使用路徑分析
路徑分析是一個(gè)配置分析工具,覆蓋ECS實(shí)例互訪、ECS與公網(wǎng)IP地址互訪、ECS與私網(wǎng)IP地址互訪、云上VPC與云下站點(diǎn)互訪等多類應(yīng)用場景,能夠判斷源資源和目的資源之間的連通性,診斷網(wǎng)絡(luò)配置錯(cuò)誤引起的連接問題。
路徑分析介紹
路徑分析原理
執(zhí)行路徑分析時(shí),網(wǎng)絡(luò)智能服務(wù) NIS(Network Intelligence Service)會(huì)生成源資源和目的資源之間的虛擬網(wǎng)絡(luò)路徑逐跳詳細(xì)信息。當(dāng)目的地不可達(dá)時(shí),會(huì)檢查阻塞的位置和原因。路徑分析主要檢查實(shí)例狀態(tài)和網(wǎng)絡(luò)配置,包括網(wǎng)絡(luò)實(shí)例的狀態(tài)、安全組配置、網(wǎng)絡(luò)ACL配置、路由表配置、負(fù)載均衡中的配置。
路徑分析不會(huì)發(fā)送數(shù)據(jù)包或分析數(shù)據(jù)平面,只需要指定從源資源到目的資源的流量路徑。例如,指定一個(gè)阿里云賬號下的云服務(wù)器 ECS(Elastic Compute Service)實(shí)例作為源資源,指定該阿里云賬號下的另一個(gè)ECS實(shí)例作為目的資源,設(shè)置22作為目的端口、TCP作為協(xié)議,即可以通過路徑分析功能驗(yàn)證源ECS實(shí)例是否可以通過SSH連接到目的ECS實(shí)例。
路徑分析是單方向的,若您要分析回包路徑,調(diào)換源資源和目的資源重新分析即可。
路徑分析支持的中間節(jié)點(diǎn)
當(dāng)前路徑分析支持的中間節(jié)點(diǎn)包括:交換機(jī)、虛擬路由器、彈性網(wǎng)卡ENI、EIP、CLB、TR、VBR、公網(wǎng)NAT網(wǎng)關(guān)、云防火墻(Cloud Firewall)、VPN 網(wǎng)關(guān)、IPv4網(wǎng)關(guān)、專線網(wǎng)關(guān)ECR。
應(yīng)用場景
路徑分析支持對以下場景進(jìn)行分析:
跨地域間ECS實(shí)例互訪:通過云企業(yè)網(wǎng) CEN(Cloud Enterprise Network)、VPC對等連接、轉(zhuǎn)發(fā)路由器 TR(TransitRouter)實(shí)現(xiàn)跨地域間ECS實(shí)例互訪,并支持識別專有網(wǎng)絡(luò) VPC(Virtual Private Cloud)邊界防火墻。該場景的源資源和目的資源可以屬于不同的阿里云賬號所有。
同地域間ECS實(shí)例互訪:通過CEN、VPC對等連接、TR實(shí)現(xiàn)同地域間ECS實(shí)例互訪,并支持識別VPC邊界防火墻。
ECS實(shí)例與公網(wǎng)IP地址互訪,并支持識別互聯(lián)網(wǎng)邊界防火墻。
公網(wǎng)IP地址與私網(wǎng)CLB實(shí)例互訪。
ECS實(shí)例與公網(wǎng)CLB實(shí)例互訪。
ECS實(shí)例通過公網(wǎng)NAT網(wǎng)關(guān)的SNAT規(guī)則訪問公網(wǎng)。
公網(wǎng)通過公網(wǎng)NAT網(wǎng)關(guān)的DNAT規(guī)則訪問ECS實(shí)例。
ECS實(shí)例通過VPN網(wǎng)關(guān)與私網(wǎng)IP地址互訪。
云上VPC內(nèi)實(shí)例通過邊界路由器VBR(Virtual Border Router)與云下站點(diǎn)互訪,并支持識別VPC邊界防火墻。
使用限制
路徑分析支持以下類型的資源作為源或目的資源:
源資源:ECS、公網(wǎng)IP地址、交換機(jī)、VBR、VPN網(wǎng)關(guān)、云下私網(wǎng)IP。
