本文汇总了用户在使用专有网络VPC时遇到的常见问题,旨在帮助您快速解决问题、理解产品能力或优化您的网络架构。
网络连通问题
网络规划设计问题
网段配置问题
专有网络与交换机删除问题
路由问题
网络运维与监控问题
计费问题
网络连通问题
如何实现不同VPC互连,从而实现不同VPC中的资源互访?
使用对等连接或云企业网CEN,均可实现同账号/跨账号、同地域/跨地域的VPC互连。二者区别,可参考VPC互连。
VPC对等连接不通如何排查?
可参考以下排查思路。您可以使用网络智能服务-路径分析工具,协助进行诊断。
查路由:
确保对等连接状态是“已激活”。
检查两端的交换机路由表,是否都正确配置了指向对方VPC网段的路由,且下一跳是对等连接实例。
查安全组&网络ACL:
检查源端ECS和目的端ECS(或RDS等)所属的安全组和网络ACL规则。
确保目的端的安全组和网络ACL的入方向规则,允许了来自源端VPC网段的流量(或具体的源IP)访问所需的服务端口。
确保源端的安全组和网络ACL的出方向规则没有限制流量发出。
查网段冲突:
检查两端VPC的网段是否有重叠。使用VPC对等连接时,建议两端VPC的网段不要重叠。
特别注意检查ECS实例内的Docker/K8s容器网段,是否与对端VPC的网段冲突。这是个非常隐蔽且常见的原因。如果冲突,即使路由和安全组、网络ACL都正确,网络也不通。
对等连接配置时网段冲突如何解决?
如果两个需要互通的VPC网段冲突,您有以下几种选择:
重新规划网络(推荐方案):将其中一个VPC内的资源迁移到一个新的、网段不冲突的VPC中。这是最彻底的解决方案。
使用云企业网(CEN)和VPC NAT网关:对于更复杂的网段冲突场景,可以使用CEN结合VPC NAT网关的私网NAT功能,将一个VPC的地址映射成另一个地址段,再进行通信。此方案架构复杂,成本也更高。可参考:通过VPC NAT网关实现VPC地址冲突时的私网访问。
添加对等连接后部分IP无法访问如何排查?
这种情况通常是由于更精细的路由或安全组规则导致的。
路由问题:检查两端的路由表。是否存在一条更具体、优先级更高的路由(最长前缀匹配原则),将流量引到了其他地方(例如默认路由指向了NAT网关)。
安全组问题:检查目的端安全组的入方向规则,是否只允许了部分源IP的访问。
网络ACL问题:检查网络ACL是否只允许了部分子网的流量。
对等连接为什么发起端可以ping通接收端,但反向ping不通?
单向连通通常是由于非对称配置引起的。请重点排查两端ECS实例的安全组&网络ACL规则,是否允许出方向流量和入方向流量通行。
我建立了A到B和B到C的VPC对等连接,为什么A和C无法通信?
VPC对等连接不具备路由传递性。
这意味着:如果VPC-A与VPC-B建立对等连接,同时VPC-B与VPC-C建立对等连接,那么VPC-A和VPC-C之间是无法通过VPC-B进行通信的。
如果需要实现多VPC之间的全互通(例如构建星型或网状网络拓扑),请使用云企业网CEN产品。
为什么VPC对等连接已经建立,但我还是无法访问对方的RDS/Redis等云服务?
这个问题与ECS不通类似,但在排查时需要额外关注云服务自身的访问控制。
完成基础连通性排查:按照VPC对等连接不通排查思路的 checklist 检查路由、网段、安全组和网络ACL配置,确保网络链路是通的。
检查云服务IP白名单:大部分数据库和缓存服务(如RDS、Redis、MongoDB)都有IP白名单功能。您必须将发起访问的ECS实例的私网IP地址或者其所在的网段,添加到目标云服务的白名单中。
VPC对等连接是否支持跨账号和跨地域?
