• 首页 > 
  • ECS实例间ping不通的排查思路

ECS实例间ping不通的排查思路

KB: 185314

 · 

更新时间:2020-11-11 15:18

概述

本文主要介绍专有网络ECS间ping不通的排查思路。

详细信息

以下是专有网络ECS间ping不通的排查大纲示意图。

以下是专有网络ECS间ping不通的排查步骤:

  1. 确认源和目的地址、实例ID
  2. 检查VPC层面路由相关配置
  3. 检查安全策略相关配置
  4. 检查ECS内部配置

步骤一:确认源和目的地址、源和目的实例ID

获取源ECS实例和目的ECS的实例ID、IP地址,以便后续步骤使用。

步骤二:检查VPC层面路由相关配置

检查VPC层面路由相关配置分为同VPC场景和跨VPC场景,以下是具体内容:

  • 同VPC场景:一般情况下,不存在路由问题,可以忽视该场景的隐患。
  • 跨VPC场景:分为云企业网互通场景和对等链接互通场景。
    • 云企业网互通场景下需要关注VPC路由表是否冲突,同时关注是否未将VSW的路由发布到云企业网中。
    • 对等链接场景需要排查是否正确的添加了VPC路由指向正确的路由器接口。

步骤三:检查安全策略相关配置

检查安全策略相关配置分为同VPC场景和跨VPC场景,以下是具体内容:

  • 同VPC场景:需要检查以下两点:
    • ECS互通的前提是在同一安全组下,或在不同安全组下放通彼此的IP地址,安全组相互授权,请确认企业安全组出方向默认为deny。
    • 确认在使用网络ACL场景下,网络ACL的出入方向需要放通彼此的网段或IP地址。
  • 跨VPC场景:需要检查以下三点:
    • 需要在安全组中放通对方的IP地址或IP地址段,请确认企业安全组出方向默认为deny。
    • 若使用网络ACL,网络ACL的出入方向需要放通彼此的网段或IP地址。
    • 若使用云防火墙-VPC边界防火墙,需要注意访问控制的设置。

步骤四:检查ECS内部配置

  1. 不同操作系统进行以下排查操作:
    • Linux系统中排查ECS内部是否有iptables的drop相关策略。
    • Windows系统中排查是否允许的ICMP回显功能。
  2. 排查系统内是否配置了三方VPN软件、安全软件,吸走流量或者对ICMP存在限制。
  3. 排查是否有自建Docker等,在系统内将远端的路由引流到容器内。

适用于

  • 专有网络VPC