目的資源:ECS、公網(wǎng)IP地址、交換機(jī)、VBR、VPN網(wǎng)關(guān)、云下私網(wǎng)IP、傳統(tǒng)型負(fù)載均衡CLB。
如果源資源和目的資源都選擇公網(wǎng)IP地址,請確保它們中至少有一個(gè)IP地址被映射到ECS實(shí)例的公網(wǎng)IP地址上。否則,路徑分析功能無法正常使用。
單賬號支持的配額限制如下表所示。
資源 | 默認(rèn)限制 | 提升配額 |
最大路徑條數(shù) | 100 | 無法提升 |
最大歷史分析記錄 | 1000 | |
并發(fā)分析數(shù) | 5 |
創(chuàng)建路徑
在左側(cè)導(dǎo)航欄,選擇 。
在路徑分析頁面,單擊發(fā)起分析。
在發(fā)起分析頁面,配置以下參數(shù)信息。
配置
說明
源
選擇源類型:
ECS:選擇ECS實(shí)例ID,即選擇ECS實(shí)例作為路徑中的源資源。選擇ECS實(shí)例后,您可以選擇ECS實(shí)例的私網(wǎng)IP地址。如果不選擇ECS實(shí)例的私網(wǎng)IP地址,默認(rèn)分析ECS實(shí)例主IP地址。
公網(wǎng)IP:輸入公網(wǎng)IP地址作為路徑中的源資源。
支持輸入ECS實(shí)例的固定公網(wǎng)IP、彈性公網(wǎng)IP或非阿里云的公網(wǎng)IP。不支持源資源和目的資源都為非阿里云的公網(wǎng)IP。
交換機(jī):選擇交換機(jī)作為路徑中的源資源。
邊界路由器:選擇邊界路由器作為路徑中的源資源。
VPN網(wǎng)關(guān):選擇VPN網(wǎng)關(guān)作為路徑中的源資源。
云下私網(wǎng)IP選擇阿里云下私網(wǎng)IP作為路徑中的源資源。在云下私網(wǎng)IP場景下支持VPN網(wǎng)關(guān)和邊界路由器類型,并且此時(shí)云下私網(wǎng)IP地址為必填項(xiàng)。
目的
選擇目的類型:
ECS:選擇ECS實(shí)例ID,即選擇ECS實(shí)例作為路徑中的目的資源。選擇ECS實(shí)例后,您可以選擇ECS實(shí)例的私網(wǎng)IP地址。如果不選擇ECS實(shí)例的私網(wǎng)IP地址,默認(rèn)分析ECS實(shí)例主IP地址。
公網(wǎng)IP:輸入公網(wǎng)IP地址作為路徑中的目的資源。
支持輸入ECS實(shí)例的固定公網(wǎng)IP、彈性公網(wǎng)IP或非阿里云的公網(wǎng)IP。不支持源資源和目的資源都為非阿里云的公網(wǎng)IP。
交換機(jī):選擇交換機(jī)作為路徑中的目的資源。
邊界路由器:選擇邊界路由器作為路徑中的目的資源。
VPN網(wǎng)關(guān):選擇VPN網(wǎng)關(guān)作為路徑中的目的資源。
云下私網(wǎng)IP選擇阿里云下私網(wǎng)IP作為路徑中的目的資源。在云下私網(wǎng)IP場景下支持VPN網(wǎng)關(guān)和邊界路由器類型,并且此時(shí)云下私網(wǎng)IP地址為必填項(xiàng)。
傳統(tǒng)型負(fù)載均衡:選擇CLB作為路徑中的目的資源。
協(xié)議
默認(rèn)為TCP協(xié)議。支持選擇以下協(xié)議:
TCP:傳輸控制協(xié)議。
UDP:用戶數(shù)據(jù)報(bào)協(xié)議。
ICMP:網(wǎng)絡(luò)控制報(bào)文協(xié)議。
目的端口
輸入目的資源的端口號,默認(rèn)端口號為80,該參數(shù)非必填。如果該參數(shù)不填,路徑分析會(huì)檢測源資源到目的資源所有端口的連通性。
選擇是否保存路徑。默認(rèn)為否,若選擇是,則路徑創(chuàng)建后,路徑參數(shù)將被保存,便于重復(fù)分析。
單擊發(fā)起分析。
分析路徑
在路徑分析頁面,找到目標(biāo)路徑,然后在操作列單擊發(fā)起分析。
在彈出的對話框,單擊確定。
