問(wèn)題描述
用戶購(gòu)買(mǎi)彈性公網(wǎng)IP并綁定云服務(wù)器后��,無(wú)法Ping通彈性公網(wǎng)IP��,或者云服務(wù)器Ping不通外網(wǎng)�����。
排查思路
以下排查思路根據(jù)原因的出現(xiàn)概率進(jìn)行排序����,建議您從高頻率原因往低頻率原因排查,從而幫助您快速找到問(wèn)題的原因��。
如果解決完某個(gè)可能原因仍未解決問(wèn)題��,請(qǐng)繼續(xù)排查其他可能原因���。
圖1 彈性公網(wǎng)IP Ping不通排查思路
表1 彈性公網(wǎng)IP Ping不通排查思路
檢查安全組規(guī)則
Ping使用的是ICMP協(xié)議��,請(qǐng)檢查云服務(wù)器對(duì)應(yīng)的安全組是否放通了“入方向”的“ICMP”規(guī)則。
登錄管理控制臺(tái)�。
單擊管理控制臺(tái)左上角的,選擇區(qū)域和項(xiàng)目���。
選擇“計(jì)算 > 彈性云服務(wù)器”��。
在彈性云服務(wù)器列表����,單擊待變更安全組規(guī)則的彈性云服務(wù)器名稱���。
系統(tǒng)跳轉(zhuǎn)至該彈性云服務(wù)器詳情頁(yè)面���。
選擇“安全組”頁(yè)簽�,展開(kāi)安全組�,查看安全組規(guī)則。
單擊安全組ID�����。
系統(tǒng)自動(dòng)跳轉(zhuǎn)至安全組頁(yè)面��。
在入方向規(guī)則頁(yè)簽���,單擊“添加規(guī)則”����,添加入方向規(guī)則���。
圖2 添加入方向規(guī)則
表2 安全組規(guī)則方向 | 類型 | 協(xié)議和端口 | 源地址 |
|---|
入方向 | IPv4 | ICMP:Any | 0.0.0.0/0 0.0.0.0/0表示所有IP地址 |
單擊“確定”����,完成安全組規(guī)則配置����。
檢查防火墻設(shè)置
如果云服務(wù)器開(kāi)啟了防火墻,需要檢查防火墻對(duì)Ping規(guī)則是否有限制��。
Linux系統(tǒng)云服務(wù)器
執(zhí)行以下命令查看防火墻狀態(tài),以CentOS 7操作系統(tǒng)為例����。
firewall-cmd --state
回顯信息顯示“running”代表防火墻已開(kāi)啟。
查看云服務(wù)器內(nèi)部是否有安全規(guī)則所限制���。
iptables -L
回顯信息如圖3所示說(shuō)明沒(méi)有ICMP規(guī)則被限制��。
圖3 查看防火墻規(guī)則
如果ICMP規(guī)則被限制�����,請(qǐng)執(zhí)行以下命令啟用對(duì)應(yīng)規(guī)則。
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
Windows操作系統(tǒng)
登錄Windows云服務(wù)器�,單擊桌面左下角的Windows圖標(biāo),選擇“控制面板 > Windows防火墻”�����。
單擊“啟用或關(guān)閉Windows防火墻”���。
查看并設(shè)置防火墻的具體狀態(tài):開(kāi)啟或關(guān)閉��。
如果防火墻狀態(tài)為“開(kāi)啟”��,請(qǐng)執(zhí)行4�。
檢查防火墻對(duì)ICMP規(guī)則的啟用狀態(tài)。
在“Windows防火墻”頁(yè)面��,在左側(cè)導(dǎo)航欄選擇“高級(jí)設(shè)置 ”��。
啟用以下規(guī)則�����。
入站規(guī)則:“文件和打印機(jī)共享(回顯請(qǐng)求-ICMPv4-In)”
出站規(guī)則:“文件和打印機(jī)共享(回顯請(qǐng)求-ICMPv4-Out)”
如啟用了IPV6請(qǐng)同時(shí)啟用以下規(guī)則:
入站規(guī)則:“文件和打印機(jī)共享(回顯請(qǐng)求-ICMPv6-In)”
出站規(guī)則:“文件和打印機(jī)共享(回顯請(qǐng)求-ICMPv6-Out)”
圖4 入站規(guī)則
圖5 出站規(guī)則
檢查云服務(wù)器是否設(shè)置了禁Ping
Windows
使用命令行方式開(kāi)啟Ping設(shè)置�����。
打開(kāi)cmd運(yùn)行窗口��。
執(zhí)行如下命令開(kāi)啟Ping設(shè)置�����。
netsh firewall set icmpsetting 8
Linux
檢查云服務(wù)器的內(nèi)核參數(shù)����。
檢查文件/etc/sysctl.conf中配置項(xiàng)“net.ipv4.icmp_echo_ignore_all”的值,0表示允許Ping,1表示禁止Ping�。
允許PING設(shè)置。
檢查網(wǎng)絡(luò)ACL規(guī)則
