Amazon Virtual Private Cloud
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

NAT 网关问题排查

以下主题可帮助您排查在创建或使用 NAT 网关时可能遇到的常见问题。

NAT 网关变为 Failed 状态

问题

您创建了一个 NAT 网关,但它的状态为 Failed

原因

创建 NAT 网关时出错。返回的错误消息提供了出现错误的原因。

解决方案

要查看错误消息,请前往 Amazon VPC 控制台,然后选择 NAT Gateways。选择您的 NAT 网关,然后在详细信息窗格的 Status 框中查看错误消息。

下表列出了 Amazon VPC 控制台中指示的可能的失败原因。执行所示任何纠正步骤之后,您可以再次尝试创建 NAT 网关。

注意

失败的 NAT 网关会在短时间 (通常是大约一小时) 之后自动删除。

显示的错误 原因 解决方案
子网没有足够的空闲地址来创建此 NAT 网关 指定的子网没有任何空闲的私有 IP 地址。NAT 网关需要从子网范围分配了私有 IP 地址的网络接口。 检查子网中可用的 IP 地址数,方法是在 Amazon VPC 控制台中前往 Subnets 页面。您可以在子网的详细信息创窗格中查看 Available IP。要在子网中创建空闲的 IP 地址,可以删除未使用的网络接口,或终止不需要的实例。
网络 vpc-xxxxxxxx 未连接任何互联网网关 必须在具有 Internet 网关的 VPC 中创建 NAT 网关。 创建 Internet 网关,并将其连接到您的 VPC。有关更多信息,请参阅创建并附加 Internet 网关
弹性 IP 地址 eipalloc-xxxxxxxx 无法与此 NAT 网关相关联 指定的弹性 IP 地址不存在或无法找到。 检查弹性 IP 地址的分配 ID 以确保正确输入了它。确保指定的弹性 IP 地址与所创建的 NAT 网关在同一 AWS 区域中。
弹性 IP 地址 eipalloc-xxxxxxxx 已关联 指定的弹性 IP 地址已与其他资源关联,无法与 NAT 网关相关联。 检查哪个资源与弹性 IP 地址相关联。前往 Amazon VPC 控制台中的 Elastic IPs 页面,查看为实例 ID 或网络接口 ID 指定的值。如果该资源不需要该弹性 IP 地址,则可以解除两者的关联。或者,也可以向您的账户分配新的弹性 IP 地址。有关更多信息,请参阅使用弹性 IP 地址
此 NAT 网关在内部创建并使用的网络接口 eni-xxxxxxxx 处于无效状态。请重试。 为 NAT 网关创建或使用网络接口时出现问题。 您无法解决此错误。请再次尝试创建 NAT 网关。

弹性 IP 地址和 NAT 网关限制

问题

您在尝试分配弹性 IP 地址时收到以下错误:

The maximum number of addresses has been reached.

您在尝试创建 NAT 网关时收到以下错误:

Performing this operation would exceed the limit of 5 NAT gateways

原因

有 2 个可能的原因:

  • 您已达到该区域账户的弹性 IP 地址数量的上限。

  • 您已达到该可用区域账户的 NAT 网关数量的上限。

解决方案

如果您的弹性 IP 地址数已达到上限,则可以取消弹性 IP 地址与其他资源的关联,也可以使用 Amazon VPC 限制表单请求提高上限。

如果您已达到 NAT 网关限制,则可以执行以下操作之一:

  • 使用 Amazon VPC Limits form 请求提高限制。NAT 网关限制针对每个可用区执行。

  • 检查 NAT 网关的状态。PendingAvailableDeleting 状态的网关就占用限额。如果您最近删除了 NAT 网关,请等待几分钟,以便状态从 Deleting 变为 Deleted。然后尝试新建一个 NAT 网关。