支持。注意跨地域使用时,会统一由云数据传输CDT按出向流量收取流量传输费。
注意跨站点不支持,例如中国站与国际站的VPC无法互通。
IPv4网关删除后公网为什么无法访问?
最常见的原因是删除IPv4网关时,选择了“私网模式”,而不是“公网模式”。选择私网模式删除后,VPC内部所有资源将全部无法与公网互通。
如果VPC需要恢复到没有IPv4网关且可以公网访问的状态,您可以重新创建IPv4网关,然后删除IPv4网关并选择“公网模式”。详细逻辑可参考IPv4网关。
同VPC下主网段内的ECS实例与附加网段内的ECS实例是否可以互通?
主网段与附加网段的ECS实例均属于VPC内的实例。如果安全组和网络ACL规则允许通行,则可以互通。
VPC开启ClassicLink功能后,经典网络ECS实例是否可以与VPC附加网段内的云资源互通?
不支持,附加网段不兼容ClassicLink功能。
为什么绑定HaVip后VIP无法漂移?
当主节点故障后,Vip无法自动漂移到备用节点,是HaVip配置中最常见的问题。原因通常有以下几点:
Keepalived服务未启动:以CentOS 7.9为例,执行
systemctl status keepalived检查服务启动情况。如果未启动,可以执行systemctl start keepalived启动Keepalived。Keepalived配置错误:检查
keepalived.conf配置文件是否配置错误,例如:主备节点的
virtual_router_id不一致。主备节点的
authentication不一致。unicast_peer中指定的对端IP地址不正确。virtual_ipaddress中指定的虚拟IP地址不是HaVip地址。
安全组或网络ACL拦截:检查安全组或网络ACL规则是否拦截了请求源IP的相关流量。
实例内防火墙:检查ECS实例内部的防火墙(如firewalld, iptables)是否拦截了请求源IP的相关流量。
为什么添加路由后网络还是不通?
添加了正确的路由只是网络连通的前提之一。如果不通,请按以下步骤系统排查:
路由双向检查:确保请求方向和响应方向的路由都已正确配置。例如,VPC对等连接必须在两端都配置路由。
安全组规则:检查源端和目的端ECS实例所属的安全组,是否放行了相应协议和端口的流量(例如
ping需要放行ICMP协议)。网络ACL规则:如果您配置了网络ACL,请检查其出站和入站规则是否允许相关流量通过。
ECS内部防火墙:检查ECS实例操作系统内部的防火墙(如Linux的
iptables/firewalld,Windows的防火墙)是否拦截了流量。网段冲突:检查是否存在网络地址冲突,例如ECS上的Docker网段与对端VPC网段冲突。
使用路径分析工具:在控制台使用网络智能服务-路径分析工具,可以帮助您可视化地诊断两点之间的网络连通性。
ECS绑定EIP后无法访问公网怎么办?
请按以下步骤检查:
IPv4网关和VPC路由表:如果VPC启用了IPv4网关,检查ECS所在交换机的路由表,是否有一条指向IPv4网关的默认路由(
0.0.0.0/0)。安全组规则:检查ECS所属安全组的出方向规则。默认情况下,出方向规则是全部允许(
0.0.0.0/0)。请确认没有错误地限制了出方向的访问。网络ACL规则:如果您为交换机配置了网络ACL,请检查其出站规则是否允许流量流出。
欠费:检查您的阿里云账户是否欠费,欠费可能会导致EIP无法使用。
ECS内部网络配置:确认ECS操作系统内的网络配置(如网关、DNS)是否正确。通常应由DHCP自动获取。
VPC下的ECS为什么没有公网IP?
VPC的设计初衷就是为了网络隔离和安全。默认情况下,创建在VPC内的ECS实例只分配一个私网IP,用于VPC内部通信,它本身不具备访问互联网的能力。这是VPC的核心安全特性之一。
如果您需要它访问公网,必须为其显式地配置公网访问能力,如公网访问文档所述的绑定EIP或配置NAT网关。
网络规划设计问题
VPC支持组播吗?
