如何对来自互联网的 Amazon EC2 实例连接超时错误进行故障排除？

简短描述

使用 Amazon VPC Reachability Analyzer 对从互联网连接到 Amazon EC2 实例时的 "Network error: Connection timed out"错误进行故障排除。您也可以手动确认您的网络配置。

**注意：**要对 "Permission Denied"和 "Connection Refused"错误进行故障排除，请参阅如何对使用 SSH 通过 SSH 连接到 EC2 实例时出现的 "Connection refused"或 "Connection timed out"错误进行故障排除？

解决方法

使用 Reachability Analyzer 分析来自互联网的入站流量。当您指定源资源时，从源类型中选择 Internet Gateway（互联网网关）。对于 Source（源），选择与您的 Amazon VPC 关联的互联网网关。当您指定目标资源时，从 Destination type（目标类型）中选择 Instances（实例），然后从 Destination（目标）中选择您的实例。如果无法访问路径，请手动对 Amazon EC2“Connection timed out”错误进行故障排除。

您还可以使用 Amazon Q 通过自然语言查询来对 Reachability Analyzer 的问题进行故障排除。有关详细信息，请参阅 AWS Blog 网站上的 Introducing Amazon Q support for network troubleshooting (preview)（Amazon Q 网络故障排除支持简介（预览版））。

**注意：**如果您从堡垒主机进行连接，则您的路由表不能有通往互联网网关的默认路由。有关详细信息，请参阅如何使用堡垒机安全地连接到私有子网中的 EC2 Linux 实例？

对网络配置进行故障排除

检查以下网络配置设置：

您的 Amazon VPC 中实例的安全设置

• 验证您的实例是否具有关联的公共 IP 地址或弹性 IP 地址。连接到实例时，请确保使用此 IP 地址。有关详细信息，请参阅如何修复重新连接到 Amazon EC2 实例或具有绑定弹性 IP 地址的弹性网络接口？
• 向您的安全组添加规则，这些安全组允许您在使用 SSH 时从 IP 地址访问您的实例。
• 验证实例是否通过系统和实例状态检查。

VPC 屏蔽公共访问权限

检查 VPC 屏蔽公共访问权限 (BPA) 是否处于活动状态。

如果 VPC BPA 处于活动状态，请检查您的互联网网关屏蔽方向是否为双向，以及您是否已为资源创建排除项。如果您没有为资源创建排除项，请创建它们。有关详细信息，请参阅 AWS Blog 网站上的 Enhancing VPC Security with Amazon VPC Block Public Access（使用 Amazon VPC 屏蔽公共访问权限增强 VPC 安全性）。

**注意：**如果您通过本地防火墙或中间盒设备将流量导向到资源，则必须排除子网。要排除子网，请选择资源路径中的所有子网。

AWS Network Firewall

**注意：**Reachability Analyzer 无法检测所有可以屏蔽流量的所有 AWS Network Firewall 规则。

如果您在实例和互联网网关之间使用 AWS Network Firewall，请验证防火墙在其状态和无状态规则中是否允许流量。有关详细信息，请参阅如何解决当规则未按预期运行时 Network Firewall 的问题？的“Network Firewall 规则配置不正确”部分

本地防火墙和路由表

检查与本地防火墙规则和本地路由表是否存在冲突。

相关信息

为什么我的 Amazon EC2 实例无法通过互联网网关访问互联网？

如何解决我的 Amazon EC2 Linux 实例的 SSH 连接问题？

如何解决使用 SSH 连接到 Amazon EC2 Linux 实例时出现的问题？

我如何解决从互联网连接到我的 VPC 内的 Amazon EC2 实例的连接问题？

规划 VPC