在路徑分析詳情頁面,查看分析結(jié)果。
路徑可達(dá)或不可達(dá),顯示源資源到目的資源的訪問狀態(tài)及源資源到目的資源的各個(gè)節(jié)點(diǎn)。當(dāng)路徑不可訪問時(shí),還會(huì)顯示錯(cuò)誤信息。
路徑未知時(shí),顯示錯(cuò)誤信息。
結(jié)果分析
路徑分析的結(jié)果有以下幾種情況。
路徑可達(dá)
下圖展示了VPC對等連接在互訪時(shí),一個(gè)VPC內(nèi)ECS實(shí)例到另一個(gè)VPC內(nèi)交換機(jī)的路徑分析結(jié)果,下圖表示源ECS實(shí)例到目的交換機(jī)之間路徑連通正常,及兩個(gè)VPC之間網(wǎng)絡(luò)連通性正常,可以訪問。
單擊路徑中各個(gè)節(jié)點(diǎn)右側(cè)的圖標(biāo),可以查看各個(gè)節(jié)點(diǎn)的詳細(xì)信息。
路徑不可達(dá)
下圖展示了某個(gè)VPC內(nèi)ECS實(shí)例到NAT網(wǎng)關(guān)的路徑分析結(jié)果,錯(cuò)誤信息為公網(wǎng)NAT條目不匹配,請檢查NAT網(wǎng)關(guān)配置,此時(shí)源ECS實(shí)例到目的NAT網(wǎng)關(guān)之間路徑連通異常不可訪問。
單擊路徑中異常節(jié)點(diǎn)右側(cè)的圖標(biāo),可以查看異常節(jié)點(diǎn)的具體情況。
未知
下圖展示了當(dāng)發(fā)生異常時(shí)路徑分析的一種情況,錯(cuò)誤信息為資源不存在,請確認(rèn)資源是否已刪除。
路徑分析結(jié)果異常的錯(cuò)誤信息如下所示:
不允許源資源和目的資源相同。
路徑存在未支持的中間節(jié)點(diǎn),暫不支持路徑分析。
資源不存在,請確認(rèn)資源是否已刪除。
資源狀態(tài)異常,請檢查資源是否正常運(yùn)行。
路由不可達(dá),請核查路由配置。
未匹配安全組規(guī)則,被默認(rèn)規(guī)則拒絕。
匹配安全組丟棄規(guī)則。
未匹配到網(wǎng)絡(luò)ACL規(guī)則,被默認(rèn)規(guī)則拒絕。
匹配網(wǎng)絡(luò)ACL丟棄規(guī)則。
發(fā)生異常導(dǎo)致結(jié)果未知,請稍后重試。
服務(wù)內(nèi)部異常,請稍后重試。
匹配用戶指定CLB黑名單丟棄規(guī)則。
未匹配CLB白名單規(guī)則默認(rèn)丟棄。
公網(wǎng)NAT條目不匹配,請檢查NAT網(wǎng)關(guān)配置。
無法與公網(wǎng)互連,請匹配彈性公網(wǎng)IP。
IPv4網(wǎng)關(guān)路由不可達(dá),請?jiān)?span id="726e41d146dam" outputclass="productName" data-tag="ph" data-ref-searchable="yes" data-reuse-tag="productSimpleName" data-type="productSimpleName" data-product-code="vpc" docid="3760747" data-source="reuse_library" class="ph productName">VPC路由表中添加指向IPv4網(wǎng)關(guān)的路由條目。
IPv4網(wǎng)關(guān)激活后被刪除,導(dǎo)致公網(wǎng)不通。請重新創(chuàng)建、激活I(lǐng)PV4網(wǎng)關(guān),并在VPC路由表中添加指向IPv4網(wǎng)關(guān)的路由條目。
路由不可達(dá),請核查IPv4網(wǎng)關(guān)路由配置。
VPN網(wǎng)關(guān)上缺少指向源IP回程路由。
刪除歷史分析
您可以在分析路徑中刪除不需要的歷史分析記錄。
在路徑分析頁面,找到需要?jiǎng)h除歷史分析記錄的路徑,然后在路徑ID列,單擊路徑ID。
