本文介绍如何使用路径分析功能检测网络资源的连通性。

背景信息

  • 路径分析首先会构建源资源和目的资源之间的网络配置模型,然后检测源资源和目的资源之间的路径连通性。路径分析不会发送数据包或分析数据平面,只需要指定从源资源到目的资源的流量路径。例如,指定一个账号下的云服务器ECS(Elastic Compute Service)实例作为源资源,指定该账号下的另一个ECS实例作为目的资源,设置22作为目的端口、TCP作为协议,即可以通过路径分析功能验证源ECS实例是否可以通过SSH连接到目的ECS实例。
  • 路径分析支持以下类型的资源作为源或目的:
    • 源:ECS、公网IP地址、交换机、边界路由器。
    • 目的:ECS、公网IP地址、交换机、边界路由器、传统型负载均衡CLB
    说明 如果源资源和目的资源都选择公网IP地址,仅当源资源或目的资源的公网IP地址中至少有一个IP地址是映射到ECS实例的公网IP地址时,支持使用路径分析功能。
  • 路径分析支持对以下场景进行分析:
    • 跨地域间ECS实例互访:通过云企业网或转发路由器实现跨地域间ECS实例互访。该场景的源资源和目的资源可以属于不同的阿里云账号所有。
    • 同地域间ECS实例互访:通过云企业网或转发路由器实现同地域间ECS实例互访。
    • ECS实例与公网IP地址互访。
    • 公网IP地址与私网CLB实例互访。
    • ECS实例与公网CLB实例互访。
  • 单账号支持的配额限制如下表所示。
    资源 默认限制 提升配额
    最大路径条数 100 无法提升
    最大历史分析记录 1000
    并发分析数 5

创建路径

  1. 登录网络智能服务管理控制台
  2. 在左侧导航栏,选择自助诊断 > 路径分析
  3. 路径分析页面,单击创建路径
  4. 创建路径页面,配置以下参数,然后单击确定创建
    配置 说明
    名称 输入路径分析的名称。
    选择源类型
    • ECS实例ID:选择ECS实例ID,即选择ECS实例作为路径中的源资源。选择ECS实例后,您可以选择ECS实例的私网IP地址。如果不选择ECS实例的私网IP地址,默认分析ECS实例主IP地址。
    • 公网IP:输入公网IP地址作为路径中的源资源。

      支持输入ECS实例的固定公网IP、弹性公网IP或非阿里云的公网IP。不支持源资源和目的资源都为非阿里云的公网IP。

    • 交换机:选择交换机作为路径中的源资源。
    • 边界路由器:选择边界路由器作为路径中的源资源。
    目的 选择目的类型
    • ECS实例ID:选择ECS实例ID,即选择ECS实例作为路径中的目的资源。选择ECS实例后,您可以选择ECS实例的私网IP地址。如果不选择ECS实例的私网IP地址,默认分析ECS实例主IP地址。
    • 公网IP:输入公网IP地址作为路径中的目的资源。

      支持输入ECS实例的固定公网IP、弹性公网IP或非阿里云的公网IP。不支持源资源和目的资源都为非阿里云的公网IP。

    • 交换机:选择交换机作为路径中的目的资源。
    • 边界路由器:选择边界路由器作为路径中的目的资源。
    • 传统型负载均衡:选择CLB作为路径中的目的资源。
    协议 默认为TCP协议。支持选择以下协议:
    • TCP:传输控制协议。
    • UDP:用户数据报协议。
    • ICMP:网络控制报文协议。
    目的端口 输入目的资源的端口号,默认端口号为80,该参数非必填。如果该参数不填,路径分析会检测源资源到目的资源所有端口的连通性。

分析路径

  1. 路径分析页面,找到目标路径,然后在操作列单击开始分析
  2. 在弹出的对话框,单击确定
  3. 实例分析路径面板,查看分析结果。
    • 路径可访问或不可访问时,实例分析路径面板显示源资源到目的资源的访问状态及源资源到目的资源的各个节点。当路径不可访问时,还会显示异常错误码和错误信息。
    • 路径未知时,实例分析路径面板显示异常错误码和错误信息。

