騰訊云云服務(wù)器ping不可達(dá)

簡介

本文將為您介紹收到云服務(wù)器“ping不可達(dá)”事件告警通知的排查方法和解決方案。您可以恢復(fù)告警，如告警通知打擾到您可以關(guān)閉告警功能。

告警原因及處理方法

ping不可達(dá)告警原因和處理方法對照表：

說明：

云服務(wù)器ping網(wǎng)絡(luò)狀態(tài)由云監(jiān)控告警系統(tǒng)自動監(jiān)測，與您是否配置云服務(wù)器公網(wǎng)IP無關(guān)。

排查步驟

步驟一：檢查云服務(wù)器監(jiān)控?cái)?shù)據(jù)

1.登錄云監(jiān)控控制臺。

2.單擊【云服務(wù)器】>告警相關(guān)的【實(shí)例名稱】，查看云服務(wù)器監(jiān)控?cái)?shù)據(jù)是否有監(jiān)控?cái)?shù)據(jù)斷點(diǎn)、監(jiān)控?cái)?shù)據(jù)過高異常。

• 若監(jiān)控?cái)?shù)據(jù)出現(xiàn)斷點(diǎn)或監(jiān)控?cái)?shù)據(jù)過高，可能是云服務(wù)器內(nèi)核故障、宕機(jī)或帶寬高負(fù)載引起，您可以對相關(guān)故障進(jìn)行排查。

• 若無異常請進(jìn)行下一步驟：檢查云服務(wù)器實(shí)例狀態(tài)是否異常。

步驟二：檢查云服務(wù)器狀態(tài)

說明：

云監(jiān)控事件告警暫未過濾手動關(guān)機(jī)導(dǎo)致的“ping不可達(dá)”告警，后期我們將對該功能進(jìn)行優(yōu)化。

1.登錄云服務(wù)器控制臺。

2.在“實(shí)例列表”頁面中，查看“ping不可達(dá)”告警相關(guān)的實(shí)例狀態(tài)是否正常。

• 若狀態(tài)顯示已關(guān)機(jī)，則說明手動關(guān)機(jī)導(dǎo)致的“ping不可達(dá)”告警。您可以單擊【更多】>【實(shí)例狀態(tài)】>【開機(jī)】，重啟實(shí)例，若實(shí)例狀態(tài)已顯示運(yùn)行中，仍未解決問題。可進(jìn)行下一步：檢查云服務(wù)器實(shí)例關(guān)聯(lián)的安全組是否允許ICMP。

• 若狀態(tài)顯示運(yùn)行中可進(jìn)行下一步：檢查云服務(wù)器實(shí)例關(guān)聯(lián)的安全組是否允許ICMP。

步驟三：檢查安全組的ICMP設(shè)置

1.登錄云服務(wù)器控制臺。

2.在“實(shí)例列表”頁面中，選擇產(chǎn)生“ping不可達(dá)”告警的實(shí)例ID/實(shí)例名，進(jìn)入該實(shí)例的詳情頁面。

3.選擇【安全組】頁簽，進(jìn)入該實(shí)例的安全組管理頁面。如下圖所示，查看該實(shí)例所在的安全組的入站規(guī)則和出站規(guī)則是否拒絕ICMP端口協(xié)議或是否添加ICMP端口協(xié)議。

• 系統(tǒng)默認(rèn)的安全組允許ICMP端口協(xié)議，若您手動拒絕默認(rèn)安全組ICMP協(xié)議或自定義的安全組沒有添加ICMP協(xié)議，都會導(dǎo)致“ping不可達(dá)”告警。您可以單擊右上角的【編輯規(guī)則】，在安全組規(guī)則管理頁添加/編輯”ICMP端口協(xié)議“，如下圖所示。

• 若安全組的“ICMP端口協(xié)議”限制已修改，仍未解決問題。請進(jìn)行下一步：檢查云服務(wù)器Windows防火墻或Linux內(nèi)核參數(shù)、iptables是否有限制。

