Problembehandlung bei NAT-Gateways - Amazon Virtual Private Cloud
Fehler bei der NAT-Gateway-ErstellungNAT-Gateway-KontingentKontingent für Elastic-IP-AdressenDie Availability Zone wird nicht unterstützt.Das NAT-Gateway wird nicht mehr angezeigtDas NAT-Gateway reagiert nicht auf einen Ping-Befehl.Instances haben keinen Zugriff auf das Internet.Die TCP-Verbindung mit einem Ziel schlägt fehl.Traceroute-Ausgabe zeigt die private IP-Adresse des NAT-Gateways nicht an.Die Internetverbindung wird nach 350 Sekunden getrennt.IPsec-Verbindung kann nicht hergestellt werden.Es können keine weiteren Verbindungen hergestellt werden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Problembehandlung bei NAT-Gateways

Die folgenden Themen helfen Ihnen bei der Lösung häufiger Probleme, die beim Erstellen oder Verwenden von NAT-Gateways auftreten können.

Fehler bei der NAT-Gateway-Erstellung

Problem

Sie erstellen ein NAT-Gateway und der Status wird angezeig Failed.

Anmerkung

Ein ausgefallenes NAT-Gateway wird automatisch gelöscht, normalerweise in etwa einer Stunde.

Ursache

Beim Erstellen des NAT-Gateway ist ein Fehler aufgetreten. Die zurückgegebene Statusmeldung enthält den Grund für den Fehler.

Lösung

Zum Anzeigen der Fehlermeldung öffnen Sie die Amazon VPC-Konsole und wählen NAT Gateways (NAT-Gateways) aus. Wählen Sie das Optionsfeld für Ihr NAT-Gateway aus und suchen Sie dann auf der Registerkarte Details nach der Statusmeldung.

Die folgende Tabelle enthält die möglichen Ursachen für diesen Fehler, wie sie in der Amazon VPC-Konsole angezeigt werden. Nachdem Sie die angegebenen Korrekturmaßnahmen durchgegangen sind, können Sie versuchen, das NAT-Gateway erneut zu erstellen.

Angezeigter Fehler Ursache Lösung
Subnetz hat unzureichende freie Adressen zum Erstellen dieses NAT-Gateways. Das angegebene Subnetz verfügt nicht über freie private IP-Adressen. Für das NAT-Gateway ist eine Netzwerkschnittstelle mit einer privaten IP-Adresse aus dem IP-Adressbereich des Subnetzes erforderlich. Prüfen Sie auf der Seite Subnets (Subnetze) der Amazon VPC-Konsole, wie viele IP-Adressen in Ihrem Subnetz verfügbar sind. Sie können die verfügbaren IP-Adressen im Feld Available IPs (Verfügbare IPs) im Detailbereich für Ihr Subnetz anzeigen. Um freie IP-Adressen in Ihrem Subnetz zu generieren, können Sie nicht verwendete Netzwerkschnittstellen löschen oder nicht mehr benötigte Instances beenden.
Dem Netzwerk vpc-xxxxxxxx ist kein Internet-Gateway zugeordnet. Ein NAT-Gateway muss in einer VPC mit einem Internet-Gateway erstellt werden. Erstellen Sie ein Internet-Gateway und ordnen Sie es Ihrer VPC zu. Weitere Informationen finden Sie unter Fügen Sie einem Subnetz einen Internetzugang hinzu.
Die Elastic-IP-Adresse eipalloc-xxxxxxxx ist bereits zugeordnet. Die angegebene Elastic-IP-Adresse ist bereits einer anderen Ressource zugeordnet und kann diesem NAT-Gateway nicht zugeordnet werden. Stellen Sie fest, welche Ressource der Elastic-IP-Adresse zugeordnet ist. Wechseln Sie zur Seite Elastic IPs der Amazon VPC-Konsole und zeigen Sie die für die Instance-ID oder die Netzwerkschnittstellen-ID angegebenen Werte an. Wenn Sie die Elastic-IP-Adresse für diese Ressource nicht benötigen, heben Sie die Zuordnung auf. Oder weisen Sie Ihrem Konto eine neue Elastic-IP-Adresse zu. Weitere Informationen finden Sie unter Beginnen Sie mit der Verwendung von Elastic IP-Adressen.

