Como solucionar problemas de conectividade ao usar o gateway NAT em uma Amazon VPC privada?

4 minuto de leitura
0

Quero solucionar problemas de conectividade ao usar o gateway NAT em uma Amazon Virtual Private Cloud (Amazon VPC) privada.

Breve descrição

Os recursos de sub-rede privada podem passar por tempos limite de conectividade, quedas repentinas de conexão ou lentidão de conectividade pelos seguintes motivos:

  • Regras de listas de controle de acesso à rede (ACLs da rede)
  • Erro ErrorPortAllocation no gateway NAT
  • Exaustão de portas da instância do cliente
  • Erro IdleTimeoutCount para liberar capacidade
  • Limitação de largura de banda por gateway NAT

Resolução

Solucione problemas de tempo limite de conectividade, quedas repentinas de conexão ou lentidão de conectividade com base nas seguintes causas:

Regras de ACL de rede

Certifique-se de que a ACL de rede que está associada à sub-rede pública do gateway NAT permita tráfego do intervalo de portas efêmeras (1024-65535). Se a ACL de rede permitir um subconjunto do intervalo de portas e as instâncias usarem uma porta de origem fora do intervalo, o tráfego será descartado. Para obter mais informações, consulte Exemplo: VPC com servidores em sub-redes privadas e NAT.

Erro ErrorPortAllocation no gateway NAT

Os gateways NAT suportam um máximo de 55.000 conexões simultâneas para cada destino. Se esse limite for ultrapassado, as novas conexões com o destino falharão e a métrica ErrorPortAllocation para o gateway NAT aumentará no Amazon CloudWatch. Para resolver esse problema, associe até oito endereços IPv4 aos seus gateways NAT para aumentar o limite. Você pode associar um endereço IPv4 primário e sete secundários.

Observação: os endereços IPv4 secundários aumentam o número de portas disponíveis. Isso significa que o número de conexões simultâneas que suas workloads podem usar para se conectar a um gateway NAT e estabelecer também aumenta.

Para obter mais informações, consulte Como resolvo o erro ErrorPortallocation no meu gateway NAT?

Exaustão de portas da instância do cliente

Verifique se as instâncias do cliente na sub-rede privada atingiram seus limites de conexão do sistema operacional (SO):

Veja o número de conexões ativas:

Linux:

netstat -ano | grep ESTABLISHED | wc --lnetstat -ano | grep TIME_WAIT | wc --l

Windows:

netstat -ano | find /i "estab" /cnetstat -ano | find /i "TIME_WAIT" /c

Se o comando anterior retornar um valor próximo ao intervalo de portas locais permitido (porta de origem para conexões de clientes), poderá haver exaustão de portas.

Para reduzir a exaustão de portas, conclua as seguintes tarefas:

  • Resolva qualquer problema no nível do aplicativo que esgote as conexões disponíveis.
  • Aumente o intervalo de portas (efêmeras) locais do sistema operacional:
net.ipv4.ip_local_port_range = 1025 61000

Observação: o número total do intervalo de portas pode ou não ajudar a solucionar o problema de alocação de portas devido ao encerramento silencioso de conexões.

Erro IdleTimeoutCount para liberar capacidade

Se uma conexão que usa um gateway NAT ficar ociosa por 350 segundos ou mais, a conexão expirará. Você também verá um aumento na métrica IdleTimeoutCount. Quando uma conexão expira, um gateway NAT retorna um pacote RST para qualquer recurso atrás do gateway NAT que tente continuar a conexão. O gateway NAT não envia um pacote FIN.

Para resolver ou contornar o erro IdleTimeoutCount, conclua as seguintes tarefas:

  • Use a métrica IdleTimeOutCount no Amazon CloudWatch para monitorar aumentos nas conexões ociosas. Certifique-se de configurar o CloudWatch Contributor Insights para obter visibilidade sobre os principais colaboradores de clientes com processos em estado ocioso.
  • Encerre as conexões ociosas dos clientes para liberar a capacidade.
  • Inicie mais tráfego pela conexão.
  • Ative o keepalive do TCP na instância com um valor inferior a 350 segundos.

Limitação de largura de banda do gateway NAT

Os gateways NAT suportam 5 Gbps de largura de banda e aumentam a escala verticalmente automaticamente até 100 Gbps. Se as métricas de throughput de rede em todas as instâncias no gateway NAT forem iguais ou superiores a 100 Gbps, o tráfego ficará mais lento. Para obter mais informações, consulte Métricas e dimensões do gateway NAT.

Para resolver ou contornar uma limitação de largura de banda do gateway NAT, divida os recursos entre várias sub-redes e crie vários gateways NAT.

Para obter mais informações, consulte How can I use Amazon CloudWatch metrics to identify NAT gateway bandwidth issues?

Informações relacionadas

How do I resolve intermittent connection issues when using a NAT instance?

Solucionar problemas de gateways NAT

AWS OFICIAL
AWS OFICIALAtualizada há 6 meses