步驟四：檢查防火墻或Linux內(nèi)核參數(shù)和iptables設(shè)置

Windows操作系統(tǒng)

1.登錄云服務(wù)器實(shí)例。

2.打開【控制面板】，選擇查看方式為“小圖標(biāo)”，單擊【W(wǎng)indows防火墻】。如下圖所示：

3.在“Windows防火墻”界面，選擇【高級設(shè)置】。如下圖所示：

4.在彈出的“高級安全Windows防火墻”窗口中，查看ICMP有關(guān)的出、入站規(guī)則是否被限制。

如下圖所示，若出、入站規(guī)則中的Windows Agent：ICMP被禁用，則說明Windows防火墻限制導(dǎo)致的“ping不可達(dá)”告警，您可以單擊鼠標(biāo)右鍵啟用該規(guī)則。

Linux操作系統(tǒng)

說明：

Linux系統(tǒng)是否允許ping由內(nèi)核和iptables設(shè)置兩個(gè)共同決定，任何一個(gè)限制，都會造成“ping不可達(dá)“告警。

檢查內(nèi)核參數(shù)

1.登錄云服務(wù)器實(shí)例。

2.執(zhí)行以下命令，查看系統(tǒng)icmp_echo_ignore_all設(shè)置。

cat/proc/sys/net/ipv4/icmp_echo_ignore_all

3.若返回結(jié)果為0，表示系統(tǒng)允許所有的ICMP Echo請求，請檢查iptables設(shè)置。

4.若返回結(jié)果為1，表示系統(tǒng)限制所有的ICMP Echo請求，則說明Linux內(nèi)核參數(shù)限制，導(dǎo)致的“ping不可達(dá)”告警，請執(zhí)行下文步驟3關(guān)閉限制。

5.使用擁有root權(quán)限的賬戶執(zhí)行以下命令，修改內(nèi)核參數(shù)icmp_echo_ignore_all的設(shè)置。

echo"0">/proc/sys/net/ipv4/icmp_echo_ignore_all

檢查iptables設(shè)置

1.執(zhí)行以下命令，查看當(dāng)前云服務(wù)器的防火墻規(guī)則以及ICMP對應(yīng)規(guī)則是否被限制。

iptables-L

• 若返回結(jié)果如下圖所示，則表示iptables的ICMP未限制。

• 若返回如下圖所示，則表示iptables的ICMP被限制。說明Linux iptables的ICMP限制到導(dǎo)致的“ping不可達(dá)”告警。請參考下文步驟2關(guān)閉iptables的ICMP限制。

2.請執(zhí)行以下命令，關(guān)閉iptables的ICMP限制。

#Chain INPUT

iptables-A INPUT-p icmp--icmp-type echo-request-j ACCEPT

#Chain OUTPUT

iptables-A OUTPUT-p icmp--icmp-type echo-reply-j ACCEPT

若上述步驟仍無法解決問題，請?zhí)峤还温?lián)系我們。

關(guān)閉告警功能

關(guān)閉告警策略

若該告警策略的指標(biāo)告警和事件告警打擾到您，您可以參考以下步驟關(guān)閉該告警策略。

1.進(jìn)入云監(jiān)控控制臺-告警策略。

2.找到產(chǎn)生告警策略名稱，在【告警啟?！恳涣邢?，單擊“告警啟?！遍_關(guān)，再單擊【確認(rèn)】即可關(guān)閉該策略的告警功能。

僅關(guān)閉事件告警

若您還需要該告警策略的指標(biāo)告警功能，可以參考以下步驟關(guān)閉事件告警功能。

1.進(jìn)入云監(jiān)控控制臺-告警策略。

2.找到產(chǎn)生告警策略名稱，單擊該告警策略名稱，進(jìn)入管理告警策略頁。

3.單擊告警觸發(fā)條件右上角的【編輯】，如下圖所示在彈框中取消事件告警的勾選，單擊【保存】即可。