在路徑分析詳情頁面的歷史分析區(qū)域,找到需要?jiǎng)h除的歷史分析記錄,然后在操作列單擊刪除。
在彈出的對話框,單擊確定。
刪除路徑
當(dāng)您不需要檢測某個(gè)路徑的連通性時(shí),您可以刪除該路徑。
在路徑分析頁面,刪除目標(biāo)路徑。
刪除單個(gè)目標(biāo)路徑:在單個(gè)目標(biāo)路徑的操作列單擊刪除。
批量刪除目標(biāo)路徑:選中多個(gè)目標(biāo)路徑,單擊列表下方的批量刪除。
在彈出的對話框,單擊確定。
設(shè)置標(biāo)簽
路徑分析支持標(biāo)簽功能。您可以通過標(biāo)簽對路徑分析實(shí)例進(jìn)行標(biāo)記和分類,便于資源的搜索好聚合。
批量增加標(biāo)簽
在路徑分析頁面,選擇目標(biāo)路徑,單擊列表下方的
。在編輯標(biāo)簽對話框中,配置標(biāo)簽鍵和標(biāo)簽值,然后單擊確定。
批量刪除標(biāo)簽
在路徑分析頁面,選擇目標(biāo)路徑,單擊列表下方的
。在彈出的對話框,單擊確定。關(guān)于標(biāo)簽的更多信息,請參見標(biāo)簽概述。
其他相關(guān)操作
操作 | 步驟 |
查看歷史路徑分析 | 在路徑分析詳情頁面歷史分析區(qū)域,可以查看歷史分析結(jié)果。 |
重新發(fā)起路徑分析 | 在路徑分析詳情頁面,單擊右上角的發(fā)起分析。 新生成的分析記錄會(huì)展示在歷史分析列表中,您可以根據(jù)分析時(shí)間區(qū)分不同時(shí)間的分析結(jié)果。 |
常見問題
為什么會(huì)提示“路徑存在未支持的中間節(jié)點(diǎn),暫不支持路徑分析”的信息?
系統(tǒng)根據(jù)指定的源資源和目的資源所得到的路徑不在NIS當(dāng)前版本支持的場景范圍內(nèi),會(huì)顯示此錯(cuò)誤信息。
為什么會(huì)提示“匹配安全組丟棄規(guī)則”的信息?
例如,您配置VPC2的ECS實(shí)例安全組只允許VPC1下交換機(jī)1網(wǎng)段的ECS實(shí)例訪問,不允許VPC1下其他交換機(jī)網(wǎng)段的ECS實(shí)例訪問。當(dāng)您通過路徑分析,選擇VPC1下交換機(jī)2的ECS1作為源,選擇VPC2下的ECS實(shí)例作為目的,就能在目的ECS實(shí)例的ENI上看到被安全組阻隔的問題,提示“匹配安全組丟棄規(guī)則”錯(cuò)誤信息。您可以修改安全組規(guī)則解決該問題。
為什么會(huì)提示“路由不可達(dá),請核查路由配置”的信息?
例如在VPC對等連接在跨域互訪時(shí),會(huì)要求用戶在兩個(gè)地域內(nèi)的VPC路由器中配置到目的網(wǎng)段的路由表項(xiàng)。比如VPC1在地域1,VPC2在地域2,用戶如果未配置VPC1下到VPC2的路由,兩邊的ECS無法互聯(lián)。通過路徑分析,輸入VPC1下的ECS1作為源,VPC2下的ECS2作為目的,會(huì)看到路徑在VPC1的路由器截?cái)啵崾尽奥酚刹豢蛇_(dá),請核查路由配置”。
相關(guān)文檔
CreateNetworkPath:創(chuàng)建網(wǎng)絡(luò)分析路徑。
CreateNetworkReachableAnalysis:創(chuàng)建網(wǎng)絡(luò)可達(dá)性分析任務(wù)。
CreateAndAnalyzeNetworkPath:發(fā)起網(wǎng)絡(luò)可達(dá)性分析任務(wù)。
GetNetworkReachableAnalysis:獲取網(wǎng)絡(luò)可達(dá)性分析任務(wù)結(jié)果。
DeleteNetworkPath:刪除網(wǎng)絡(luò)分析路徑。
DeleteNetworkReachableAnalysis:刪除網(wǎng)絡(luò)可達(dá)性分析任務(wù)。