VPC本身不支持组播能力。但VPC可以结合云企业网CEN产品,实现组播管理。
VPC如何实现公网私用?
部分企业在本地IDC或VPC使用了非RFC 1918规定的私有网段,例如30.0.0.0/16。当与其他VPC或本地IDC建立网络连接时,由于VPC默认将RFC 1918之外的IP地址视为公网网段,VPC中云产品资源具备公网访问能力后,即便配置了指向30.0.0.0/16的路由条目指向本地IDC或VPC,依旧优先访问公网,无法访问目标VPC或本地IDC。
您可通过如下方式,实现公网网段私用:
方式1:IPv4网关功能。
您可通过使用IPv4网关,集中控制VPC公网访问行为,访问
30.0.0.0/16时将优先路由到其他VPC或本地IDC。详细方案您可参考使用IPv4网关实现公网私用。方式2:用户网段功能。
如果希望VPC在转发访问
30.0.0.0/16的请求时,按照路由表进行转发而不是直接转发到公网,您可以在新建VPC时使用CreateVpc接口传入UserCidr参数,为VPC设置用户网段。设置用户网段后,该VPC访问用户网段地址的请求将按照路由表进行转发。1、用户网段仅支持通过API设置,不支持控制台。用户网段创建后不支持修改。
2、当您仅设置VPC的IPv4网段时,如果选择除192.168.0.0/16、172.16.0.0/12、10.0.0.0/8三个RFC标准私网网段及其子网之外的自定义地址网段,系统会默认设置该主网段为用户网段。
VPC与经典网络的区别是什么?
经典网络是阿里云早期的网络形态,默认与VPC不互通。目前已逐步下线,不推荐用户使用。用户所有购买的资源都应部署在VPC中。
特性 | 经典网络 | 专有网络 (VPC) |
网络模型 | 所有用户共享一个扁平的、巨大的阿里云公共地址空间 | 基于隧道技术的逻辑隔离网络,每个用户独享 |
网络隔离 | 依赖安全组进行隔离 | 天然的二层网络隔离,更安全 |
网络自定义 | 无法自定义网络拓扑和IP地址 | 高度灵活,可自定义网段、路由、网络拓扑 |
安全性 | 较低 | 更高 |
如何实现VPC与经典网络互通?
您可参考:使用ClassicLink连通经典网络与VPC。
如何把阿里云VPC和线下公司机房的IDC网络进行打通?阿里云VPC与AWS/腾讯云如何互通?
您可参考:VPC连接本地数据中心/其他云。
VPC与其他VPC或线下网络网段冲突时能互通吗?
您可参考:
如何让ECS服务器访问公网?ECS服务器如何通过IPv6地址访问公网?
您可参考:选择公网IP地址类型。
如何统一多个ECS的公网出口IP?
您可参考:
IPv4网关和公网NAT网关有什么区别?
网络组件 | IPv4网关 | 公网NAT网关 |
功能定位 | VPC边界上的公网IPv4流量控制组件 | VPC内部的网络地址转换设备 |
使用场景 | 集中控制公网访问流量 | 统一公网流量出口 |
是否提供公网访问能力 | 不提供,仅控制公网流量 | 通过绑定EIP提供公网访问能力 (公网访问能力是由EIP提供的,NAT网关本身不提供公网访问能力) |
IPv4网关和公网NAT网关功能并无交叉,二者可以搭配同时使用。您可以参考公网访问,详细了解相关网络组件之间的关系。
公网IP和私网IP如何切换?
一台绑定了EIP的ECS实例同时拥有公网IP和私网IP。您无需手动“切换”。
VPC内部通信:VPC内的其他ECS实例访问这台ECS时,应该始终使用其私网IP。流量完全在VPC内部流转,速度快且免费。
被公网访问、主动访问公网:互联网上的用户或其他设备访问这台ECS时,或者这台ECS主动访问互联网时,必须使用其公网IP(EIP)。
如何通过VPC实现ECS内网访问OSS?