  • 如果您在特定可用区中不需要 NAT 网关,请尝试在未达到限制的可用区中创建 NAT 网关。

有关更多信息,请参阅 Amazon VPC 限制

不支持可用区

问题

您在尝试创建 NAT 网关时收到以下错误:NotAvailableInZone

原因

您可能会尝试在受约束的可用区(即我们的扩展能力受约束的区域)中创建 NAT 网关。

解决方案

我们无法在这些可用区中支持 NAT 网关。您可以在其他可用区中创建 NAT 网关并将它用于受约束区域中的私有子网。您还可以将资源移动到不受约束的可用区,以便您的资源和 NAT 网关处于同一区中。

NAT 网关不再可见

问题

您创建了一个 NAT 网关,但它在 Amazon VPC 控制台中不可见。

原因

创建 NAT 网关时可能发生错误,该网关已失败。状态为 Failed 的 NAT 网关在短时间内(通常为一小时)在 Amazon VPC 控制台中可见,一个小时之后会被自动删除。

解决方案

查看 NAT 网关变为 Failed 状态 中的信息,然后尝试创建新 NAT 网关。

NAT 网关不响应 Ping 命令

问题

如果您尝试从互联网(例如从家庭计算机)或从 VPC 中的任何实例对 NAT 网关的弹性 IP 地址或私有 IP 地址执行 ping 操作,则不会收到响应。

原因

NAT 网关仅从私有子网中的实例向 Internet 传输流量。

解决方案

要测试 NAT 网关是否正常运行,请参阅 测试 NAT 网关

实例无法访问互联网

问题

您创建了一个 NAT 网关并按照步骤进行了测试,但 ping 命令失败,或者您私有子网中的实例无法访问互联网。

原因

出现此问题的原因可能是以下原因之一:

  • NAT 网关尚未准备好提供流量。

  • 您的路由表未得到正确配置。

  • 您的安全组或网络 ACL 阻止入站或出站流量。

  • 您使用的是不受支持的协议。

解决方案

检查以下信息:

  • 检查 NAT 网关是否处于 Available 状态。在 Amazon VPC 控制台中,转到 NAT Gateways 页面,然后在详细信息窗格中查看状态信息。如果 NAT 网关处于失败状态,则表示在创建它时可能发生了错误。有关更多信息,请参阅 NAT 网关变为 Failed 状态

  • 检查您是否正确配置了路由表:

    • NAT 网关所处的公有子网必须具有将 Internet 流量路由到 Internet 网关的路由表。有关更多信息,请参阅 创建自定义路由表

    • 实例所处的私有子网必须具有将 Internet 流量路由到 NAT 网关的路由表。有关更多信息,请参阅 更新路由表

    • 检查是否没有其他路由表条目将全部或部分 Internet 流量路由到其他设备而不是 NAT 网关。

  • 确保私有实例的安全组规则允许出站 Internet 流量。要使 ping 命令正常运行,这些规则还必须允许出站 ICMP 流量。

    注意

    NAT 网关本身允许所有出站流量以及响应出站请求时收到的流量 (因此它是有状态的)。

  • 确保与私有子网和公有子网关联的网络 ACL 没有阻止入站或出站 Internet 流量的规则。要使 ping 命令正常运行,这些规则还必须允许入站和出站 ICMP 流量。

    注意

    可以启用流日志以帮助诊断由于网络 ACL 或安全组规则而中断的连接。有关更多信息,请参阅 VPC 流日志

  • 如果使用 ping 命令,请确保在对启用了 ICMP 的网站执行 ping 操作。如果未启用 ICMP,您不会收到应答数据包。要对此进行测试,请从您自己计算机上的命令行终端执行相同的 ping 命令。

  • 检查实例是否能够对其他资源成功执行 ping 操作,例如私有子网中的其他实例 (假设安全组规则允许这样做)。

  • 确保您的连接仅使用 TCP、UDP 或 ICMP 协议。

到目标的 TCP 连接失败

问题

在通过 NAT 网关从私有子网中的实例连接到特定目标时,有些 TCP 连接会成功,但也有些连接会失败或超时。

原因

出现此问题的原因可能是以下原因之一:

