ECS实例间ping不通的排查思路

概述

本文主要介绍专有网络ECS间ping不通的排查思路。

详细信息

以下是专有网络ECS间ping不通的排查大纲示意图。

以下是专有网络ECS间ping不通的排查步骤：

1. 确认源和目的地址、实例ID
2. 检查VPC层面路由相关配置
3. 检查安全策略相关配置
4. 检查ECS内部配置

步骤一：确认源和目的地址、源和目的实例ID

获取源ECS实例和目的ECS的实例ID、IP地址，以便后续步骤使用。

步骤二：检查VPC层面路由相关配置

检查VPC层面路由相关配置分为同VPC场景和跨VPC场景，以下是具体内容：

• 同VPC场景：一般情况下，不存在路由问题，可以忽视该场景的隐患。
• 跨VPC场景：分为云企业网互通场景和对等链接互通场景。
  • 云企业网互通场景下需要关注VPC路由表是否冲突，同时关注是否未将VSW的路由发布到云企业网中。
  • 对等链接场景需要排查是否正确的添加了VPC路由指向正确的路由器接口。

步骤三：检查安全策略相关配置

检查安全策略相关配置分为同VPC场景和跨VPC场景，以下是具体内容：

• 同VPC场景：需要检查以下两点：
  • ECS互通的前提是在同一安全组下，或在不同安全组下放通彼此的IP地址，安全组相互授权，请确认企业安全组出方向默认为deny。
  • 确认在使用网络ACL场景下，网络ACL的出入方向需要放通彼此的网段或IP地址。
• 跨VPC场景：需要检查以下三点：
  • 需要在安全组中放通对方的IP地址或IP地址段，请确认企业安全组出方向默认为deny。
  • 若使用网络ACL，网络ACL的出入方向需要放通彼此的网段或IP地址。
  • 若使用云防火墙-VPC边界防火墙，需要注意访问控制的设置。

步骤四：检查ECS内部配置

1. 不同操作系统进行以下排查操作：
   • Linux系统中排查ECS内部是否有iptables的drop相关策略。
   • Windows系统中排查是否允许的ICMP回显功能。
2. 排查系统内是否配置了三方VPN软件、安全软件，吸走流量或者对ICMP存在限制。
3. 排查是否有自建Docker等，在系统内将远端的路由引流到容器内。

适用于

• 专有网络VPC