NAT-Gateway-Kontingent

Wenn Sie versuchen, ein NAT-Gateway zu erstellen, wird die folgende Fehlermeldung angezeigt.

Performing this operation would exceed the limit of 5 NAT gateways
Ursache

Sie haben das Kontingent für die Anzahl von NAT-Gateways für diese Availability Zone erreicht.

Lösung

Wenn Sie das Gateway-Kontingent für NAT-Gateways erreicht haben, haben Sie folgende Möglichkeiten:

  • Fordern Sie eine Erhöhung des NAT-Gateways pro Availability Zone-Kontingents mithilfe der Service-Quotas-Konsole an.

  • Überprüfen Sie den Status des NAT-Gateways. Ein Status von Pending, Available oder Deleting wird auf Ihr Kontingent angerechnet. Wenn Sie kürzlich ein NAT-Gateway gelöscht haben, warten Sie einige Minuten, bis der Status von Deleting zu Deleted wechselt. Versuchen Sie dann erneut, ein NAT-Gateway zu erstellen.

  • Wenn Sie Ihr NAT-Gateway in einer bestimmten Availability Zone nicht benötigen, versuchen Sie, ein NAT-Gateway in einer anderen Availability Zone zu erstellen, in der das Kontingent noch nicht erreicht wurde.

Weitere Informationen finden Sie unter VPCAmazon-Kontingente.

Kontingent für Elastic-IP-Adressen

Problem

Wenn Sie versuchen, eine Elastic-IP-Adresse für Ihr öffentliches NAT-Gateway zuzuordnen, wird der folgende Fehler angezeigt.

The maximum number of addresses has been reached.
Ursache

Sie haben das Kontingent für die Anzahl von Elastic-IP-Adressen für Ihr Konto für diese Region erreicht.

Lösung

Wenn Sie das Kontingent für Elastic-IP-Adressen erreicht haben, können Sie die Zuordnung einer Elastic-IP-Adresse von einer anderen Ressource aufheben. Alternativ können Sie mit der Service–Quotas-Konsole eine Erhöhung des Elastic IPs-Kontingents beantragen.

Die Availability Zone wird nicht unterstützt.

Problem

Wenn Sie versuchen, ein NAT-Gateway zu erstellen, wird die folgende Fehlermeldung angezeig: NotAvailableInZone.

Ursache

Möglicherweise versuchen Sie, ein NAT-Gateway in einer beschränkten Availability Zone zu erstellen, d. h. einer Zone, in der Sie nicht beliebig Erweiterungen vornehmen dürfen.

Lösung

NAT-Gateways werden in diesen Availability Zones nicht unterstützt. Erstellen Sie ein NAT-Gateway in einer anderen Availability Zone und verwenden Sie es für private Subnetze in der beschränkten Zone. Sie können Ihre Ressourcen auch in eine Availability Zone ohne Beschränkungen verschieben, um Ressourcen und NAT-Gateway in derselben Availability Zone zu betreiben.

Das NAT-Gateway wird nicht mehr angezeigt

Problem

Sie haben ein NAT-Gateway erstellt, das in der Amazon VPC-Konsole nicht mehr angezeigt wird.

Ursache

Möglicherweise ist bei der Erstellung Ihres NAT-Gateways ein Fehler aufgetreten und die Erstellung ist fehlgeschlagen. Ein NAT-Gateway mit dem Status Failed wird über einen kurzen Zeitraum (etwa eine Stunde) in der Amazon VPC-Konsole angezeigt. Anschließend wird es automatisch gelöscht.

Lösung

Lesen Sie die Informationen unter Fehler bei der NAT-Gateway-Erstellung und versuchen Sie erneut, ein neues NAT-Gateway zu erstellen.

Das NAT-Gateway reagiert nicht auf einen Ping-Befehl.