  • 目标终端节点正在使用分段 TCP 数据包进行响应。NAT 网关当前不支持 TCP 或 ICMP 的 IP 分段。有关更多信息,请参阅 NAT 实例与 NAT 网关的比较

  • 远程服务器上启用了 tcp_tw_recycle 选项,当 NAT 设备后有多个连接时,启用该选项会导致问题。

Solutions

通过执行以下操作,验证您尝试连接的终端节点是否正在使用分段 TCP 数据包进行响应:

  1. 使用具有公共 IP 地址的公有子网中的实例来触发足够大的响应,以产生来自特定终端节点的分段。

  2. 使用 tcpdump 实用工具验证终端节点是否将发送分段数据包。

    重要

    您必须使用公有子网中的实例来执行这些检查。您不能使用原始连接失败的实例,或者 NAT 网关或 NAT 实例后面的私有子网中的实例。

    注意

    发送或接收大型 ICMP 数据包的诊断工具将报告数据包丢失。例如,命令 ping -s 10000 example.com 将不会在 NAT 网关后面工作。

  3. 如果终端节点发送分段 TCP 数据包,则可使用 NAT 实例代替 NAT 网关。

如果您有权访问远程服务器,则可以通过执行以下操作来验证是否已启用 tcp_tw_recycle 选项:

  1. 在服务器上运行以下命令:

    cat /proc/sys/net/ipv4/tcp_tw_recycle

    如果输出为 1,则表明已启用 tcp_tw_recycle 选项。

  2. 如果已启用 tcp_tw_recycle 选项,建议将其禁用。如果您需要重用连接,则 tcp_tw_reuse 是一个较为安全的选项。

如果您无权访问远程服务器,则可以通过临时禁用私有子网中的实例上的 tcp_timestamps 选项来进行测试。然后重新连接到远程服务器。如果连接成功,则上次连接失败的原因很可能是在远程服务器上启用了 tcp_tw_recycle 选项。如果可能,请与远程服务器的所有者联系,以验证是否已启用此选项,如已启用,则请求将其禁用。

追踪路由输出未显示 NAT 网关私有 IP 地址

问题

您的实例可以访问 Internet,但是当您执行 traceroute 命令时,输出未显示 NAT 网关的私有 IP 地址。

原因

您的实例在使用其他网关(例如互联网网关)访问互联网。

解决方案

在实例所处的子网的路由表中,检查以下信息:

  • 确保存在将 Internet 流量发送到 NAT 网关的路由。

  • 确保没有其他特定路由将 Internet 流量发送到其他设备 (如虚拟专用网关或 Internet 网关)。

Internet 连接在 350 秒后中断

问题

您的实例可以访问互联网,但连接在 350 秒后断开。

原因

如果使用 NAT 网关的连接空闲 350 秒或更长时间,则连接会超时。

解决方案

要防止连接中断,您可以通过该连接发起更多流量。或者,您也可以在实例上启用值小于 350 秒的 TCP keepalive。

无法建立 IPsec 连接

问题

您无法与目标建立 IPsec 连接。

原因

NAT 网关当前不支持 IPsec 协议。

解决方案

您可以使用 NAT 遍历 (NAT-T) 将 IPsec 流量封装在 UDP(NAT 网关的支持协议)中。请确保您已测试您的 NAT-T 和 IPsec 配置,以验证您没有丢弃 IPsec 流量。

无法发起更多连接

问题

您有通过 NAT 网关与目标建立的现有连接,但无法建立更多连接。

原因

您可能已达到单个 NAT 网关的并发连接数限制。有关更多信息,请参阅 NAT 网关规则和限制。如果私有子网中的实例创建了大量连接,则您可能会达到该限制。

解决方案

请执行下列操作之一:

  • 对每个可用区创建一个 NAT 网关,并在这些区域间分布客户端。

  • 在公有子网中创建更多 NAT 网关并将客户端拆分到多个私有子网中 (各自具有指向不同 NAT 网关的路由)。

  • 限制客户端可对目的地创建的连接数。

  • 关闭空闲连接以释放容量。