問題描述

開啟ClassicLink功能，建立ClassicLink連接后，經典網絡的云服務器ECS（Elastic Compute Service）實例和專有網絡內的云資源無法通信。

排查思路

排查流程圖如下：

經典網絡與專有網絡互通問題排查思路主要分為以下幾種場景：

經典網絡ECS與專有網絡ECS互訪排查步驟

1. 確認ClassicLink功能的使用前提條件，ClassicLink的使用限制和使用場景請參見ClassicLink概述。

2. 檢查ClassicLink的配置。

   1. 檢查VPC是否開啟ClassicLink功能。如未開啟，請開啟ClassicLink功能。具體操作，請參見開啟ClassicLink功能。

   2. 確認經典網絡ECS設置的專有網絡鏈接狀態選擇了正確的VPC。

3. 檢查ECS的安全組。

   • 如果使用添加ClassicLink安全組，請注意授權方式的方向，建議使用相互授權訪問。

   • 如果未使用添加ClassicLink安全組，請檢查經典網絡ECS和專有網絡ECS安全組入方向是否允許對方的IP地址。

4. 執行以下命令，檢查ECS的路由配置。確認ECS實例內是否存在自建Docker、VPN軟件，導致ECS內路由被修改。

   • Windows系統：route print。

   • Linux系統：route -ne。

5. 檢查專有網絡的云企業網配置。確認專有網絡VPC所在的云企業網內其他的VPC是否存在和經典網絡ECS有IP沖突的交換機，如有經典網絡ECS無法和專有網絡互通，請將沖突的其他VPC從云企業網實例中解綁。

經典網絡ECS訪問專有網絡RDS排查步驟

1. 參見經典網絡ECS與專有網絡ECS互訪排查步驟。

2. 檢查RDS的白名單配置。

   說明

   專有網絡RDS的白名單對于經典網絡ECS需要允許混合云或者VPC的訪問，而非經典網絡。

解決方案

1. 在排查問題前需要收集以下信息：

   • 經典網絡ECS實例的ID。

   • VPC網絡ECS實例的ID、云服務實例ID。

   • 確認是使用ping命令測試不通還是業務端口不通。

2. 在建立ClassicLink連接后，檢查安全組允許訪問的策略配置，確認在內網入方向分別添加了對端ECS內網IP。

3. 在云服務器管理控制臺中，查看ECS實例列表，檢查是否做了將經典網絡ECS連接到VPC的操作。

   • 連接狀態為未連接：說明未做將經典網絡ECS連接到VPC的操作。

   • 連接狀態為已連接：說明已經做了將經典網絡ECS連接到VPC的操作，可以查看到具體和哪個VPC建立的連接。

4. 在經典網絡ECS實例內部路由配置的VPC網絡，網段是192.168.0.0/16。那么在ECS實例內部需要添加到192.168.0.0/16網段的路由，指向到內網網關。

   說明

   早期的ECS實例內部是有192.168.0.0/16網段的內網路由，目前新的ECS實例是沒有這條路由的，所以排查時也要進行檢查。

5. 檢查ECS內部的安全策略配置、路由配置、自建Docker、第三方VPN等配置是否會限制或者將流量引導到第三方，該情況需要關閉ECS內相關策略。

6. 其他可能導致不通的原因如下：

   • 專有網絡加入云企業網，云企業網內其他VPC存在比ClassicLink的10.0.0.0/8更明細的路由，并且包含經典網絡ECS的私網網段。

   • 若VPC的網段是10.0.0.0/8，需要確保和經典網絡ECS進行通信VPC的交換機使用的網段在10.111.0.0/16網段內。

7. 經典網絡ECS訪問專有網絡RDS場景，RDS需要在VPC或混合白名單中增加允許經典網絡ECS的私網IP地址。

相關文檔

• 建立ClassicLink

• 云數據庫RDS-設置白名單

適用于

• 專有網絡VPC