您可参考:VPC私网访问云服务。
如何只允许特定IP访问ECS实例?网络ACL和安全组有什么区别?
您可参考:访问控制。
不同安全组之间如何互通?
普通安全组支持将安全组作为授权对象,企业级安全组不支持,详情参见ECS文档-支持安全组作为授权对象。
配置普通安全组入方向或出方向规则时,访问来源可以直接设置为另外一个普通安全组。这种方式比授权IP地址段更灵活。未来即使安全组内新增了ECS实例,或者实例IP发生变化,都无需修改安全组的规则,它们自动拥有访问权限。
安全组规则不生效如何排查?
规则优先级:请检查是否与优先级更高的规则冲突。
方向错误:检查规则是配置在“入方向”还是“出方向”。访问ECS是入方向,ECS访问外部是出方向。
作用对象错误:确认该安全组是否已正确地应用到了目标ECS实例的网卡上。
被网络ACL拦截:检查ECS所在的交换机是否关联了网络ACL,并且ACL的规则是否拒绝了该流量。
ECS内部防火墙:检查操作系统内的防火墙设置。
路由问题:确保流量能够正确地路由到ECS实例。
如何迁移ECS到另一个VPC?
您可参考:更换ECS实例的VPC。
VPC内能否自定义DNS服务器?
可以。通过DHCP选项集功能,您可以将VPC的默认DNS服务器配置,修改为您的自建在ECS上的DNS服务器、本地数据中心的DNS服务器、第三方的公共DNS服务(注意需要网络打通)。您可参考:使用自建 DNS 服务。
VPC对等连接能否连通中国站点和国际站点账号下的VPC?
不能。
根据跨账号合规要求,对等连接不支持中国站账号与国际站账号下VPC的私网互通。
VPC对等连接是否支持跨境私网互通?
支持。
跨境对等连接统一由云数据传输CDT按出向流量收取流量传输费。使用CDT跨境功能,需前往跨境云专线申请企业资质,跨境专线由中国联通提供。
VPC对等连接的网络时延如何?
同地域对等连接:网络延迟较低,通常可以达到较低的毫秒级延迟。
跨地域对等连接:由于涉及不同地域之间的数据传输,网络延迟相对较高,具体延迟取决于两地之间的物理距离和网络状况。 您可以使用云网络互访性能观测工具,查看地域间的网络平均时延作为参考,选择更适合您业务的链路类型。
网段配置问题
什么是CIDR?
无类域间路由CIDR (Classless Inter-Domain Routing) 是一种IP地址分配和路由聚合的方法,可以提高网络管理效率、简化路由表。
CIDR使用斜杠表示法(如192.168.1.0/24):
斜杠前的是网络地址,表示该IP地址段的起始IP地址。
斜杠后的数字表示子网掩码中连续1的位数,即网络前缀的长度。剩余位数用于主机地址。
CIDR Block是共享相同网络前缀和位数的 IP 地址的集合。一个大的CIDR Block可以划分为更多不同网络前缀和位数的小的CIDR Block,这个过程被称作子网划分,CIDR Block是现代网络规划的基础,VPC、交换机子网划分都基于此原理。
示例:
192.168.0.0/16:前16位是网络,后16位是主机(理论值包括216个IP地址)。该网段包括192.168.1.0/24、192.168.2.0/26等。10.0.0.0/8:前8位是网络,后24位是主机(理论值包括224个IP地址)。该网段包括10.1.0.0/16、10.2.0.0/24等。172.16.0.0/12:前12位是网络,后20位是主机(理论值包括220个IP地址)。该网段包括172.17.0.0/16、172.18.0.0/24等。
在创建VPC和交换机时,您需要以CIDR Block的形式为其指定网段。注意实际可用的IP地址要小于理论值,因为交换机存在系统保留地址。
如何修改VPC的网段?
