NAT-Instances - Amazon Virtual Private Cloud
Grundlagen zu NAT-InstancesErstellen einer VPCEine Sicherheitsgruppe erstellenErstellen eines NAT-AMIStarten einer NAT-InstanceDeaktivieren der Quell-/ZielprüfungenAktualisieren der Routing-TabelleTesten Ihrer NAT-Instance

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

NAT-Instances

Eine NAT-Instance bietet Network Address Translation (NAT). Sie können eine NAT-Instance verwenden, um Ressourcen in einem privaten Subnetz die Kommunikation mit Zielen außerhalb der Virtual Private Cloud (VPC) wie dem Internet oder einem On-Premises-Netzwerk zu ermöglichen. Die Ressourcen im privaten Subnetz können ausgehenden IPv4-Datenverkehr ins Internet initiieren, aber sie können keinen eingehenden Datenverkehr empfangen, der über das Internet initiiert wurde.

Wichtig

NAT AMI basiert auf der letzten Version des Amazon Linux AMI, 2018.03, das am 31. Dezember 2020 das Ende des Standard-Supports und am 31. Dezember 2023 das Ende des Wartungssupports erreicht hat. Weitere Informationen finden Sie im folgenden Blogbeitrag: Amazon Linux AMI End of Life.

Wenn Sie ein vorhandenes NAT-AMI verwenden, empfiehlt AWS die Migration zu einem NAT-Gateway. Die NAT-Gateways bieten bessere Verfügbarkeit, höherer Bandbreite und weniger Verwaltungsaufwand. Weitere Informationen finden Sie unter Vergleich zwischen NAT-Gateways und NAT-Instances.

Wenn NAT-Instances besser zu Ihrem Anwendungsfall passen als NAT-Gateways, können Sie Ihr eigenes NAT-AMI aus einer aktuellen Version von Amazon Linux erstellen, wie unter beschriebenErstellen eines NAT-AMI.

Grundlagen zu NAT-Instances

Die folgende Abbildung stellt die Grundlagen einer NAT-Instance dar. Die Routing-Tabelle, die dem privaten Subnetz zugeordnet ist, sendet den Internetdatenverkehr von den Instances im privaten Subnetz zur NAT-Instance im öffentlichen Subnetz. Die NAT-Instance sendet anschließend den Datenverkehr zum Internet-Gateway. Der Datenverkehr ist der öffentliche IP-Adresse der NAT-Instance zugeordnet. Die NAT-Instance legt für Antworten eine hohe Portnummer fest. Wenn eine Antwort eingeht, sendet die NAT-instance diese abhängig von der Portnummer der Antwort an eine bestimmte Instance im privaten Subnetz.

Die NAT-Instance Internetzugang haben, d. h. sie muss sich in einem öffentlichen Subnetz (einem Subnetz, das eine Routing-Tabelle mit einer Route zum Internet-Gateway besitzt) befinden und über eine öffentliche oder Elastic-IP-Adresse verfügen.

NAT-Instance – Einrichtung

Um mit NAT-Instances zu beginnen, erstellen Sie ein NAT-AMI, erstellen Sie eine Sicherheitsgruppe für die NAT-Instance und starten Sie die NAT-Instance in Ihrer VPC.

Ihr NAT-Instance-Kontingent hängt von Ihrem Instance-Kontingent für die Region ab. Weitere Informationen finden Sie unter Amazon-EC2-Service-Quotas in der Allgemeine AWS-Referenz.

Erstellen einer VPC für die NAT-Instance

Gehen Sie wie folgt vor, um eine VPC mit einem öffentlichen Subnetz und einem privaten Subnetz zu erstellen.

So erstellen Sie die VPC

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie VPC erstellen aus.

  3. Wählen Sie unter Resources to create (Zu erstellende Ressourcen) die Option VPC and more (VPC und mehr) aus.

  4. Geben Sie unter Name tag auto-generation (Automatische Generierung des Namens-Tags) einen Namen für die VPC ein.

  5. Führen Sie zur Konfiguration der Subnetze folgende Schritte aus:

    1. Wählen Sie unter Number of Availability Zones (Anzahl der Availability Zones) je nach Bedarf 1 oder 2 aus.

    2. Stellen Sie unter Number of public subnets (Anzahl der öffentlichen Subnetze) sicher, dass ein öffentliches Subnetz pro Availability Zone vorhanden ist.

