实例诊断功能能够帮助您自助诊断实例的配置和运行状态,并提供诊断结果以及异常修复方案。本文介绍如何使用实例诊断功能以及具体的实例诊断项。
背景信息
实例诊断支持诊断的实例类型为:传统型负载均衡CLB(Classic Load Balancer)、应用型负载均衡ALB(Application Load Balancer)、NAT网关、弹性公网IP(Elastic IP Address,简称EIP)、全球加速GA(Global Accelerator)、VPN网关、虚拟边界路由器VBR(Virtual Border Router)、转发路由器TR(Transit Router)。
前提条件
诊断实例
- 登录网络智能服务管理控制台。
- 在左侧导航栏,选择 。
- 在实例诊断页面,单击创建实例诊断。首次诊断时,系统会自动为您创建一个服务关联角色(AliyunServiceRoleForNis)以完成相应的功能。关于AliyunServiceRoleForNis的更多信息,请参见服务关联角色。
- 在实例健康诊断对话框,配置实例的信息,然后单击开始诊断。
配置 说明 诊断类别 选择需要诊断的实例类型。 - 传统型负载均衡:诊断CLB实例。
- 应用型负载均衡:诊断ALB实例。
- NAT网关:诊断增强型公网NAT网关实例。
- 弹性公网IP:诊断EIP实例。
- 全球加速:诊断GA实例。
- VPN:诊断VPN网关实例
- 虚拟边界路由器:诊断VBR实例。
- 转发路由器:诊断TR实例。
地域 选择需要诊断的实例地域。 实例 选择所选地域的具体实例。 - 在实例诊断详情面板,查看实例的诊断进度、诊断结果统计以及具体的诊断详情。
例如,您选择诊断华北1(青岛)地域创建的CLB实例,该CLB实例尚未配置监听。经过诊断,实例诊断详情面板显示诊断结果为该实例部分诊断项结果异常,请及时修复!。
在实例诊断详情面板,您还可以执行以下操作:在诊断项详情区域选中显示全部诊断项,查看诊断实例的所有诊断项及诊断结果。很多信息,请参见实例诊断项。
- 可选:如果您查看的是EIP实例,需要进一步检查公网运营商问题,请根据以下操作,对EIP实例进行公网诊断。
- 在实例诊断详情页面的公网诊断区域,单击开始诊断。
- 在弹出的公网诊断对话框,选择访问区域,然后单击确定。
您可以根据选择的访问区域,检查中国内地运营商和非中国内地运营商到目标EIP的公网连通性。当出现访问异常时,系统会为您提供访问异常的可能原因,以及对应的排查方案和建议。 - 在实例诊断详情面板,单击关闭,返回实例诊断页面。在实例诊断页面,您可以执行以下操作。
- 查看报告
找到需要查看诊断报告的实例,在操作列单击查看报告,然后在实例诊断详情面板查看报告的具体内容。
- 重新诊断
当您需要重新诊断某个实例时,在操作列单击重新诊断。
- 查看实例诊断详情
单击实例ID,在实例诊断详情页面,查看诊断信息以及诊断报告记录。
在诊断报告记录区域,您可以执行以下操作。- 创建实例诊断1
单击创建实例诊断创建新的诊断。
- 删除单个诊断报告
在单个诊断报告的操作列单击删除,然后在弹出的对话框,单击确定,删除单个诊断报告。
- 批量删除诊断报告
选中多个诊断报告,单击列表下方的批量删除,然后在弹出的对话框,单击确定,删除多个诊断报告。
重要 如果删除了一个实例的全部诊断报告,实例诊断页面会删除该实例的诊断条目。
- 创建实例诊断1
- 查看报告
删除实例诊断
- 登录网络智能服务管理控制台。
- 在左侧导航栏,选择 。
- 在实例诊断页面,找到需要删除的单个实例诊断,然后在操作列单击删除。
- 在弹出的对话框,单击确定。
实例诊断项
- 致命:蓝色
- 严重:红色
- 一般:橙色
- 提示:黄色
- 通过:绿色
CLB实例诊断项及详情
诊断项分类 | 具体诊断项及说明 |
---|---|
健康检查诊断 |
|
闲置实例检测 | |
容量超限诊断 |
|
证书诊断 |
|
安全策略检测 |
|
费用诊断 |
|
监听诊断 | 访问异常检查:检查CLB实例的后端服务返回超时或异常码,导致整体访问异常。 |
ALB实例诊断项及详情
诊断项分类 | 具体诊断项及说明 |
---|---|
健康检查诊断 | ALB健康检查状态:分析ALB实例监听的健康检查状态。 |
