當VPC對等連接實例出現訪問不通的問題時,您可以使用網絡智能服務NIS進行雙向路徑分析,診斷網絡配置錯誤引起的連接問題。
場景示例
某企業分別在華北2(北京)和華東2(上海)地域創建了VPC1和VPC2,并建立對等連接,以實現VPC1與VPC2之間的網絡互通。
創建VPC對等連接實例后,ECS1與ECS2實例無法互訪,需要使用路徑分析功能進行問題排查,從而解決訪問不通的問題。
前提條件
您已開通了網絡智能服務 NIS(Network Intelligence Service)。您可以在服務開通頁面開通服務權限后進行使用。
首次診斷時,系統會自動為您創建一個服務關聯角色(AliyunServiceRoleForNis)以完成相應的功能。關于AliyunServiceRoleForNis的更多信息,請參見服務關聯角色。
您已經創建了需要進行路徑分析的VPC對等連接實例。具體操作,請參見創建和管理VPC對等連接。
操作步驟
路徑分析過程中不會發送真實數據包,不會影響您當前的業務。
步驟一:配置路徑分析
- 登錄專有網絡管理控制臺。
- 在左側導航欄,單擊VPC對等連接。
在頂部菜單欄,選擇目標地域。
在VPC對等連接頁面,找到目標VPC對等連接實例,選擇以下一種方法,發起路徑分析。
在目標實例的診斷列選擇,在路徑分析面板配置相關參數。
單擊目標實例ID,在路徑分析頁簽配置相關參數。
根據以下信息進行配置,單擊發起分析。
步驟二:問題排查
路徑可達性分析完成后,頁面會生成連接源示例和目標示例的虛擬網絡路徑中,各節點的詳細信息。
路徑不可達的情況下,您可以根據提示信息進行問題排查:
路由不可達:您需要檢查路由配置,驗證VPC路由表中是否配置了以對端VPC網段為目標網段、下一跳為VPC對等連接的路由條目。
匹配安全組丟棄規則或被默認規則拒絕:驗證VPC內ECS實例的安全組是否允許來自對端VPC的出入流量,根據業務需求配置安全組出/入方向規則。
匹配網絡ACL丟棄規則或被默認規則拒絕:檢查與交換機綁定的網絡ACL是否允許來自對端VPC的出入流量,根據業務需求配置網絡ACL出/入方向規則。
路徑可達的情況下,您可以在頁面單擊反向路徑分析,前往網絡智能服務控制臺的發起分析頁面,配置反向路徑進行連通性校驗。