调整主网段:
当您创建专有网络时,为其指定的IPv4网段是专有网络的主网段。控制台不支持修改专有网络的主网段,但您可以调整ModifyVpcAttribute接口的
CidrBlock参数,在主网段内放大或缩小网段。您需确保缩小后的网段包含已经使用的IP地址。专有网络开启IPv6后分配的IPv6网段,不支持修改。
使用附加网段:您可以使用附加网段扩充网段地址,为VPC增加主网段之外的附加网段地址,附加网段与主网段同时生效,可用于创建交换机、部署ECS等云产品资源。
如何修改交换机的网段?
交换机(vSwitch)的IPv4/IPv6网段在创建后,均无法修改。
如果您需要调整交换机的网段,只能删除该交换机后,使用新的网段重新创建。注意在删除交换机前,必须先释放或迁移交换机内的所有云资源,例如ECS实例、负载均衡实例、RDS实例等。这是一个高风险操作,请务必做好数据备份和业务迁移计划。
创建VPC时应该选择哪个网段?
选择VPC网段是网络规划的关键一步,建议遵循以下原则:
使用标准私网网段:推荐使用RFC1918定义的标准私网网段,例如:
10.0.0.0/16、172.16.0.0/16、192.168.0.0/16。不能使用100.64.0.0/10、224.0.0.0/4、127.0.0.0/8或169.254.0.0/16网段作为VPC的网段。避免与本地数据中心(IDC)或其他网络环境冲突:如果您计划将VPC与本地网络或其他VPC、其他云打通,请务必确保VPC网段与这些网络的网段不冲突。
预留足够地址空间:根据您未来的业务规模预估所需的IP地址数量,选择一个足够大的网段,避免后期因地址不足而被迫进行复杂的网络改造。
避免与容器网络常用网段冲突:如果您计划在VPC内使用Docker或Kubernetes(K8s),建议避免使用
172.17.0.0/16等容器默认网段,以防无法通信。
如何为VPC分配IPv6网段?IPv6如何访问公网?
为专有网络和交换机开启IPv6后,系统将自动创建IPv6网关并分配IPv6网段,默认仅支持私网通信。如需公网通信,可开通IPv6公网带宽。详细操作可参考开启/关闭IPv6。
VPC是否可以只分配IPv6网段(即IPv6 only)?
不可以。VPC当前支持仅IPv4和双栈(IPv4+IPv6),不支持IPv6 only。
如何为已有ECS实例分配指定私网IP?
您可参考:为已创建ECS实例修改主私网IPv4地址。
为什么docker网络与VPC网段冲突时无法互通?
这是云上网络规划中一个非常典型的问题。当部署在ECS上的Docker(或K8s Pod)网络与您VPC内的其他交换机网段或对等连接对端的VPC网段发生重叠时,会导致路由冲突,无法正常通信。
原因:假设Docker默认网段为
172.17.0.0/16,而VPC中有一个交换机B的网段是172.17.0.0/24。当Docker容器内的应用尝试访问交换机B中的IP时,ECS的操作系统会根据自身的路由表,将这个流量错误地路由到了本地的docker0网桥,而不是通过VPC的路由转发出去,导致通信失败。解决方案:
修改Docker/K8s的网络配置:修改Docker守护进程的配置文件(如
/etc/docker/daemon.json),为其指定一个与您整体云上网络环境(包括所有互联的VPC和线下IDC)不冲突的私网网段。这是最根本的解决方法。规划VPC网段时避坑:在规划VPC和交换机网段时,主动避开
172.17.0.0/16、10.0.0.0/8中部分被K8s常用的网段。
如何设置IPAM地址池网段,避免新建的VPC与线下IDC或其他云的已有网段冲突?
HaVip是否支持IPv6?
不支持。当前仅支持IPv4。
专有网络与交换机删除问题
删除VPC或交换机时提示有依赖资源怎么办?
您可按照控制台提示,将依赖的资源删除后,再删除VPC或交换机。
您可以在VPC实例详情页面的“资源管理”,或交换机实例详情页面的“云资源管理”,查看当前存在的资源。
VPC删除时遇到弹性网卡无法删除怎么办?