证书诊断 | 证书有效期诊断:证书到期时间是否小于30天。关于ALB证书的更多信息,请参见管理证书。 |
容量超限诊断 |
|
配置诊断 |
|
安全策略检测 |
|
业务访问诊断 |
|
费用诊断 |
|
NAT网关实例诊断项及详情
诊断项分类 | 具体诊断项及说明 |
---|---|
连通性诊断 |
|
配置诊断 | |
容量超限诊断 |
|
费用诊断 |
|
EIP实例诊断项及详情
诊断项分类 | 具体诊断项及说明 |
---|---|
配置诊断 |
|
容量超限诊断 |
|
安全策略检测 |
|
费用诊断 |
|
EIP公网诊断结果
可能原因 | 排查建议 |
---|---|
被云上安全策略拦截 | 请排查是否被以下云上安全策略拦截:
|
绑定资源安全策略拦截 | 请排查是否被所绑定资源的安全策略拦截。 例如绑定ECS实例时,您可以检查ECS实例的iptables规则、系统防火墙策略限制、第三方安全防护软件等,同时检查网卡驱动是否安装正确。您可以对ECS实例进行网络连通性诊断,帮助您进行排查,更多信息,请参见诊断网络连通性和网络连通性诊断项说明。 绑定了其他云资源时,请参见对应云产品安全策略配置相关的文档。 |
运营商封禁 | 完成云上安全策略及绑定资源安全策略排查后,如果还是无法访问EIP,考虑运营商可能对EIP进行了封禁。 您可以通过EIP实例诊断功能对EIP进行公网诊断,查看访问异常的地域。具体操作,请参见EIP实例诊断。 |
GA实例诊断项及详情
诊断项分类 | 具体诊断项及说明 |
---|---|
配置诊断 |
|
容量超限诊断 |
|
证书诊断 | 证书到期检查:检查HTTPS监听证书到期时间是否小于60天。 关于全球加速证书的更多信息,请参见绑定和管理证书。 |
安全策略检测 |
|
费用诊断 |
|
业务访问诊断 |
关于终端节点健康检查更多信息,请参见开启和管理健康检查 |
VPN实例诊断及详情
诊断项分类 | 诊断项 | 诊断项说明 |
---|---|---|
配置诊断 | 实例配置检查 | 检查VPN网关实例是否处于配置状态。 如果VPN网关实例处于配置状态,请等待VPN网关实例变为正常状态后再操作。 |
版本检查 | 检查VPN网关实例的版本是否为最新版本。 建议您将VPN网关版本自助升级至最新版以体验更多功能。具体操作,请参见升级VPN网关。 | |
隧道协商状态检查 | 检查VPN网关实例下每个IPsec连接第一阶段和第二阶段的协商状态。 如果系统检测到IPsec连接协商状态异常,您可以根据控制台提供的建议排查问题或参见相关文档排查问题。更多信息,请参见自主排查IPsec-VPN连接问题。 | |
VPN隧道配置完整性检查 | 检查VPN网关实例下IPsec-VPN连接是否已经完成IPsec连接的配置或SSL-VPN连接是否已经完成SSL服务端的配置。 如果系统检测到VPN网关实例缺少配置,请您根据网络互通需求添加相关配置:
| |
系统网段冲突检查 | 检查VPN网关实例下策略路由、目的路由和BGP路由的目标网段是否与100.64.0.0/10网段冲突。 100.64.0.0/10是阿里云系统网段,需确保VPN网关实例下策略路由、目的路由和BGP路由的目标网段不与100.64.0.0/10(包含其子网)网段冲突,否则会造成VPN网关实例无法正常工作。 如果系统检测到系统网段冲突,请修改网段配置或使用NAT网关产品进行地址转换。更多信息,请参见VPC NAT网关联动VPN网关实现云上与云下私网互访。 | |
SSL虚连接检查 | 检查VPN网关实例下是否存在不可靠的SSL-VPN连接。 SSL服务端使用UDP协议存在不可靠连接占用连接数的情况,建议修改SSL服务端协议为TCP,使用TCP协议可以规避该问题,且TCP协议可靠性更好。具体操作,请参见修改SSL服务端。 | |
VPC内网段冲突检查 | 检查SSL服务端配置的本端网段和客户端网段是否与VPC下交换机的网段冲突。 如果系统检测到网段冲突,建议修改SSL服务端的网段配置。具体操作,请参见修改SSL服务端。 | |