    3. Stellen Sie unter Number of private subnets (Anzahl der privaten Subnetze) sicher, dass ein privates Subnetz pro Availability Zone vorhanden ist.

  6. Wählen Sie VPC erstellen aus.

Erstellen einer Sicherheitsgruppe für Ihre NAT-Instance

Erstellen Sie eine Sicherheitsgruppe mit den in der folgenden Tabelle beschriebenen Regeln. Diese Regeln ermöglichen es Ihrer NAT-Instance, an das Internet gerichteten Datenverkehr von Instances im privaten Subnetz sowie SSH-Datenverkehr aus Ihrem Netzwerk zu empfangen. Die NAT-Instance kann auch Datenverkehr an das Internet senden, sodass Instances im privaten Subnetz Softwareaktualisierungen empfangen können.

Im Folgenden sind die empfohlenen Regeln aufgeführt.

Eingehend
Source Protocol (Protokoll) Port-Bereich Kommentare
CIDR für privates Subnetz TCP 80 Erlauben Sie eingehenden HTTP-Datenverkehr von Servern zum privaten Subnetz.
CIDR für privates Subnetz TCP 443 Erlauben Sie eingehenden HTTPS-Datenverkehr von Servern zum privaten Subnetz.
Öffentlicher IP-Adressbereich Ihres Netzwerks TCP 22 Lässt eingehenden SSH-Zugriff auf die NAT-Instance von Ihrem Netzwerk zu (über das Internet-Gateway)
Ausgehend
Ziel Protocol (Protokoll) Port-Bereich Kommentare
0.0.0.0/0 TCP 80 Lässt ausgehenden HTTP-Zugriff auf das Internet zu
0.0.0.0/0 TCP 443 Lässt ausgehenden HTTPS-Zugriff auf das Internet zu
So erstellen Sie die Sicherheitsgruppe

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.

  3. Wählen Sie Create security group (Sicherheitsgruppe erstellen) aus.

  4. Geben Sie einen Namen und eine Beschreibung für die Sicherheitsgruppe ein.

  5. Wählen Sie für VPC die ID der VPC für Ihre NAT-Instance aus.

  6. Fügen Sie unter Regeln für eingehenden Datenverkehr wie nachfolgend beschrieben die Regeln für eingehenden Datenverkehr hinzu:

    1. Wählen Sie Add rule. Wählen Sie HTTP als Typ und geben Sie den IP-Adressbereich Ihres privaten Subnetzes als Quelle ein.

    2. Wählen Sie Add rule. Wählen Sie HTTPS als Typ und geben Sie den IP-Adressbereich Ihres privaten Subnetzes als Quelle ein.

    3. Wählen Sie Add rule. Wählen Sie SSH als Typ und geben Sie den IP-Adressbereich Ihres Netzwerks als Quelle ein.

  7. Fügen Sie unter Regeln für ausgehenden Datenverkehr wie nachfolgend beschrieben die Regeln für ausgehenden Datenverkehr hinzu:

    1. Wählen Sie Add rule. Wählen Sie HTTP als Typ und geben Sie 0.0.0.0/0 als Ziel ein.

    2. Wählen Sie Add rule. Wählen Sie HTTPS als Typ und geben Sie 0.0.0.0/0 als Ziel ein.

  8. Wählen Sie Create security group (Sicherheitsgruppe erstellen) aus.

Weitere Informationen finden Sie unter Sicherheitsgruppen.

Erstellen eines NAT-AMI

Ein NAT-AMI ist so konfiguriert, dass NAT auf einer EC2-Instance ausgeführt wird. Sie müssen ein NAT-AMI erstellen und dann Ihre NAT-Instance mit Ihrem NAT-AMI starten.

Wenn Sie planen, ein anderes Betriebssystem als Amazon Linux für Ihr NAT-AMI zu verwenden, finden Sie in der Dokumentation zu diesem Betriebssystem Informationen zur Konfiguration von NAT. Stellen Sie sicher, dass Sie diese Einstellungen speichern, damit diese auch nach einem Instance-Neustart bestehen bleiben.

