实例诊断功能能够帮助您自助诊断实例的配置和运行状态,并提供诊断结果以及异常修复方案。本文介绍如何使用实例诊断功能以及具体的实例诊断项。

背景信息

实例诊断支持诊断的实例类型为:CLB、增强型公网NAT网关以及EIP。

前提条件

使用实例诊断前,您已经创建了需要诊断的实例。具体操作,请参见:

诊断实例

  1. 登录网络智能服务管理控制台
  2. 在左侧导航栏,选择自助诊断 > 实例诊断
  3. 实例诊断页面,单击创建实例诊断
    首次诊断时,系统会自动为您创建一个服务关联角色(AliyunServiceRoleForNis)以完成相应的功能。关于AliyunServiceRoleForNis的更多信息,请参见服务关联角色
  4. 实例健康诊断对话框,配置实例的信息,然后单击开始诊断
    配置 说明
    诊断类别 选择需要诊断的实例类型。
    • 传统型负载均衡:诊断CLB实例。
    • NAT网关:诊断增强型公网NAT网关实例。
    • 弹性公网IP:诊断EIP实例。
    地域 选择需要诊断的实例地域。阿里云全部地域的CLB、增强型公网NAT网关以及EIP实例均可以选择。
    实例 选择所选地域的具体实例。
  5. 实例诊断详情面板,查看实例的诊断进度、诊断结果统计以及具体的诊断详情。
    例如,您选择诊断华北1(青岛)地域创建的CLB实例,该CLB实例尚未配置监听。经过诊断,实例诊断详情面板显示诊断结果为该实例部分诊断项结果异常,请及时修复!。在实例诊断详情面板,您还可以执行以下操作:
    • 诊断项详情区域单击闲置实例检测左侧展开图标,展开诊断项详情,系统提示监听为空,您可以查看具体的问题及修复建议。
    • 诊断项详情区域选中显示全部诊断项,查看该CLB实例的所有诊断项及诊断结果。
  6. 实例诊断详情面板,单击关闭,返回实例诊断页面。
    实例诊断页面,您可以执行以下操作。
    • 查看报告

      找到需要查看诊断报告的实例,在操作列单击查看报告,然后在实例健康诊断面板查看报告的具体内容。

    • 重新诊断

      当您需要重新诊断某个实例时,在操作列单击重新诊断

    • 查看实例诊断详情

      单击实例ID,在实例诊断详情页面,查看基本信息诊断信息以及诊断报告记录

      诊断报告记录区域,您可以执行以下操作。
      • 单击创建实例诊断创建新的诊断。
      • 选中单个诊断报告,在操作列,单击删除,然后在弹出的对话框,单击确定,删除单个诊断报告。
      • 选中多个诊断报告,单击列表下方的批量删除,然后在弹出的对话框,单击确定,删除多个诊断报告。

        如果删除了实例的全部诊断报告,实例诊断页面会删除该实例的诊断条目。

删除实例诊断

  1. 登录网络智能服务管理控制台
  2. 在左侧导航栏,选择自助诊断 > 实例诊断
  3. 实例诊断页面,找到需要删除的单个实例诊断,然后在操作列单击删除
  4. 在弹出的对话框,单击确定

实例诊断项

您可以在下列表格中查看实例诊断项及具体说明。
表 1. CLB实例诊断项及详情
诊断项分类 具体诊断项及说明
健康检查诊断
  • 健康检查是否配置:检查CLB实例的监听是否配置了健康检查。
  • 健康检查异常监测:检查CLB实例的监听健康检查是否存在异常。
关于CLB健康检查的更多信息,请参见健康检查概述
闲置实例检测
  • 监听为空:检查CLB实例是否已经配置了监听。关于CLB监听的更多信息,请参见监听概述
  • 后端服务器为空:检查CLB实例是否已经配置了后端服务器。关于CLB后端服务器的更多信息,请参见后端服务器概述
容量超限诊断
  • 带宽限速丢包:检查CLB实例是否因带宽超限而产生丢包。
  • 最大支持连接数:检查CLB实例是否存在丢弃连接或并发连接数超85%限额 。
  • 最大新建连接数:检查CLB实例是否存在丢弃连接或新建连接数超85%限额。
  • 最大每秒查询数:检查CLB实例是否存在查询请求丢弃或查询请求水位超过85%限额。
证书诊断
  • HTTPS监听未配置证书:检查CLB实例的HTTPS监听是否配置了证书。
  • HTTPS监听存在过期证书:检查CLB实例的HTTPS监听的证书到期时间是否小于60天。
关于CLB证书的更多信息,请参见证书概述
安全策略检测
  • 实例访问控制:检查CLB实例是否配置了ACL白名单或黑名单。
  • DDoS基础防护状态:检查EIP相关网络行为是否被DDoS防护。
  • 云防火墙拦截:检查EIP相关网络行为是否被云防火墙防护。
  • 安全管控处罚:检查EIP相关网络行为是否被云盾安全管控处罚。
  • 风控锁定:检查CLB实例是否被风控锁定。
费用诊断
  • 欠费状态告警:检查CLB实例是否已经欠费。
  • 欠费到期预警:检查CLB实例是否处于到期前15天的预警状态。
监听诊断 访问异常检查:检查CLB实例的后端服务返回超时或异常码,导致整体访问异常。
表 2. NAT网关实例诊断项及详情
诊断项分类 具体诊断项及说明
连通性诊断
  • 限速丢包:检查NAT网关实例是否因为超规格使用而导致限速丢包。
  • SNAT源端口分配失败检查:检查SNAT源端口分配是否成功。