网段不足检查 | 检查SSL服务端配置的客户端网段包含的IP地址数量是否可以满足SSL-VPN连接数的需求。 如果系统检测到客户端网段IP地址不足,请修改客户端网段。具体操作,请参见修改SSL服务端。 需确保您指定的客户端网段所包含的IP地址个数是SSL-VPN连接数的4倍及以上。 例如:您指定的客户端网段为192.168.0.0/24,系统在为客户端分配IP地址时,会先从192.168.0.0/24网段中划分出一个子网掩码为30的子网段,例如192.168.0.4/30,然后从192.168.0.4/30中分配一个IP地址供客户端使用,剩余三个IP地址会被系统占用以保证网络通信,此时一个客户端会耗费4个IP地址。因此,为保证您的客户端均能分配到IP地址,请确保您指定的客户端网段所包含的IP地址个数是SSL-VPN连接数的4倍及以上。 | |
公网地址冲突检查 | 检查SSL服务端的客户端网段配置为公网网段时,该公网网段是否被指定为VPC的用户网段。 如果系统检测到SSL服务端的客户端网段为公网网段时,您需要将该公网网段设置为VPC的用户网段。关于用户网段的更多信息,请参见什么是用户网段?和如何配置用户网段?。 | |
BGP一致性检查 | 检查IPsec连接是否存在第二阶段协商成功但BGP协议协商失败的情况。 如果系统检测到IPsec连接存在上述情况,请排查IPsec连接BGP配置及BGP协议报文收发情况。更多信息,请参见IPsec连接状态为“第二阶段协商成功”,但BGP路由协议的协商状态为“异常”怎么办?。 | |
容量超限诊断 | VPN网关带宽使用率检查 | 检查VPN网关实例的带宽利用率是否已达VPN网关实例带宽规格的80%。 如果VPN网关实例的带宽利用率已达VPN网关实例带宽规格的80%,您可以根据实际网络需求提升VPN网关实例带宽规格。具体操作,请参见变配VPN网关实例。 |
VPN连接数检查 | 检查VPN网关实例下的SSL-VPN连接数是否已达VPN网关实例SSL-VPN连接数规格的80%。 如果VPN网关实例下的SSL-VPN连接数已达VPN网关实例SSL-VPN连接数规格的80%,您可以根据实际网络需求提升VPN网关实例SSL-VPN连接数规格。具体操作,请参见修改SSL并发连接数。 | |
费用诊断 | 欠费状态告警 | 检查VPN网关实例是否处于欠费状态。 |
欠费到期预警 | 检查VPN网关实例是否将在7天内到期。 如果系统检测到VPN网关实例将在7天内到期,请及时为VPN网关实例续费。具体操作,请参见续费VPN网关实例。 | |
路由诊断 | 未发布路由检查 | 检查VPN网关实例下是否存在未发布的策略路由或目的路由。 如果系统检测到VPN网关实例存在未发布的策略路由或目的路由,请根据网络互通需求发布路由或删除路由。具体操作,请参见发布策略路由、删除策略路由、发布目的路由和删除目的路由。 |
BGP欠佳配置检查 | 在IPsec-VPN连接使用BGP动态路由协议的情况下,检查VPN网关实例的BGP配置是否为最佳。
| |
VPN路由配置完整性检查 |
| |
目的路由间冲突检查 | 检查VPN网关实例下目的路由的目标网段之间是否有重叠。 如果系统检测到目的路由的目标网段之间有重叠,请删除目的路由重新创建,确保目的路由的目标网段之间没有重叠。具体操作,请参见使用目的路由。 您也可以使用BGP动态路由协议实现组网。更多信息,请参见建立VPC到本地数据中心的连接(BGP动态路由)。 | |
策略路由间冲突检查 | 检查VPN网关实例下策略路由的目标网段之间是否有重叠。 如果系统检测到策略路由的目标网段之间有重叠,请删除策略路由重新创建,确保策略路由的目标网段之间没有重叠。具体操作,请参见使用策略路由。 您也可以使用BGP动态路由协议实现组网。更多信息,请参见建立VPC到本地数据中心的连接(BGP动态路由)。 | |
BGP路由冲突检查 |
如果BGP路由的目标网段与其他路由的目标网段重叠,请根据控制台建议进行操作。 | |
vpc路由与vpn路由匹配检查 | 检查VPC路由表中指向VPN网关实例的路由的目标网段是否与VPN网关实例下策略路由的目标网段有重叠。 需确保策略路由的目标网段包含VPC路由表中指向VPN网关实例的路由的目标网段。 如果系统检测到当前配置不满足需求,您需要修改策略路由的目标网段,请先删除策略路由然后重新创建。具体操作,请参见使用策略路由。 |