So erstellen Sie ein NAT-AMI für Amazon Linux

  1. Starten Sie eine EC2-Instance, auf der AL2023 oder Amazon Linux 2 ausgeführt wird. Geben Sie unbedingt die Sicherheitsgruppe an, die Sie für die NAT-Instance erstellt haben.

  2. Stellen Sie eine Verbindung mit Ihrer Instance her und führen Sie auf der Instance die folgenden Befehle aus, um iptables zu aktivieren.

    sudo yum install iptables-services -y
sudo systemctl enable iptables
sudo systemctl start iptables

  3. Gehen Sie auf der Instance wie folgt vor, um die IP-Weiterleitung so zu aktivieren, dass sie nach dem Neustart bestehen bleibt:

    1. Erstellen Sie mithilfe eines Texteditors, wie nano oder vim, die folgende Konfigurationsdatei: /etc/sysctl.d/custom-ip-forwarding.conf

    2. Fügen Sie die folgende Zeile in die Konfigurationsdatei ein.

      net.ipv4.ip_forward=1

    3. Speichern Sie die Konfigurationsdatei und schließen Sie den Text-Editor.

    4. Führen Sie den folgenden Befehl aus, um die Konfigurationsdatei anzuwenden.

      sudo sysctl -p /etc/sysctl.d/custom-ip-forwarding.conf

  4. Führen Sie den folgenden Befehl auf der Instance aus und notieren Sie sich den Namen der primären Netzwerkschnittstelle. Diese Informationen sind für den nächsten Schritt erforderlich.

    netstat -i

    In der folgenden Beispielausgabe ist docker0 eine von Docker erstellte Netzwerkschnittstelle, eth0 ist die primäre Netzwerkschnittstelle und lo ist die Loopback-Schnittstelle.

    Iface      MTU    RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
docker0   1500        0      0      0 0             0      0      0      0 BMU
eth0      9001  7276052      0      0 0       5364991      0      0      0 BMRU
lo       65536   538857      0      0 0        538857      0      0      0 LRU

    In der folgenden Beispielausgabe ist die primäre Netzwerkschnittstelle enX0.

    Iface      MTU    RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
enX0      9001     1076      0      0 0          1247      0      0      0 BMRU
lo       65536       24      0      0 0            24      0      0      0 LRU

    In der folgenden Beispielausgabe ist die primäre Netzwerkschnittstelle ens5.

    Iface      MTU    RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
ens5      9001    14036      0      0 0          2116      0      0      0 BMRU
lo       65536       12      0      0 0            12      0      0      0 LRU

  5. Führen Sie auf der Instance die folgenden Befehle aus, um NAT zu konfigurieren. Wenn es sich bei der primären Netzwerkschnittstelle nicht um eth0 handelt, ersetzen Sie eth0 durch die primäre Netzwerkschnittstelle, die Sie im vorherigen Schritt notiert haben.

    sudo /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo /sbin/iptables -F FORWARD
sudo service iptables save

  6. Erstellen Sie aus der EC2-Instance ein NAT-AMI. Weitere Informationen finden Sie unter Erstellen eines Linux-AMI aus einer Instance im Amazon-EC2-Benutzerhandbuch für Linux-Instances.

Starten einer NAT-Instance

Gehen Sie wie folgt vor, um eine NAT-Instance mithilfe der von Ihnen erstellten VPC, Sicherheitsgruppe und NAT-AMI zu starten.

So starten Sie eine NAT-Instance

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie auf dem Dashboard Launch Instance (Instance starten) aus.

  3. Geben Sie unter Name einen Namen für Ihre NAT-Instance ein.

  4. Wählen Sie für Anwendungs- und Betriebssystemabbilder Ihr NAT-AMI aus (wählen Sie Weitere AMIs durchsuchen, Meine AMIs).

  5. Wählen Sie für Instance-Typ einen Instance-Typ aus, der die Anforderungen Ihrer NAT-Instance an Rechenleistung, Arbeitsspeicher und Speicherplatz erfüllt.

