Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Risoluzione dei problemi relativi ai gateway NAT
I seguenti argomenti consentono di risolvere alcuni problemi comuni che si possono verificare durante la creazione o l'utilizzo di un gateway NAT.
Problemi
- Creazione gateway NAT non riuscita
- Quota gateway NAT
- Quota degli indirizzi IP elastici
- La zona di disponibilità non è supportata
- Il gateway NAT non è più visibile
- Il gateway NAT non risponde a un comando ping
- Le istanze non possono accedere a Internet
- La connessione TCP a una destinazione non va a buon fine
- L'output di tracciamento non visualizza l'indirizzo IP privato del gateway NAT
- Connessione Internet interrotta dopo 350 secondi
- Impossibile stabilire connessione IPsec
- Impossibile avviare più connessioni
Creazione gateway NAT non riuscita
Problema
Si crea un gateway NAT che passa allo stato Failed
.
Nota
Un gateway NAT non riuscito viene eliminato automaticamente, solitamente in circa un'ora.
Causa
Si è verificato un errore al momento della creazione del gateway NAT. Il messaggio di stato restituito fornisce il motivo dell'errore.
Soluzione
Per visualizzare il messaggio di errore, passa alla console Amazon VPC e seleziona Gateway NAT. Seleziona il pulsante di opzione per il gateway NAT, quindi cerca Messaggio di stato nella scheda Dettagli .
Nella seguente tabella vengono elencate le possibili cause di errore come indicato nella console Amazon VPC. Dopo aver applicato le procedure indicate per correggere il problema, puoi provare a creare nuovamente un gateway NAT.
Errore visualizzato | Causa | Soluzione |
---|---|---|
La sottorete non dispone di indirizzi liberi sufficienti per creare questo gateway NAT | La sottorete specificata non dispone di indirizzi IP privati liberi. Il gateway NAT richiede un'interfaccia di rete con un indirizzo IP privato allocato dall'intervallo della sottorete. | Verificare quanti indirizzi IP sono disponibili nella sottorete andado alla pagina Subnets (Sottoreti) nella console Amazon VPC. Si possono visualizzare gli Available IPs (IP disponibili nel riquadro dei dettagli della sottorete. Per creare indirizzi IP liberi nella sottorete, puoi eliminare interfacce di rete non utilizzate o terminare istanze non richieste. |
Rete vpc-xxxxxxxx senza Internet Gateway collegato | Un gateway NAT deve Essere creato in un VPC con un Internet Gateway. | Creare E collegare un Internet Gateway al VPC. Per ulteriori informazioni, consulta Aggiungere l'accesso a Internet a una sottorete. |
L'indirizzo IP elastico eipalloc-xxxxxxxx è già associato | L'indirizzo IP elastico specificato è già associato a un'altra risorsa e non può essere associato al gateway NAT. | Controlla quale risorsa è associata all'indirizzo IP elastico. Vai alla pagina Elastic IPs (IP elastici) nella console Amazon VPC e visualizza i valori specificati per l'ID istanza o l'ID interfaccia di rete. Se l'indirizzo IP elastico per tale risorsa non è richiesto, puoi annullare l'associazione. In alternativa, alloca un nuovo indirizzo IP elastico nell'account. Per ulteriori informazioni, consulta Inizia a utilizzare indirizzi IP elastici. |
Quota gateway NAT
Quando provi a creare un gateway NAT, ricevi il seguente errore.
Performing this operation would exceed the limit of 5 NAT gateways
Causa
Hai raggiunto la quota di gateway NAT per l'account in quella zona di disponibilità.
