当ECS实例无法访问云助手服务器时,会导致云助手相关功能不可用,您可以根据本文提供的方案进行处理。
问题现象
在ECS实例中使用如下命令时,无法成功ping通。此域名是用于执行云助手命令等云助手服务的域名。
请将<region-id>替换为地域的ID。更多信息,请参见地域和可用区。
ping <region-id>.axt.aliyun.com如出现下图类似的情况,无法解析域名,请参照域名无法解析处理方式的步骤操作。
如出现下图类似的情况,ping无响应或超时,请参照Ping超时无响应处理方式的步骤操作。
处理步骤
域名无法解析处理方式
步骤一:检查域名解析
ECS实例需要能访问云助手服务的域名才能使用云助手相关功能。ECS实例中配置了默认的DNS Nameserver,用于云助手服务的域名,您无需额外配置即可使用。但是,如果您修改过配置文件并覆盖了默认的DNS Nameserver,域名解析可能失败或变慢,导致云助手功能不可用。请您参见为云助手配置域名解析的步骤进行检查。
步骤二:检查实例默认路由
ECS实例需要配置默认路由来实现对外部网络的访问,一般情况下会自动配置。
以Alibaba Cloud Linux 3.2104 LTS 64位操作系统为例,执行如下命令,查看路由信息。
route -n可能的显示结果如下,其中第一条结果表示用于外部网络通信的默认路由,第二条结果表示用于内网通信的路由。
如果存在默认路由,则无需进行此步骤,如果缺失默认路由,需要使用如下命令添加:
sudo route add default gw <网关IP> dev <网络接口>请替换为实际的网关IP与网络接口,此示例中,命令为:
sudo route add default gw 192.168.1.253 dev eth0(可选)配置开机时自动更新路由,使配置永久生效。
为eth0配置路由后,需要将上述执行的路由命令写入文件,配置在开机时自动更新路由,否则重启实例后该路由配置会失效。如果您是临时测试,可忽略此步骤。
执行如下命令,打开
/etc/rc.local文件。vim /etc/rc.local按
i键进入编辑模式,将您上面实际执行的命令写入文件,然后按Esc键退出编辑模式,输入:wq保存退出。说明注意替换命令中的网卡标识、网关地址等信息。
执行如下命令,为
/etc/rc.local文件添加执行权限。sudo chmod +x /etc/rc.local
Ping超时无响应处理方式
步骤一:检查实例安全组规则
普通安全组出方向默认允许所有访问,即从安全组内ECS实例访问外部都是放行的,无需额外配置。而企业安全组出方向默认禁止所有访问,即从安全组内ECS实例访问外部都是禁止的。因此对于企业安全组,或您在普通安全组中添加过拒绝的出方向规则,则需要配置放行出方向网络访问权限。
云助手服务器的IP地址范围为100.100.0.0/16,需要您添加协议类型为自定义TCP,目的端口为443,授权对象为100.100.0.0/16的安全组出方向规则,具体操作,请参见添加安全组规则。
步骤二:检查实例系统防火墙
如果您启用了ECS实例的系统防火墙(默认不启用),需要添加相关放行规则或关闭防火墙。
Linux实例
本操作以CentOS 7.9为例,其他版本的Linux系统操作可能有所差异。
-
远程连接Linux实例。
具体操作,请参见通过密码或密钥认证登录Linux实例。
执行如下命令,查看防火墙中已配置的规则。
iptables -L在OUTPUT出方向规则处,查看是否有禁止的策略,如果没有则无需操作。如下图所示:图中的策略禁止了所有的出方向流量。
使用如下命令放行访问云助手服务器的流量。
iptables -I OUTPUT -p udp --dport 53 -j ACCEPT iptables -I OUTPUT -d 100.100.0.0/16 -p tcp --dport 443 -j ACCEPT
Windows实例
本操作以Windows Server 2012为例,其他版本的Windows Server系统操作类似。
-
远程连接Windows实例。
具体操作,请参见通过密码或密钥认证登录Windows实例。
单击左下角的
图标,打开服务器管理。选择右上角的工具(T)>高级安全 Windows防火墙。
查看防火墙状态。
如果防火墙处于关闭状态,无需进行任何操作。
如果防火墙状态为已启用,请继续以下操作。
在高级安全 Windows防火墙页面,单击出站规则。
检查是否有阻止的策略禁止了出方向流量,如果有,需要禁用或修改这些规则。
图标,打开服务器管理。