  6. Wählen Sie unter Schlüsselpaar ein vorhandenes Schlüsselpaar aus oder Erstellen Sie ein neues Schlüsselpaar.

  7. Führen Sie unter Network settings (Netzwerkeinstellungen) die folgenden Schritte aus:

    1. Wählen Sie Bearbeiten aus.

    2. Wählen Sie für VPC die erstellte VPC aus.

    3. Wählen Sie für Subnetz das für von Ihnen erstellte öffentliche Subnetz aus.

    4. Wählen Sie unter Auto-assign public IP (Öffentlche IP automatisch zuweisen) die Option Enable (Aktivieren) aus. Alternativ können Sie nach dem Start der NAT-Instance eine Elastic IP-Adresse zuweisen und sie der NAT-Instance zuweisen.

    5. Wählen Sie unter Firewall die Option Vorhandene Sicherheitsgruppe auswählen aus und wählen Sie dann die Sicherheitsgruppe, die Sie erstellt haben, aus.

  8. Wählen Sie Launch Instance (Instance starten) aus. Wählen Sie die Instance-ID, um die Instance-Detailseite zu öffnen. Warten Sie, bis der Instance-Status in Wird ausgeführt wechselt und die Statusprüfungen erfolgreich sind.

  9. Deaktivieren Sie die Quell-/Zielprüfungen für die NAT-Instance (siehe Deaktivieren der Quell-/Zielprüfungen).

  10. Aktualisieren Sie die Routing-Tabelle, um Datenverkehr an die NAT-Instance zu senden (siehe Aktualisieren der Routing-Tabelle).

Deaktivieren der Quell-/Zielprüfungen

Auf EC2-Instances werden standardmäßig Quell-/Zielprüfungen ausgeführt. Das bedeutet, die Instance muss entweder Quelle oder Ziel des gesendeten bzw. empfangenen Datenverkehrs sein. Eine NAT-Instance muss jedoch in der Lage sein, Datenverkehr zu senden bzw. zu empfangen, dessen Quelle oder Ziel sie nicht selbst ist. Daher müssen Sie für NAT-Instances die Quell-/Zielprüfung deaktivieren.

So deaktivieren Sie die Quell-/Zielprüfungen

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich Instances aus.

  3. Wählen Sie die NAT-Instance aus.

  4. Wählen Sie AktionenNetzwerkQuell-/Zielprüfung ändern).

  5. Wählen Sie für die Quell-/Zielprüfung die Option Stopp aus.

  6. Wählen Sie Speichern.

  7. Wenn die NAT-Instance eine sekundäre Netzwerkschnittstelle hat, wählen Sie sie aus Network interfaces (Netzwerkschnittstellen) im Reiter Networking aus. Wählen Sie die Schnittstellen-ID aus, um zur Seite mit den Netzwerkschnittstellen zu gelangen. Wählen Sie Actions (Aktionen) und Change source/dest. check (Quell-/Ziel-Prüfung ändern) aus, löschen Sie Enable (Aktivieren) und wählen Sie Save (Speichern) aus.

Aktualisieren der Routing-Tabelle

Die Routing-Tabelle für das private Subnetz muss eine Route enthalten, die den Internetverkehr an die NAT-Instance leitet.

So aktualisieren Sie die Routing-Tabelle

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Route Tables (Routing-Tabellen) aus.

  3. Wählen Sie die Routing-Tabelle für das private Subnetz aus.

  4. Klicken Sie auf der Registerkarte Routen auf Routen bearbeiten und wählen Sie dann Route hinzufügen.

  5. Geben Sie 0.0.0.0/0 als Ziel und die Instance-ID der NAT-Instance als Ziel an.

  6. Wählen Sie Änderungen speichern aus.

Weitere Informationen finden Sie unter Konfigurieren von Routing-Tabellen.

Testen Ihrer NAT-Instance

Nachdem Sie eine NAT-Instance gestartet und wie oben beschrieben konfiguriert haben, können Sie testen, ob die Instance im privaten Subnetz über die NAT-Instance als Bastion Host auf das Internet zugreifen kann.