Problem

Wenn Sie versuchen, vom Internet (z. B. von Ihrem lokalen Computer) oder einer Instance in Ihrer VPC aus einen Ping an die Elastic-IP-Adresse oder private IP-Adresse des NAT-Gateways zu senden, erhalten Sie keine Antwort.

Ursache

NAT-Gateways leiten nur Datenverkehr von einer Instance in einem privaten Subnetz an das Internet weiter.

Lösung

Wie Sie die Funktionsweise eines NAT-Gateways testen, ist unter erläuter Testen Sie das öffentliche Gateway NAT.

Instances haben keinen Zugriff auf das Internet.

Problem

Sie haben ein öffentliches NAT-Gateway erstellt und die Schritte zum Testen des Gateways ausgeführt, der Befehl ping schlägt jedoch fehl oder Ihre Instances im privaten Subnetz können nicht auf das Internet zugreifen.

Ursachen

Dieses Problem kann folgende Ursachen haben:

  • Das NAT-Gateway ist nicht bereit für den Datenverkehr.

  • Ihre Routing-Tabellen sind nicht korrekt konfiguriert.

  • Ihre Sicherheitsgruppen oder Netzwerk-ACLs blockieren ein- oder ausgehenden Datenverkehr.

  • Sie verwenden ein nicht unterstütztes Protokoll.

Lösung

Prüfen Sie die folgenden Informationen:

  • Überprüfen Sie, ob das NAT-Gateway den Zustand Available aufweist. Rufen Sie auf der Amazon VPC-Konsole die Seite NAT Gateways auf und prüfen Sie die Statusinformationen auf der Detailseite. Wenn der Status des NAT-Gateways "Failed" lautet, ist möglicherweise bereits beim Erstellen ein Fehler aufgetreten. Weitere Informationen finden Sie unter Fehler bei der NAT-Gateway-Erstellung.

  • Überprüfen Sie, ob die Routing-Tabellen korrekt konfiguriert sind:

    • Das NAT-Gateway muss sich in einem öffentlichen Subnetz mit einer Routing-Tabelle befinden, die Internetdatenverkehr an ein Internet-Gateway leitet.

    • Die Instance muss sich in einem privaten Subnetz mit einer Routing-Tabelle befinden, die Internetdatenverkehr an das NAT-Gateway leitet.

    • Stellen Sie sicher, dass keine anderen Einträge in der Routing-Tabelle den Internetdatenverkehr ganz oder teilweise an andere Geräte als das NAT-Gateway leiten.

  • Stellen Sie sicher, dass die Sicherheitsgruppenregeln der privaten Instance ausgehenden Internetdatenverkehr erlauben. Damit der Befehl ping funktionieren kann, müssen die Regeln auch ausgehenden ICMP-Datenverkehr erlauben.

    Das NAT-Gateway selbst erlaubt den gesamten ausgehenden Datenverkehr sowie Datenverkehr als Antwort auf ausgehende Anfragen (es ist somit zustandsbehaftet).

  • Stellen Sie sicher, dass die Netzwerk-ACLs, die dem privaten Subnetz und den öffentlichen Subnetzen zugeordnet sind, keine Regeln enthalten, die eingehenden oder ausgehenden Internetdatenverkehr blockieren. Damit der Befehl ping funktionieren kann, müssen die Regeln auch ein- und ausgehenden ICMP-Datenverkehr erlauben.

    Sie können Flow-Protokolle aktivieren, um verloren gegangene Verbindungen aufgrund der Netzwerk-ACL- oder Sicherheitsgruppenregeln zu diagnostizieren. Weitere Informationen finden Sie unter IP-Verkehr mithilfe von VPC Flow Logs protokollieren.

  • Stellen Sie beim Verwenden des Befehls ping sicher, dass Sie den Ping an einen ICMP-fähigen Host senden. Wenn die Website nicht ICMP-fähig ist, erhalten Sie keine Antwortpakete. Führen Sie zum Testen denselben Befehl ping auf der Befehlszeile auf Ihrem lokalen Computer aus.