VPC默認(rèn)沒(méi)有網(wǎng)絡(luò)ACL���,如果關(guān)聯(lián)了網(wǎng)絡(luò)ACL�����,請(qǐng)檢查“網(wǎng)絡(luò)ACL”規(guī)則����。
查看云服務(wù)器對(duì)應(yīng)的子網(wǎng)是否關(guān)聯(lián)了網(wǎng)絡(luò)ACL��。
如顯示具體的網(wǎng)絡(luò)ACL名稱說(shuō)明已關(guān)聯(lián)網(wǎng)絡(luò)ACL���。
圖6 網(wǎng)絡(luò)ACL
點(diǎn)擊網(wǎng)絡(luò)ACL名稱查看網(wǎng)絡(luò)ACL的狀態(tài)��。
圖7 網(wǎng)絡(luò)ACL開(kāi)啟狀態(tài)
若“網(wǎng)絡(luò)ACL”為“開(kāi)啟”狀態(tài),需要添加ICMP放通規(guī)則進(jìn)行流量放通�。
圖8 ACL添加ICMP規(guī)則
說(shuō)明:
需要注意“網(wǎng)絡(luò)ACL”的默認(rèn)規(guī)則是丟棄所有出入方向的包,若關(guān)閉“網(wǎng)絡(luò)ACL”后�����,其默認(rèn)規(guī)則仍然生效。
檢查網(wǎng)絡(luò)是否正常
檢查本地網(wǎng)絡(luò)���,使用相同區(qū)域主機(jī)進(jìn)行Ping測(cè)試���。
使用在相同區(qū)域的云服務(wù)器去Ping沒(méi)有Ping通的彈性公網(wǎng)IP,如果可以正常Ping通說(shuō)明虛擬網(wǎng)絡(luò)正常�,請(qǐng)排除本地網(wǎng)絡(luò)故障后重新Ping測(cè)試。
檢查是否鏈路故障���。
鏈路擁塞��、鏈路節(jié)點(diǎn)故障����、服務(wù)器負(fù)載高等問(wèn)題均可能引起執(zhí)行Ping命令時(shí)出現(xiàn)丟包或時(shí)延過(guò)高的問(wèn)題��。
具體檢查操作請(qǐng)參考“ping不通或丟包時(shí)如何進(jìn)行鏈路測(cè)試��?”��。
檢查云服務(wù)器路由配置(多網(wǎng)卡場(chǎng)景)
一般操作系統(tǒng)的默認(rèn)路由優(yōu)先使用主網(wǎng)卡���,如果出現(xiàn)使用擴(kuò)展網(wǎng)卡導(dǎo)致網(wǎng)絡(luò)不通現(xiàn)象通常是路由配置問(wèn)題����。
如果云服務(wù)器配置了多網(wǎng)卡,請(qǐng)確認(rèn)云服務(wù)器內(nèi)默認(rèn)路由是否存在��。
登錄云服務(wù)器���,執(zhí)行如下命令�����,查看是否存在默認(rèn)路由��。
ip route
圖9 查看默認(rèn)路由
若沒(méi)有該路由����,執(zhí)行如下命令�����,添加默認(rèn)路由���。
ip route add default via XXXX dev eth0
說(shuō)明:
XXXX表示網(wǎng)關(guān)IP。
如果云服務(wù)器配置了多網(wǎng)卡�,且彈性公網(wǎng)IP綁定在非主網(wǎng)卡上,需要在云服務(wù)器內(nèi)部配置策略路由來(lái)實(shí)現(xiàn)非主網(wǎng)卡的通信。
詳細(xì)操作請(qǐng)參考如何為配置了多網(wǎng)卡的彈性云服務(wù)器配置策略路由��?
檢查域名解析(域名Ping不通場(chǎng)景)
如果彈性公網(wǎng)IP可以Ping通��,域名無(wú)法Ping通���,可能是域名沒(méi)有備案或者域名解析的問(wèn)題導(dǎo)致�����。
檢查域名備案��。
備案是中國(guó)大陸的一項(xiàng)法規(guī)�����,網(wǎng)站的域名和服務(wù)器IP需要進(jìn)行備案���,備案成功后您的域名才可以指向服務(wù)器開(kāi)通訪問(wèn)。
如果您使用中國(guó)大陸節(jié)點(diǎn)服務(wù)器提供互聯(lián)網(wǎng)信息服務(wù)��,需要先在服務(wù)器提供商處提交備案申請(qǐng)�����,備案成功后域名才可以指向服務(wù)器開(kāi)通訪問(wèn)。如何備案�����?
如果您使用的是中國(guó)大陸地區(qū)以外的服務(wù)器(包括中國(guó)港澳臺(tái)及其他國(guó)家��、地區(qū))提供互聯(lián)網(wǎng)信息服務(wù)����,無(wú)需備案。
檢查域名解析��。
如果域名已備案�����,但未正確配置域名解析也可能會(huì)導(dǎo)致域名無(wú)法Ping通�。
您可以DNS服務(wù)控制臺(tái)查看域名解析詳情。
檢查DNS服務(wù)器配置�。
如果ping域名顯示找不到主機(jī)可能是DNS服務(wù)器速度慢,導(dǎo)致的訪問(wèn)卡頓�,建議您參考案例:彈性云服務(wù)器訪問(wèn)中國(guó)大陸外網(wǎng)站時(shí)加載緩慢怎么辦?進(jìn)行優(yōu)化���。
張哲瀚
閩公網(wǎng)安備 35010202001226號(hào)