Schritt 1: Aktualisieren der Sicherheitsgruppe der NAT-Instance

Damit Instances in Ihrem privaten Subnetz Ping-Verkehr an die NAT-Instance senden können, fügen Sie eine Regel hinzu, die ein- und ausgehenden ICMP-Verkehr zulässt. Damit die NAT-Instance als Bastion-Server fungieren kann, fügen Sie eine Regel hinzu, die ausgehenden SSH-Datenverkehr zum privaten Subnetz zulässt.

So aktualisieren Sie die Sicherheitsgruppe Ihrer NAT Instance

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.

  3. Aktivieren Sie das Kontrollkästchen für die Sicherheitsgruppe, die mit Ihrer NAT-Instance verknüpft ist.

  4. Wählen Sie auf der Registerkarte Inbound rules (Regeln für eingehenden Datenverkehr) die Option Edt inbound rules (Regeln für eingehenden Datenverkehr bearbeiten) aus.

  5. Wählen Sie Add rule. Wählen Sie All ICMP - IPv4 (Alle ICMP - IPv4) für Type (Typ) aus. Wählen Sie für Quelle Benutzerdefiniert aus und geben Sie den IP-Adressbereich Ihres privaten Subnetzes ein. Wählen Sie Save rules (Regeln speichern) aus.

  6. Wählen Sie auf der Registerkarte Regeln für ausgehenden Datenverkehr die Option Regeln für ausgehenden Datenverkehr bearbeiten aus.

  7. Wählen Sie Add rule. Wählen Sie SSH für Type aus. Wählen Sie für Ziel Benutzerdefiniert aus und geben Sie den IP-Adressbereich Ihres privaten Subnetzes ein.

  8. Wählen Sie Add rule. Wählen Sie All ICMP - IPv4 (Alle ICMP - IPv4) für Type (Typ) aus. Wählen Sie Überall – IPv4 als Ziel. Wählen Sie Save rules (Regeln speichern) aus.

Schritt 2: Starten einer Test-Instance im privaten Subnetz

Starten Sie eine Instance in Ihrem privaten Subnetz. Sie müssen den SSH-Zugriff von der NAT-Instance aus zulassen und dasselbe Schlüsselpaar verwenden, das Sie für die NAT-Instance genutzt haben.

So starten Sie eine Test-Instance im privaten Subnetz

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie auf dem Dashboard Launch Instance (Instance starten) aus.

  3. Wählen Sie Ihr privates Subnetz aus.

  4. Weisen Sie dieser Instance keine öffentliche IP-Adresse zu.

  5. Stellen Sie sicher, dass die Sicherheitsgruppe für diese Instance eingehenden SSH-Zugriff von Ihrer NAT-Instance oder aus dem IP-Adressbereich Ihres öffentlichen Subnetzes sowie ausgehenden ICMP-Datenverkehr zulässt.

  6. Wählen Sie dasselbe Schlüsselpaar aus, das Sie für die NAT-Instance verwendet haben.

Schritt 3: Pingen einer ICMP-fähigen Website

Um zu überprüfen, ob die Test-Instance in Ihrem privaten Subnetz Ihre NAT-Instance für die Kommunikation mit dem Internet verwenden kann, führen Sie den ping-Befehl aus.

So testen Sie die Internetverbindung von Ihrer privaten Instance aus

  1. Konfigurieren Sie auf Ihrem lokalen Computer die SSH-Agent-Weiterleitung, sodass Sie die NAT-Instance als Bastion-Server nutzen können.

    Linux and macOS
    ssh-add key.pem
    Windows

    Downloaden und installieren Sie Pageant, sofern es noch nicht installiert ist.

    Konvertieren Sie den privaten Schlüssel mit PuTTYgen in das PPK-Format.

    Starten Sie Pageant, klicken Sie in der Taskleiste mit der rechten Maustaste auf das Pageant-Symbol (ist möglicherweise ausgeblendet) und wählen Sie Schlüssel hinzufügen. Wählen Sie die erstellte PPK-Datei aus, geben Sie gegebenenfalls das Passwort ein und wählen Sie Öffnen.