Soluzione
Se hai raggiunto questa quota di gateway NAT per il tuo account, puoi effettuare una delle seguenti operazioni:
-
Richiedere un aumento dei gateway NAT per quota di zona di disponibilità
utilizzando la console Service Quotas. -
Verifica lo stato del gateway NAT. Lo stato
Pending
,Available
oDeleting
conta ai fini del raggiungimento della quota. Se recentemente hai eliminato un gateway NAT, attendi alcuni minuti finché lo stato passa daDeleting
aDeleted
. Prova quindi a creare un nuovo gateway NAT. -
Se il gateway NAT non è necessario in una zona di disponibilità specifica, prova a creare un gateway NAT in una zona di disponibilità in cui la quota non è stata raggiunta.
Per ulteriori informazioni, consulta VPCQuote Amazon.
Quota degli indirizzi IP elastici
Problema
Quando si prova ad allocare un indirizzo IP elastico per il gateway NAT pubblico, viene visualizzato il seguente errore.
The maximum number of addresses has been reached.
Causa
Hai raggiunto la quota di indirizzi IP elastici per l'account in quella regione.
Soluzione
Se è stata raggiunta la quota di indirizzi IP elastici, puoi disassociare un indirizzo IP elastico da un'altra risorsa. In alternativa, è possibile richiedere un aumento della quota degli IP elastici
La zona di disponibilità non è supportata
Problema
Quando provi a creare un gateway NAT, ricevi il seguente error: NotAvailableInZone
.
Causa
Può darsi che tu stia provando a creare il gateway NAT in una zona di disponibilità vincolata, ovvero una zona in cui la capacità di espansione è vincolata.
Soluzione
Non siamo in grado di supportare gateway NAT in queste zone di disponibilità.. Puoi creare un gateway NAT in un'altra zona di disponibilità e utilizzarla per sottoreti private nella zona vincolata. Puoi anche spostare le risorse in una zona di disponibilità non vincolata in modo che le risorse e il gateway NAT si trovino nella stessa zona di disponibilità.
Il gateway NAT non è più visibile
Problema
Hai creato un gateway NAT, ma non è più visibile nella console Amazon VPC.
Causa
Potrebbe essersi verificato un errore durante la creazione del gateway NAT e la creazione non è riuscita. Un gateway NAT con lo stato di Failed
è visibile nella console Amazon VPC per un breve periodo di tempo (in genere un'ora). Dopo un'ora, viene eliminato automaticamente.
Soluzione
Verifica le informazioni in Creazione gateway NAT non riuscita e prova a creare un nuovo gateway NAT.
Il gateway NAT non risponde a un comando ping
Problema
Quando cerchi di eseguire il ping dell'indirizzo IP elastico o indirizzo IP privato di un gateway NAT da Internet (ad esempio, dal computer di casa) o da qualsiasi istanza nel VPC, non ricevi una risposta.
Causa
Un gateway NAT passa solo traffico da un'istanza in una sottorete privata a Internet.
Soluzione
Per verificare se il gateway NAT funziona, consulta Prova il gateway pubblico NAT.
Le istanze non possono accedere a Internet
Problema
Hai creato un gateway NAT e hai seguito i passaggi per testarlo, ma il comando ping
non funziona o le istanze nella sottorete privata non riescono ad accedere a Internet.
Cause
La causa del problema può essere una delle seguenti:
-
Il gateway NAT non è pronto a distribuire il traffico.
-
Le tabelle di routing non sono configurate correttamente.
-
I gruppi di sicurezza o le liste di controllo degli accessi di rete bloccano il traffico in entrata o in uscita.
-
Utilizzi un protocollo non supportato.
Soluzione
Verifica le seguenti informazioni:
-
Controlla che lo stato del gateway NAT sia
Available
. Nella console Amazon VPC, vai alla pagina NAT Gateways (Gateway NAT) e visualizza le informazioni sullo stato nel riquadro dei dettagli. Se il gateway NAT si trova nello stato di errore, è possibile che al momento della creazione si sia verificato un errore. Per ulteriori informazioni, consulta Creazione gateway NAT non riuscita. -
Controlla che le tabelle di routing siano state correttamente configurate:
-
Il gateway NAT deve trovarsi in una sottorete pubblica con una tabella di instradamento che instrada il traffico Internet a un Internet Gateway.
