Amazon VPC privada?
Quero solucionar problemas de conectividade ao usar o gateway NAT em uma Amazon Virtual Private Cloud (Amazon VPC) privada.
Breve descrição
Os recursos de sub-rede privada podem passar por tempos limite de conectividade, quedas repentinas de conexão ou lentidão de conectividade pelos seguintes motivos:
- Regras de listas de controle de acesso à rede (ACLs da rede)
- Erro ErrorPortAllocation no gateway NAT
- Exaustão de portas da instância do cliente
- Erro IdleTimeoutCount para liberar capacidade
- Limitação de largura de banda por gateway NAT
Resolução
Solucione problemas de tempo limite de conectividade, quedas repentinas de conexão ou lentidão de conectividade com base nas seguintes causas:
Regras de ACL de rede
Certifique-se de que a ACL de rede que está associada à sub-rede pública do gateway NAT permita tráfego do intervalo de portas efêmeras (1024-65535). Se a ACL de rede permitir um subconjunto do intervalo de portas e as instâncias usarem uma porta de origem fora do intervalo, o tráfego será descartado. Para obter mais informações, consulte Exemplo: VPC com servidores em sub-redes privadas e NAT.
Erro ErrorPortAllocation no gateway NAT
Os gateways NAT suportam um máximo de 55.000 conexões simultâneas para cada destino. Se esse limite for ultrapassado, as novas conexões com o destino falharão e a métrica ErrorPortAllocation para o gateway NAT aumentará no Amazon CloudWatch. Para resolver esse problema, associe até oito endereços IPv4 aos seus gateways NAT para aumentar o limite. Você pode associar um endereço IPv4 primário e sete secundários.
Observação: os endereços IPv4 secundários aumentam o número de portas disponíveis. Isso significa que o número de conexões simultâneas que suas workloads podem usar para se conectar a um gateway NAT e estabelecer também aumenta.
Para obter mais informações, consulte Como resolvo o erro ErrorPortallocation no meu gateway NAT?
Exaustão de portas da instância do cliente
Verifique se as instâncias do cliente na sub-rede privada atingiram seus limites de conexão do sistema operacional (SO):
Veja o número de conexões ativas:
Linux:
netstat -ano | grep ESTABLISHED | wc --lnetstat -ano | grep TIME_WAIT | wc --l
Windows:
netstat -ano | find /i "estab" /cnetstat -ano | find /i "TIME_WAIT" /c
Se o comando anterior retornar um valor próximo ao intervalo de portas locais permitido (porta de origem para conexões de clientes), poderá haver exaustão de portas.
Para reduzir a exaustão de portas, conclua as seguintes tarefas:
- Resolva qualquer problema no nível do aplicativo que esgote as conexões disponíveis.
- Aumente o intervalo de portas (efêmeras) locais do sistema operacional:
net.ipv4.ip_local_port_range = 1025 61000
Observação: o número total do intervalo de portas pode ou não ajudar a solucionar o problema de alocação de portas devido ao encerramento silencioso de conexões.
Erro IdleTimeoutCount para liberar capacidade
Se uma conexão que usa um gateway NAT ficar ociosa por 350 segundos ou mais, a conexão expirará. Você também verá um aumento na métrica IdleTimeoutCount. Quando uma conexão expira, um gateway NAT retorna um pacote RST para qualquer recurso atrás do gateway NAT que tente continuar a conexão. O gateway NAT não envia um pacote FIN.
Para resolver ou contornar o erro IdleTimeoutCount, conclua as seguintes tarefas:
- Use a métrica IdleTimeOutCount no Amazon CloudWatch para monitorar aumentos nas conexões ociosas. Certifique-se de configurar o CloudWatch Contributor Insights para obter visibilidade sobre os principais colaboradores de clientes com processos em estado ocioso.
- Encerre as conexões ociosas dos clientes para liberar a capacidade.
- Inicie mais tráfego pela conexão.
- Ative o keepalive do TCP na instância com um valor inferior a 350 segundos.
Limitação de largura de banda do gateway NAT
Os gateways NAT suportam 5 Gbps de largura de banda e aumentam a escala verticalmente automaticamente até 100 Gbps. Se as métricas de throughput de rede em todas as instâncias no gateway NAT forem iguais ou superiores a 100 Gbps, o tráfego ficará mais lento. Para obter mais informações, consulte Métricas e dimensões do gateway NAT.
Para resolver ou contornar uma limitação de largura de banda do gateway NAT, divida os recursos entre várias sub-redes e crie vários gateways NAT.
Para obter mais informações, consulte How can I use Amazon CloudWatch metrics to identify NAT gateway bandwidth issues?
Informações relacionadas
How do I resolve intermittent connection issues when using a NAT instance?
Conteúdo relevante
- AWS OFICIALAtualizada há 6 meses
- AWS OFICIALAtualizada há 6 meses
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há 3 meses