  • Überprüfen Sie, ob Ihre Instance einen Ping an andere Ressourcen wie beispielsweise andere Instances im privaten Subnetz senden kann (vorausgesetzt, die Sicherheitsgruppenregeln erlauben dies).

  • Stellen Sie sicher, dass Sie für Verbindungen nur die Protokolle TCP, UDP oder ICMP verwenden.

Die TCP-Verbindung mit einem Ziel schlägt fehl.

Problem

Einige Ihrer TCP-Verbindungen von Instances in einem privaten Subnetz mit einem bestimmten Ziel über ein NAT-Gateway sind erfolgreich, andere hingegen schlagen fehl oder es tritt eine Zeitüberschreitung auf.

Ursachen

Dieses Problem kann folgende Ursachen haben:

  • Der Zielendpunkt antwortet mit fragmentierten TCP-Paketen. NAT-Gateways unterstützen keine IP-Fragmentierung für TCP oder ICMP. Weitere Informationen finden Sie unter Vergleich zwischen NAT-Gateways und NAT-Instances.

  • Die Option tcp_tw_recycle ist auf dem Remote-Server aktiviert. Dies verursacht bekanntermaßen Probleme bei mehreren Verbindungen hinter einem NAT-Gerät.

Lösungen

Überprüfen Sie, ob der Endpunkt, mit dem Sie eine Verbindung herzustellen versuchen, mit fragmentierten TCP-Paketen antwortet. Gehen Sie dazu wie folgt vor:

  1. Verwenden Sie eine Instance in einem öffentlichen Subnetz mit einer öffentlichen IP-Adresse, um eine Antwort auszulösen, die ausreicht, um eine Fragmentierung am angegebenen Endpunkt auszulösen.

  2. Überprüfen Sie mithilfe des tcpdump-Tools, ob der Endpunkt fragmentierte Pakete sendet.

    Wichtig

    Für diese Überprüfungen müssen Sie eine Instance in einem öffentlichen Subnetz verwenden. Verwenden Sie weder die Instance, bei der die Verbindung ursprünglich fehlgeschlagen ist, noch eine Instance in einem privaten Subnetz hinter einem NAT-Gateway oder einer NAT-Instance.

    Diagnose-Tools, die große ICMP-Pakete senden oder empfangen, melden Paketverluste. Der Befehl ping -s 10000 example.com funktioniert mit einem NAT-Gateway beispielsweise nicht.

  3. Wenn der Endpunkt fragmentierte TCP-Pakete sendet, können Sie anstelle eines NAT-Gateways eine NAT-Instance verwenden.

Wenn Sie Zugriff auf den Remote-Server haben, können Sie überprüfen, ob die Option tcp_tw_recycle aktiviert ist, indem Sie folgende Schritte ausführen:

  1. Führen Sie den folgenden Befehl auf dem Server aus:

    cat /proc/sys/net/ipv4/tcp_tw_recycle

    Wenn die Ausgabe 1 lautet, ist die Option tcp_tw_recycle aktiviert.

  2. Wenn die Option tcp_tw_recycle aktiviert ist, empfehlen wir, sie zu deaktivieren. Wenn Sie Verbindungen erneut verwenden müssen, bietet die Option tcp_tw_reuse mehr Sicherheit.

Wenn Sie keinen Zugriff auf den Remote-Server haben, können Sie den Test ausführen, indem Sie die Option tcp_timestamps in einer Instance in einem privaten Subnetz vorübergehend deaktivieren. Stellen Sie dann erneut eine Verbindung mit dem Remote-Server her. Wenn die Verbindung erfolgreich hergestellt wird, liegt der Fehler wahrscheinlich daran, dass die Option tcp_tw_recycle auf dem Remote-Server aktiviert ist. Wenden Sie sich möglichst an den Eigentümer des Remote-Servers, um festzustellen, ob diese Option aktiviert ist, und bitten Sie darum, sie zu deaktivieren.

Traceroute-Ausgabe zeigt die private IP-Adresse des NAT-Gateways nicht an.