VBR实例诊断及详情
诊断项分类 | 具体诊断项及说明 |
---|---|
健康检查诊断 |
|
配置诊断 |
|
容量超限诊断 |
|
费用诊断 |
|
TR实例诊断及详情
诊断项分类 | 诊断项 | 诊断项说明 |
---|---|---|
配置诊断 | 跨域限速配置检查 | 检查当前转发路由器下的跨地域连接是否配置了限速带宽。 |
路由学习检查 | 检查转发路由器下的网络实例连接是否与转发路由器路由表建立了路由学习关系。 如果转发路由器下的网络实例连接不需要和转发路由器路由表建立路由学习关系,请确保转发路由器路由表下存在去往网络实例的静态路由,否则转发路由器无法将流量转发至网络实例。 关于路由学习的更多信息,请参见路由学习。 | |
关联转发检查 | 检查转发路由器下的网络实例连接是否与转发路由器路由表建立了关联转发关系。 关于关联转发的更多信息,请参见关联转发。 | |
网络ACL配置检查 | 检查VPC实例下用于连接转发路由器的交换机所属的网段在网络ACL中是否是允许通行的。 关于网络ACL的更多信息,请参见网络ACL概述。 | |
路由自动发布开关检查 | 检查VBR连接和跨地域连接是否打开了自动发布路由的开关。 如果需要VBR实例可以自动学习到转发路由器侧的路由,本端转发路由器可以学习到对端转发路由器侧的路由,VBR连接和跨地域连接需要需打开自动发布路由的开关。 | |
容量超限诊断 | 路由数量检查 | 检查转发路由器路由表下的路由条目数量是否已经达到路由条目配额的80%。 每个转发路由器路由表下支持的路由条目数量为2000条。 |
子宽带跨域限速丢包 | 检查跨地域连接下每个流量调度队列的带宽利用率是否已达80%。 | |
宽带跨域限速丢包 | 检查跨地域连接的带宽利用率是否已达80%。 | |
跨地域连接限速丢弃检查 | 检查最近15分钟内跨地域连接是否存在限速丢包的情况。 | |
跨地域连接的流量调度队列限速丢弃检查 | 检查最近15分钟内跨地域连接的流量调度队列是否存在限速丢包的情况。 | |
费用诊断 | 欠费状态预警 | 检查云企业网绑定的带宽包实例是否处于欠费状态。 |
欠费状态告警 | 检查云企业网绑定的带宽包实例是否将在7天内到期。 | |
路由诊断 | 网络连接实例路由冲突检查 | 检查转发路由器下网络实例之间是否存在路由冲突的问题。 |
VPC目的路由与TR目的路由匹配度检查 | 检查转发路由器下VPC实例的路由表中指向转发路由器的所有路由的目标网段是否可以覆盖转发路由器路由表(指VPC连接关联的转发路由器路由表)下所有路由的目标网段。 |
常见问题
实例诊断是否支持诊断实例历史时间的状态?
不支持。
实例诊断只支持实例状态的实时诊断,暂不支持对历史时间的实例状态进行诊断,且实例诊断的检测数据会从当前时刻向前检测15分钟。
例如,某个EIP实例在当日09:00:00由于异常原因导致不通,在09:30:00恢复正常,如果您在10:00:00发起对该EIP实例的诊断,则您只能诊断09:45:00~10:00:00期间的实例状态,无法诊断09:00:00~9:30:00期间的异常原因。
CLB实例的监听已经配置了健康检查,为什么诊断结果显示为状态异常?实例诊断功能是否能诊断具体的异常原因?
实例诊断支持诊断CLB实例所有监听的健康检查。如果CLB实例未配置健康检查或健康检查状态异常都会被诊断为异常。
CLB健康检查状态异常的可能原因较多,实例诊断提供了“进一步诊断”功能。例如您CLB后端服务器未在监听端口启动服务,或在CLB后端服务器的操作系统进行网络过滤配置(例如iptables等),您都可以使用“进一步诊断”功能诊断具体的异常原因。
为什么部分CLB的后端服务器不支持进一步诊断?
当前进一步诊断功能仅支持对CentOS、Ubuntu和Alibaba Cloud三种Linux系统的CLB后端服务器诊断,其他系统(包括Windows)的CLB后端服务器暂不支持该功能。
EIP实例诊断的典型使用场景是什么?
- 由于该EIP被DDoS攻击,达到了实例基础防护阈值后处于DDoS黑洞状态。
- 该EIP由于存在违规行为被安全部门封禁。
- 该EIP对应的带宽包阈值达到了高点影响EIP的正常转发。