-
L'istanza deve trovarsi in una sottorete privata con una tabella di instradamento che instrada il traffico Internet al gateway NAT.
-
Controlla che non siano presenti voci della tabella di instradamento che instradano tutto o parte del traffico Internet a un altro dispositivo anziché al gateway NAT.
-
-
Assicurati che le regole del gruppo di sicurezza per l'istanza privata consentano traffico Internet in uscita. Per poter utilizzare il comando
ping
, le regole devono anche consentire traffico ICMP in uscita.Il gateway NAT consente tutto il traffico in uscita e il traffico ricevuto in risposta a una richiesta in uscita (è pertanto stateful).
-
Assicurati che le liste di controllo accessi di rete siano associate alla sottorete privata e che sottoreti pubbliche non dispongano di regole che bloccano il traffico Internet in entrata e in uscita. Per poter utilizzare il comando
ping
, le regole devono anche consentire traffico ICMP in entrata e in uscita.Puoi abilitare log di flusso per semplificare la diagnosi di connessioni interrotte a causa di regole della lista di controllo accessi di rete o del gruppo di sicurezza. Per ulteriori informazioni, consulta Registrazione del traffico IP utilizzando log di VPC flusso.
-
Se utilizzi il comando
ping
, assicurati di eseguire il ping di host in cui ICMP è abilitato. Se ICMP non è abilitato, non riceverai pacchetti di risposta. Per completare il test, esegui lo stesso comandoping
dal terminale a riga di comando sul computer. -
Controlla che l'istanza sia in grado di eseguire il ping di altre risorse, ad esempio, altre istanze nella sottorete privata (ipotizzando che sia consentito dalle regole del gruppo di sicurezza).
-
Verifica che la connessione utilizzi solo un protocollo TCP, UDP o ICMP.
La connessione TCP a una destinazione non va a buon fine
Problema
Alcune delle connessioni TCP dalle istanze in una sottorete privata a una destinazione specifica tramite un gateway NAT vanno a buon fine, mentre altre sono inefficaci o scadute.
Cause
La causa del problema può essere una delle seguenti:
-
L'endpoint di destinazione risponde con pacchetti TCP frammentati. I gateway NAT non supportano la frammentazione IP per TCP o ICMP. Per ulteriori informazioni, consulta Confronto delle istanze NAT e i gateway NAT.
-
L'opzione
tcp_tw_recycle
è abilitata su un server remoto, noto per causare problemi quando ci sono più connessioni provenienti da un dispositivo NAT.
Soluzioni
Verifica se l'endpoint a cui provi a connetteri risponde con pacchetti TCP frammentati, nel seguente modo:
-
Utilizza un'istanza in una sottorete pubblica con un indirizzo IP pubblico per attivare una risposta sufficientemente grande da causare la frammentazione dall'endpoint specifico.
-
Utilizza l'utilità
tcpdump
per verificare che l'endpoint sta inviando pacchetti frammentati.Importante
Per eseguire queste verifiche, devi utilizzare un'istanza in una sottorete pubblica. Non puoi utilizzare l'istanza da cui la connessione originale non riesce o un'istanza in una sottorete privata dietro un gateway NAT o un'istanza NAT.
Strumenti di diagnostica che inviano o ricevono pacchetti ICMP di grandi dimensioni segnaleranno perdita di pacchetti. Ad esempio, il comando
ping -s 10000 example.com
non funziona dietro un gateway NAT. -
Se l'endpoint invia pacchetti TCP frammentati, puoi utilizzare un'istanza NAT anziché un gateway NAT.
Se disponi dell'accesso al server remoto, puoi verificare se l'opzione tcp_tw_recycle
è abilitata procedendo nel seguente modo:
-
Dal server, esegui questo comando:
cat /proc/sys/net/ipv4/tcp_tw_recycle
Se l'output è
1
, l'opzionetcp_tw_recycle
è abilitata. -
Se
tcp_tw_recycle
è abilitata, ti consigliamo di disabilitarla. Se devi riutilizzare le connessioni,tcp_tw_reuse
è un'opzione più sicura.