    访问同一个目的IP和端口的并发连接数超过绑定公网NAT网关的一个EIP提供的端口数量支持的最大并发连接数时,会导致新建失败。您可以将多个EIP加入同一个SNAT地址池中,以支持更大的并发连接数。具体操作,请参见创建SNAT IP地址池

配置诊断
  • 路由缺失检查:检查NAT网关实例所在VPC路由表中是否存在路由指向NAT网关的路由条目。
  • 实例状态检查:检查NAT网关实例的状态是否正常。
  • SNAT和DNAT规则配置检查:检查NAT网关实例是否配置SNAT条目或者DNAT条目。
  • EIP绑定状态检查:检查NAT网关实例是否已经绑定了EIP实例。
容量超限诊断
  • NAT网关实例流量处理率检测:检查NAT网关实例的流量处理率是否正常。
  • NAT实例并发连接利用率监测:检查NAT网关实例的并发连接利用率是否正常。
费用诊断
  • 欠费到期预警:检查NAT网关实例是否处于到期前15天的预警状态。
  • 欠费状态告警:检查NAT网关实例是否已经欠费。
表 3. EIP实例诊断项及详情
诊断项分类 具体诊断项及说明
配置诊断
  • 实例业务状态检查:检查EIP实例的业务状态是否正常。
  • EIP分配状态检查:检查EIP实例是否已经被绑定到云资源。
容量超限诊断
  • EIP带宽水位高:检测EIP实例的带宽水位是否正常。
  • EIP带宽限速丢包:检查EIP实例是否存在由于带宽超限而导致的丢包。
安全策略检测
  • DDoS基础防护状态:检查EIP实例的相关网络行为是否被DDoS防护。
  • 云防火墙拦截:检查EIP实例的相关网络行为是否被云防火墙拦截。
  • 安全管控处罚:检查EIP实例的相关网络行为是否被云盾安全管控处罚。
  • 风控锁定:检查EIP实例是否被风控锁定。
费用诊断
  • 欠费状态告警:检查EIP实例是否已经欠费。
  • 欠费到期预警:检查EIP实例是否处于到期前15天的预警状态。

常见问题

实例诊断是否支持诊断实例历史时间的状态?

不支持。

实例诊断只支持实例状态的实时诊断,暂不支持对历史时间的实例状态进行诊断,且实例诊断的检测数据会从当前时刻向前检测15分钟。

例如,某个EIP实例在当日09:00:00由于异常原因导致不通,在09:30:00恢复正常,如果您在10:00:00发起对该EIP实例的诊断,则您只能诊断09:45:00~10:00:00期间的实例状态,无法诊断09:00:00~9:30:00期间的异常原因。

CLB实例的监听已经配置了健康检查,为什么诊断结果显示为状态异常?实例诊断功能是否能诊断具体的异常原因?

实例诊断支持诊断CLB实例所有监听的健康检查。如果CLB实例未配置健康检查或健康检查状态异常都会被诊断为异常。

CLB健康检查状态异常的可能原因较多,实例诊断提供了“进一步诊断”功能。例如您CLB后端服务器未在监听端口启动服务,或在CLB后端服务器的操作系统进行网络过滤配置(例如iptables等),您都可以使用“进一步诊断”功能诊断具体的异常原因。

为什么部分CLB的后端服务器不支持进一步诊断?

当前进一步诊断功能仅支持对CentOS、Ubuntu和Alibaba Cloud三种Linux系统的CLB后端服务器诊断,其他系统(包括Windows)的CLB后端服务器暂不支持该功能。

EIP实例诊断的典型使用场景是什么?

公网访问某ECS实例绑定的EIP不通时,您可以通过对ECS实例绑定的EIP诊断来发现原因,并根据具体的诊断项及建议分析解决异常。可能有以下几种原因:
  • 由于该EIP被DDoS攻击,达到了实例基础防护阈值后处于DDoS黑洞状态。
  • 该EIP由于存在违规行为被安全部门封禁。
  • 该EIP对应的带宽包阈值达到了高点影响EIP的正常转发。