Problem

Ihre Instance kann auf das Internet zugreifen, aber wenn Sie den Befehl traceroute ausführen, wird in der Ausgabe die private IP-Adresse des NAT-Gateways nicht angezeigt.

Ursache

Ihre Instance greift über ein anderes Gateway, z. B. über ein Internet-Gateway, auf das Internet zu.

Lösung

Überprüfen Sie in der Routing-Tabelle des Subnetzes Ihrer Instance folgende Informationen:

  • Stellen Sie sicher, dass eine Route für Internetdatenverkehr zum NAT-Gateway vorhanden ist.

  • Stellen Sie sicher, dass es keine spezifischere Route gibt, die Internetdatenverkehr an andere Geräte leitet, wie beispielsweise ein Virtual Private Gateway oder ein Internet-Gateway.

Die Internetverbindung wird nach 350 Sekunden getrennt.

Problem

Ihre Instances können auf das Internet zugreifen, doch die Verbindung wird nach 350 Sekunden unterbrochen.

Ursache

Wenn eine Verbindung über ein NAT-Gateway mindestens 350 Sekunden inaktiv ist, wird die Verbindung getrennt.

Wenn eine Verbindung abläuft, gibt ein NAT-Gateway ein RST-Paket an die Ressourcen hinter dem NAT-Gateway zurück, um zu versuchen, die Verbindung wiederaufzunehmen (es wird kein FIN-Paket gesendet).

Lösung

Senden Sie weiteren Datenverkehr über die Verbindung, um die Verbindung aufrechtzuerhalten. Alternativ können Sie TCP-Keepalive auf der Instance mit einem Wert kleiner als 350 Sekunden aktivieren.

IPsec-Verbindung kann nicht hergestellt werden.

Problem

Sie können keine IPsec-Verbindung mit einem Ziel herstellen.

Ursache

Das IPsec-Protokoll wird von NAT-Gateways gegenwärtig nicht unterstützt.

Lösung

Sie können NAT-Traversal (NAT-T) verwenden, um IPsec-Datenverkehr in UDP einzukapseln, ein für NAT-Gateways unterstütztes Protokoll. Testen Sie unbedingt Ihre NAT-T- und IPsec-Konfiguration, um sicherzustellen, dass Ihr IPsec-Datenverkehr nicht verloren geht.

Es können keine weiteren Verbindungen hergestellt werden

Problem

Sie haben bestehende Verbindungen mit einem Ziel über ein NAT-Gateway, können jedoch keine weiteren Verbindungen herstellen.

Ursache

Möglicherweise haben Sie das Limit für gleichzeitige Verbindungen für ein einzelnes NAT-Gateway erreicht. Weitere Informationen finden Sie unter NATGrundlagen des Gateways. Wenn Ihre Instances im privaten Subnetz viele Verbindungen herstellen, kann dieses Limit erreicht werden.

Lösung

Führen Sie eine der folgenden Aktionen aus:

  • Erstellen Sie pro Availability Zone ein NAT-Gateway und verteilen Sie Ihre Clients auf diese Zonen.

  • Erstellen Sie zusätzliche NAT-Gateways im öffentlichen Subnetz und verteilen Sie Ihre Clients auf mehrere private Subnetze mit je einer Route zu einem anderen NAT-Gateway.

  • Begrenzen Sie die Anzahl der Verbindungen, die Clients zum Zielbereich erstellen können.

  • Verwenden Sie die IdleTimeoutCountMetrik in CloudWatch , um die Zunahme inaktiver Verbindungen zu überwachen. Trennen Sie inaktive Verbindungen, um Kapazitäten freizugeben.

  • Erstellen Sie ein NAT-Gateway mit mehreren IP-Adressen oder fügen Sie einem vorhandenen NAT-Gateway sekundäre IP-Adressen hinzu. Jede neue IPv4-Adresse kann bis zu 55 000 gleichzeitige Verbindungen unterstützen. Weitere Informationen finden Sie unter Erstellen Sie ein Gateway NAT oder Bearbeiten sekundärer IP-Adresszuweisungen.