Se non disponi dell'accesso al server remoto, puoi eseguire il test disabilitando temporaneamente l'opzione tcp_timestamps
su un'istanza nella sottorete privata. Quindi, effettua nuovamente la connessione al server remoto. Se la connessione va a buon fine, la causa del guasto precedente è probabilmente dovuta al fatto che tcp_tw_recycle
è abilitata sul server remoto. Se possibile, contatta il proprietario del server remoto per verificare se l'opzione è abiitata e chiedine la disabilitazione.
L'output di tracciamento non visualizza l'indirizzo IP privato del gateway NAT
Problema
L'istanza può accedere a Internet, ma quando esegui il comando traceroute
, l'output non visualizza l'indirizzo IP privato del gateway NAT.
Causa
L'istanza accede a Internet utilizzando un gateway diverso, ad esempio un Internet Gateway.
Soluzione
Nella tabella di instradamento della sottorete in cui si trova l'istanza, controlla le seguenti informazioni:
-
Assicurati che Esista una route che invia traffico Internet al gateway NAT.
-
Assicurati che non esista una route più specifica che invia traffico Internet ad altri dispositivi, ad esempio un gateway virtuale privato o un Internet Gateway.
Connessione Internet interrotta dopo 350 secondi
Problema
Le istanze possono accedere a Internet ma la connessione si interrompe dopo 350 secondi.
Causa
Se una connessione che utilizza un gateway NAT rimane inattiva per almeno 350 secondi, la connessione scade.
Quando si ha il timeout di una connessione, un gateway NAT restituisce un pacchetto RST a tutte le risorse dietro il gateway NAT che tentano di continuare la connessione (non invia un pacchetto FIN).
Soluzione
Per impedire l'interruzione della connessione, puoi avviare più traffico sulla connessione. In alternativa, puoi permettere a TCP di rimanere attivo sull'istanza con un valore inferiore ai 350 secondi.
Impossibile stabilire connessione IPsec
Problema
Non è possibile stabilire una connessione IPsec a una destinazione.
Causa
I gateway NAT al momento non supportano il protocollo IPsec.
Soluzione
Puoi utilizzare NAT-Trasversal (NAT-T) per incapsulare il traffico IPsec in UDP, un protocollo supportato per i gateway NAT. Assicurati di eseguire il test di NAT-T e della configurazione IPsec per verificare che il traffico IPsec non venga interrotto.
Impossibile avviare più connessioni
Problema
Disponi già di connessioni a una destinazione tramite un gateway NAT, ma non puoi stabilire più connessioni.
Causa
È possibile che sia stato raggiunto il limite di connessioni simultanee per un singolo gateway NAT.. Per ulteriori informazioni, consulta NATnozioni di base sul gateway. Se le istanze nella sottorete privata creano un numero elevato di connessioni, è possibile raggiungere questo limite.
Soluzione
Esegui una di queste operazioni:
-
Crea un gateway NAT per zona di disponibilità e distribuisci i client su queste zone.
-
Crea gateway NAT aggiuntivi nella sottorete pubblica e dividi i client in più sottoreti private, ciascuna con una route a un gateway NAT diverso.
-
Limita il numero di connessioni alla destinazione che i client possono creare.
-
Utilizza la IdleTimeoutCountmetrica in per monitorare l'aumento delle connessioni CloudWatch inattive. Per rilasciare la capacità, chiudi le connessioni inattive.
-
Crea un gateway NAT con più indirizzi IP o aggiungi indirizzi IP secondari a un gateway NAT esistente. Ogni nuovo indirizzo IPv4 può supportare fino a 55.000 connessioni simultanee. Per ulteriori informazioni, consulta Crea un gateway NAT o Come modificare le associazioni di indirizzi IP secondari.