弹性网卡(ENI)通常是删除VPC或交换机时最常见的残留资源之一。
主网卡:主网卡是随ECS实例创建的,其生命周期与ECS实例绑定,无法单独解绑或删除。您必须先释放ECS实例,主网卡才会随之删除。
辅助网卡:如果是辅助网卡,需要先从ECS实例上解绑,才能进行删除操作。
被其他云服务占用与管理:某些云服务(如应用型负载均衡ALB、网络型负载均衡NLB、容器服务ACK、函数计算FC等)会自动创建和管理ENI。您需要到对应云服务的控制台去删除服务实例(例如删除ACK集群),由这些服务来自动清理其创建的ENI。
路由问题
云企业网CEN/转发路由器TR是否会自动添加附加网段路由?
如果TR针对VPC连接开启了路由学习功能,且VPC使用附加网段创建了交换机,则TR会自动学习到交换机对应附加网段的系统路由。
TR当前仅支持自动学习VPC的系统路由条目。针对自定义路由条目,您可以在VPC路由表中将条目手动发布到CEN,或手动在云企业网中添加路由条目。
VPC有路由器吗?
每个VPC有且只有一个路由器。每个路由器可维护多张路由表。
您可以在专有网络控制台-路由表页面或通过DescribeRouteTables接口,查询路由表所属的路由器ID。
如何为VPC对等连接配置路由?
VPC对等连接建立并激活后,默认情况下两个VPC之间网络是不通的,因为它们不知道如何将去往对端VPC的流量发送到这个对等连接上。因此,您必须在两端的路由表中,分别添加指向对等连接的路由。
操作步骤可参考:配置路由。
路由条目的目标网段应该填写什么?
目标网段定义了这条路由规则适用于哪些目的IP地址的流量。
精确匹配:填写您希望数据包发往的具体网络范围。例如,要访问对端VPC(
192.168.0.0/16),就填写192.168.0.0/16。默认路由:
0.0.0.0/0代表所有IPv4地址。将0.0.0.0/0的流量指向NAT网关,可以实现VPC内无公网IP的ECS通过NAT网关访问互联网。
配置对等连接时为什么两端都要配置路由?
网络通信是双向的,有去有回。配置路由时,不仅要考虑请求流量(去),还必须考虑响应流量(回)。如果仅一端配置了路由,但另一端没有配置,则可能导致网络不通。
路由表目标网段能否写交换机网段?
可以,但不推荐。
最佳实践:在为VPC对等连接、VPN网关等配置路由时,目标网段应该填写对端网络的整个VPC网段,而不是对端某个具体的交换机网段,这样可以简化管理。除非您有明确的、精细化的访问控制需求。
网络运维与监控问题
VPC如何监控公网流量?
您可以通过VPC的流日志功能或者网络智能服务-流量分析器功能,采集公网NAT网关、IPv4网关等公网组件的流量信息,从而实现公网流量监控。详情可参考流日志、流量分析器。
如何查看VPC网络拓扑图?
您可以使用网络智能服务-专有网络拓扑功能,自助生成VPC网络拓扑图。
计费问题
VPC如何计费?
VPC收费功能:
VPC公测功能,当前公测期间免费使用:
IP地址管理(IPAM)
高可用虚拟IP(HaVip)
免费功能:
VPC与交换机、附加网段、预留网段
DNS主机名、DHCP选项集
路由表、前缀列表
共享VPC
ClassicLink、网关终端节点
IPv4网关、网络ACL
如果您在VPC中创建了云产品资源,您需要为使用的云产品资源付费。详情可参考对应资源的计费文档。
VPC对等连接是否收费?
同地域:在同一地域内,无论是同账号还是跨账号,创建和使用VPC对等连接都是完全免费的。
跨地域:跨地域使用VPC对等连接,统一由云数据传输CDT按出向流量收取流量传输费。
如何停止VPC对等连接的计费以节省成本?
同地域对等连接本身免费,删除与否不影响费用。
对于跨地域对等连接,您需要删除对等连接实例,方可停止相关流量费用。