A migração da instância NAT para o gateway NAT falha em instâncias existentes
Eu tenho um VPC que criei há muito tempo antes que os gateways NAT fossem uma coisa. Como muitas configurações, criei uma instância de NAT para rotear o tráfego de saída. Ontem minha instância do NAT caiu. Eu fui capaz de reiniciar, mas isso criou um pouco de dor de cabeça, então decidi tentar migrar para um NAT Gateway.
Eu não me importo se o IP de saída é o mesmo. Como teste, criei um novo VPC com uma instância para garantir que as configurações estavam corretas. Eu criei o gateway no VPC existente. Eu então troquei minha tabela de roteamento principal para usá-la como o gateway em vez da instância.
Minha configuração é de duas sub-redes, uma pública que aponta para um gateway da Internet e uma particular apontando para o gateway NAT. Eu uso o OpenVPN em uma instância para acessar minhas instâncias privadas.
No entanto, quando eu alterno para o gateway NAT, não consigo mais rotear a saída em instâncias existentes, MAS, quando eu crio uma nova instância, ela funciona bem. O problema é o mesmo em sentido inverso. Se eu definir a sub-rede da minha nova instância que funciona com o gateway NAT, para usar a instância NAT, ela não poderá mais ver o mundo externo.
Não estou alterando as tabelas de rota nas próprias instâncias, apenas as rotas no console da web.
Eu também tentei (com minha instância de teste) reiniciar a rede e, em seguida, reiniciá-lo, mas nenhum deles ajudou.
Eu li alguns guias de migração que parecem indicar que isso deve funcionar, obviamente as rotas mudam, mas não funcionam logo depois disso. Existe um truque de mágica para isso ou terei que recriar minhas instâncias para trabalhar com o gateway NAT?
EDIT: Outra ruga neste. Por um capricho eu mudei o grupo de segurança da minha instância de teste (eu usei um padrão quando eu criei). Usar um grupo de segurança existente com as mesmas regras de saída tornou a instância capaz de se conectar, mas trocando-a de volta ao grupo original e não pode estabelecer conexão.
EDIT 2: Alterar o grupo de segurança de uma das minhas instâncias existentes parece não funcionar. A alteração do grupo de segurança parece funcionar apenas na nova instância que configuramos como um teste.
Como sugerido, aqui estão algumas telas da minha configuração:
Aqui estão as minhas tabelas de rotas. O nome que eu adicionei como um teste e encaminha para o gateway nat. Eu tenho apenas uma sub-rede, onde eu tenho uma instância como um teste. O segundo na lista é a rota padrão para a qual todas as outras sub-redes são direcionadas, usando a instância NAT.
Vejaaconfirmaçãodequeminhasprivate-subnet-1esãoroteadasparaoNATGateway:
Eaverificaçãodequeumadassub-redesdomeuservidordeproduçãoéroteadausandoogatewayprincipalpormeiodainstânciadoNAT:
GrupodesegurançaparaainstânciadetesteRegrasdesaída:(tudo)
Grupodesegurançaparainstânciadeprodutoquenãopoderotearseeualteraratabela.Mesmo,tudoépermitido
