为什么EC-2机器在与子网相关联的Nat网关之后就无法连接到internet？

Question

我试图在amazon中实现这个网络：

因此，在amazon中有以下子网：

子网subnet-0ac620105fc198e33使用具有以下路由表的弹性IP的NAT网关：

nat-0de30b43c561c4161是我的nat网关。

其他子网2使用默认路由表：

所有子网都有以下ACL

上述规则适用于入站和出站通信量。

我也有两个EC-2实例：

1. 位于使用NAT网关的子网中用于ssh访问的公共子网中。
2. 在子网中使用nat网关的

访问第二个EC-2实例后，运行以下命令：

ping 8.8.8.8
curl http://google.com

但没能连接到谷歌。为什么我联系不上？

Answer 1

摘要: NAT网关必须位于公共子网中，并且必须有一条通向internet网关的路由。AWS文档涵盖了这个这里和这里。

请注意，nat网关位于通过普通internet网关访问的子网中--在您的示例中-- Host1和Nat网关都可以位于同一个子网中，也可以位于通过普通internet网关转发流量的子网中。

在一个简单的图像中，您必须实现以下目标：

因此，将Nat网关视为另一个将流量转发给具有internet网关的子网的主机。上面的图表显示了每台机器应该如何连接到互联网。在您的示例中，Host 2访问Subnet 2，通过Nat网关和子网1通过正常的Internet网关访问Internet。

在您的示例中，子网subnet-0c8192051e2a46965或subnet-065ae3de09e9f8355都适合托管Nat网关。但是Nat网关不能在子网subnet-0ac620105fc198e33中

为了改变Nat网关的子网，您必须在更新路由表以利用Nat网关之后创建一个新的Nat网关。如果你想保持弹性IP等待旧Nat网关被删除。之后，用新的。

请记住，一旦您在这个领域中创建了新的Nat网关，如下所示：

选择子网subnet-0c8192051e2a46965或subnet-065ae3de09e9f8355。