  2. Stellen Sie auf dem lokalen Computer eine Verbindung mit Ihrer NAT-Instance her.

    Linux and macOS
    ssh -A ec2-user@nat-instance-public-ip-address
    Windows

    Stellen Sie mit PuTTY eine Verbindung mit der NAT-Instance her. Unter Authentifizierung müssen Sie Agent-Weiterleitung zulassen auswählen und Private Schlüsseldatei für Authentifizierung leer lassen.

  3. Führen Sie auf der NAT-Instance den ping-Befehl aus. Geben Sie dabei eine Website an, die für ICMP aktiviert ist.

    [ec2-user@ip-10-0-4-184]$ ping ietf.org

    Um sich zu vergewissern, dass die NAT-Instance über Internetzugriff verfügt, überprüfen Sie, ob Sie eine Ausgabe wie die folgende erhalten haben. Drücken Sie anschließend Ctrl+C, um den ping-Befehl abzubrechen. Überprüfen Sie andernfalls, ob sich die NAT-Instance in einem öffentlichen Subnetz befindet (ihre Routing-Tabelle enthält eine Route zu einem Internet-Gateway).

    PING ietf.org (104.16.45.99) 56(84) bytes of data.
64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=1 ttl=33 time=7.88 ms
64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=2 ttl=33 time=8.09 ms
64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=3 ttl=33 time=7.97 ms
...

  4. Verbinden Sie sich von der NAT-Instance aus mit der Instance im privaten Subnetz unter Verwendung deren privater IP-Adresse.

    [ec2-user@ip-10-0-4-184]$ ssh ec2-user@private-server-private-ip-address

  5. Überprüfen Sie auf der privaten Instance, ob Sie eine Verbindung mit dem Internet herstellen können. Führen Sie dazu den Befehl ping aus.

    [ec2-user@ip-10-0-135-25]$ ping ietf.org

    Um sich zu vergewissern, dass Ihre private Instance über die NAT-Instance auf das Internet zugreifen kann, überprüfen Sie, ob Sie eine Ausgabe wie die folgende erhalten haben. Drücken Sie anschließend Ctrl+C, um den ping-Befehl abzubrechen.

    PING ietf.org (104.16.45.99) 56(84) bytes of data.
64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=1 ttl=33 time=8.76 ms
64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=2 ttl=33 time=8.26 ms
64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=3 ttl=33 time=8.27 ms
...
Fehlerbehebung

Wenn der Befehl ping auf dem Server im privaten Subnetz fehlschlägt, gehen Sie wie folgt vor, um das Problem zu beheben:

  • Stellen Sie sicher, dass Sie eine Website angepingt haben, auf der ICMP aktiviert ist. Andernfalls kann Ihr Server keine Antwortpakete empfangen. Führen Sie zum Testen denselben Befehl ping auf den Befehlszeilenterminal auf Ihrem lokalen Computer aus.

  • Stellen Sie sicher, dass die Sicherheitsgruppe für Ihre NAT-Instance eingehenden ICMP-Datenverkehr aus Ihrem privaten Subnetz zulässt. Ist das nicht der Fall, kann die NAT-Instance den Befehl ping von der privaten Instance nicht empfangen.

  • Stellen Sie sicher, dass Sie die Quell-/Zielprüfung für Ihre NAT-Instance deaktiviert haben. Weitere Informationen finden Sie unter Deaktivieren der Quell-/Zielprüfungen.

  • Stellen Sie sicher, dass Ihre Routing-Tabellen korrekt konfiguriert sind. Weitere Informationen finden Sie unter Aktualisieren der Routing-Tabelle.

Schritt 4: Bereinigen

Wenn Sie den Testserver im privaten Subnetz nicht mehr benötigen, beenden Sie die Instance, damit sie Ihnen nicht mehr in Rechnung gestellt wird. Weitere Informationen finden Sie unter Beenden Ihrer Instance im Amazon EC2-Benutzerhandbuch für Linux-Instances.

Wenn Sie die NAT-Instance nicht mehr benötigen, können Sie sie anhalten oder beenden, sodass sie Ihnen nicht mehr in Rechnung gestellt wird. Wenn Sie ein NAT-AMI erstellt haben, können Sie bei Bedarf jederzeit eine neue NAT-Instance erstellen.