建立ClassicLink连接后经典网络和VPC网络不通的排查思路

问题描述

开启ClassicLink功能，建立ClassicLink连接后，经典网络的ECS实例和专有网络内的云资源无法通信。

排查思路

排查流程图如下：

经典网络与专有网络互通问题排查思路主要分以下几种场景：

经典网络ECS与专有云网络ECS互访排查步骤

1. 确认ClassicLink功能的使用前提条件，ClassicLink的使用限制和使用场景请参见ClassicLink概述。
2. 检查ClassicLink的配置。
   1. 检查VPC是否开启ClassicLink功能，如未开启，请参见开启ClassicLink功能，开启即可。
   2. 确认经典网络ECS设置的专有云网络链接状态选择了正确的VPC。
3. 检查ECS的安全组。
   • 如果使用“添加ClassicLink安全组”，请注意授权方式的方向，建议使用“相互授权访问”。
   • 如果未使用“添加ClassicLink安全组”，请检查经典网络ECS和专有网络ECS安全组入方向是否允许对方的IP地址。
4. 执行以下命令，检查ECS的路由配置。确认ECS实例内是否存在自建Docker、VPN软件，导致ECS内路由被修改。
   • Windows系统：route print
   • Linux系统：route -ne
5. 检查专有云网络的云企业网配置。确认专有网络VPC所在的云企业网内其他的VPC是否存在和经典网络ECS IP冲突的交换机，如有经典网络ECS无法和专有网络互通，请将冲突的其他VPC从CEN实例中解绑。

经典网络ECS访问专有网络RDS排查步骤

1. 参见经典网络ECS与专有云网络ECS互访排查步骤。
2. 检查RDS的白名单配置。
   

   注意：专有网络RDS的白名单对于经典网络ECS需要允许混合云或者VPC的访问，而非经典网络。

解决方案

1. 在排查问题前需要收集以下信息：
   • 经典网络ECS实例的ID。
   • VPC网络ECS实例的ID、云服务实例ID。
   • 确认是使用ping命令测试不通还是业务端口不通。
2. 在建立ClassicLink连接后，检查安全组允许访问的策略配置，确认在内网入方向分别添加了对端ECS内网IP。

3. 在云服务器管理控制台中，查看ECS实例列表，检查是否做了将经典网络ECS连接到VPC的操作。
   
   

   • 连接状态为未连接：说明未做将经典网络ECS连接到VPC的操作。
   • 连接状态为已连接：说明做了将经典网络ECS连接到VPC的操作，可以查看到具体和哪个VPC建立的连接。
4. 在经典网络ECS实例内部路由配置的VPC网络，网段是192.168.0.0/16，那么在ECS实例内部需要添加到192.168.0.0/16网段的路由，指向到内网网关。
   

   注意：早期的ECS实例内部是有192.168.0.0/16网段的内网路由，目前新的ECS实例是没有这条路由的，所以排查时也要进行检查。

5. 检查ECS内部的安全策略配置、路由配置、自建Docker、第三方VPN等配置是否会限制或者将流量引导到第三方，该情况需要关闭ECS内相关策略。
6. 其他可能导致不通的原因如下：
   • 专有网络加入云企业网，云企业网内其他VPC存在比ClassicLink的10.0.0.0/8更明细的路由，并且包含经典网络ECS的私网网段。
   • 若VPC的网段是10.0.0.0/8，需要确保和经典网络ECS进行通信VPC的交换机使用的网段在10.111.0.0/16网段内。
7. 经典网络ECS访问专有网络RDS场景，RDS需要在VPC或混合白名单中允许经典网络ECS的私网IP地址。

相关文档

• 建立ClassicLink
• 云数据库RDS-设置白名单

适用于

• 专有网络VPC