结果分析及错误码

路径分析的结果有以下几种情况。

  • 路径可访问
    下图展示了VPC内一个ECS实例到另一个ECS实例的路径分析结果,下图表示源ECS实例到目的ECS实例之间路径连通正常,可以访问。可访问
    • 单击路径中各个节点右侧的下拉箭头图标,可以查看各个节点的详细信息。
    • 开启查看反向路径开关,查看目的资源到源资源的路径分析结果。
  • 路径不可访问
    下图展示了某个VPC内ECS实例到另一个VPC内ECS实例的路径分析结果,错误码为nra.route.missmatch,错误信息为路由不可达,请核查路由配置,此时源ECS实例到目的ECS实例之间路径连通异常不可访问。不可访问
    • 单击路径中异常节点右侧的下拉箭头图标,可以查看异常节点的具体情况。
    • 路径异常时,无法查看反向路径的分析结果。
  • 路径状态未知

    下图展示了当发生异常时路径分析的结果,错误码为nra.unknown,错误信息为发生异常导致结果未知,此时无法查看反向路径。

    未知
路径分析结果异常的错误码和错误信息如下表所示。
错误码 错误信息
nra.resource.loopback 不允许源资源和目的资源相同。
nra.resource.unsupport 路径存在未支持的中间节点,暂不支持路径分析。
nra.resource.nonexist 资源不存在,请确认资源是否已删除。
nra.resource.status.abnormal 资源状态异常,请检查资源是否正常运行。
nra.route.missmatch 路由不可达,请核查路由配置。
nra.securitygroup.default.deny 未匹配到安全组规则,被默认规则拒绝。
nra.securitygroup.rule.deny 匹配到安全组丢弃规则。
nra.networkacl.default.deny 未匹配到网络ACL规则,被默认规则拒绝。
nra.networkacl.rule.deny 匹配到网络ACL丢弃规则。
nra.unknown 发生异常导致结果未知,请稍后重试。
nra.sys.error 服务内部异常,请稍后重试。
nra.clb.access.rule.deny 匹配用户指定CLB黑名单丢弃规则。
nra.clb.access.default.deny 未匹配CLB白名单规则默认丢弃。

删除历史分析

您可以在分析路径中删除不需要的历史分析记录。

  1. 路径分析页面,找到需要删除历史分析记录的路径,然后在路径ID列,单击路径ID。
  2. 在路径分析详情页面的历史分析区域,找到需要删除的历史分析记录,然后在操作列单击删除
  3. 在弹出的对话框,单击确定

删除路径

当您不需要检测某个路径的连通性时,您可以删除该路径。

  1. 路径分析页面,找到需要删除的目标路径,然后在操作列单击删除
  2. 在弹出的对话框,单击确定

相关操作

操作 步骤
查看历史路径分析 在路径分析详情页面历史分析区域,可以查看分析时间可访问性状态等信息。
重新发起路径分析 在路径分析详情页面,单击右上角的开始分析

新生成的分析记录会展示在历史分析列表中,您可以根据分析时间区分不同时间的分析结果。

常见问题

路径分析可以检查哪几类连通性问题?

路径分析主要检查网络配置和实例状态,包括网络实例的状态、ECS实例的安全组配置、VPC路由配置、网络ACL配置以及CLB访问控制。

为什么会提示“路径存在未支持的中间节点,暂不支持路径分析”的信息?

系统根据指定的源资源和目的资源所得到的路径不在当前版本支持的场景范围内,会显示此错误信息。例如,ECS实例通过NAT网关访问某一个公网IP地址时,由于系统不支持分析该场景,就会提示上述错误信息。

为什么会提示“匹配到安全组丢弃规则”的信息?

例如,您配置VPC2的ECS实例安全组只允许VPC1下VSW1网段的ECS实例访问,不允许VPC1下其他VSW网段的ECS实例访问。当您通过路径分析,选择VPC1下VSW2的ECS1作为源,选择VPC2下的ECS实例作为目的,就能在目的ECS实例的ENI上看到被安全组阻隔的问题,提示“匹配到安全组丢弃规则”错误信息。您可以修改安全组规则解决该问题。