全部產品
Search

搜尋本產品

    Network Intelligence Service:使用路徑分析

    文件中心

    Network Intelligence Service:使用路徑分析

    更新時間:Dec 27, 2024

    路徑分析是一個配置分析工具,覆蓋ECS執行個體互訪、ECS與公網IP地址互訪、ECS與私網IP地址互訪、雲上VPC與雲下網站互訪等多類應用情境,能夠判斷源資源和目的資源之間的連通性,診斷網路設定錯誤引起的串連問題。

    路徑分析介紹

    路徑分析原理

    執行路徑分析時,Network Intelligence Service (NIS)會產生源資源和目的資源之間的虛擬網路路徑逐跳詳細資料。當目的地不可達時,會檢查阻塞的位置和原因。路徑分析主要檢查執行個體狀態和網路設定,包括網路執行個體的狀態、安全性群組配置、網路ACL配置、路由表配置、負載平衡中的配置。

    路徑分析不會發送資料包或分析資料平面,只需要指定從源資源到目的資源的流量路徑。例如,指定一個阿里雲帳號下的Elastic Compute Service (ECS)執行個體作為源資源,指定該阿里雲帳號下的另一個ECS執行個體作為目的資源,設定22作為目的連接埠、TCP作為協議,即可以通過路徑分析功能驗證源ECS執行個體是否可以通過SSH串連到目的ECS執行個體。

    說明

    路徑分析是單方向的,若您要分析回包路徑,調換源資源和目的資源重新分析即可。

    路徑分析支援的中間節點

    當前路徑分析支援的中間節點包括:交換器、虛擬路由器、彈性網卡ENI、EIPCLBTR、VBR、公網NAT Gateway、Cloud FirewallVPN Gateway、IPv4網關、專線網關ECR。

    應用情境

    路徑分析支援對以下情境進行分析:

    • 跨地區間ECS執行個體互訪:通過Cloud Enterprise Network (CEN)VPC對等串連、TransitRouter實現跨地區間ECS執行個體互訪,並支援識別Virtual Private Cloud (VPC)邊界防火牆。該情境的源資源和目的資源可以屬於不同的阿里雲帳號所有。

    • 同地區間ECS執行個體互訪:通過CEN、VPC對等串連、TR實現同地區間ECS執行個體互訪,並支援識別VPC邊界防火牆。

    • ECS執行個體與公網IP地址互訪,並支援識別互連網邊界防火牆。

    • 公網IP地址與私網CLB執行個體互訪。

    • ECS執行個體與公網CLB執行個體互訪。

    • ECS執行個體通過公網NAT Gateway的SNAT規則訪問公網。

    • 公網通過公網NAT Gateway的DNAT規則訪問ECS執行個體。

    • ECS執行個體通過VPN網關與私網IP地址互訪。

    • 雲上VPC內執行個體通過邊界路由器VBR(Virtual Border Router)與雲下網站互訪,並支援識別VPC邊界防火牆。

    使用限制

    路徑分析支援以下類型的資源作為源或目的資源:

    • 源資源:ECS、公網IP地址、交換器、VBR、VPN網關、雲下私網IP。

    • 目的資源:ECS、公網IP地址、交換器、VBR、VPN網關、雲下私網IP、傳統型負載平衡CLB

    重要

    如果源資源和目的資源都選擇公網IP地址,請確保它們中至少有一個IP地址被映射到ECS執行個體的公網IP地址上。否則,路徑分析功能無法正常使用。

    單帳號支援的配額限制如下表所示。

    資源

    預設限制

    提升配額

    最大路徑條數

    100

    無法提升

    最大歷史分析記錄

    1000

    並發分析數

    5

    建立路徑

    1. 登入網路智慧型服務管理主控台

    2. 在左側導覽列,選擇自助诊断 > 路径分析

    3. 路径分析頁面,單擊發起分析

    4. 發起分析頁面,配置以下參數資訊。

      配置

      說明

      選擇源類型

      • ECS:選擇ECS執行個體ID,即選擇ECS執行個體作為路徑中的源資源。選擇ECS執行個體後,您可以選擇ECS執行個體的私網IP地址。如果不選擇ECS執行個體的私網IP地址,預設分析ECS執行個體主IP地址。

      • 公網IP:輸入公網IP地址作為路徑中的源資源。

        支援輸入ECS執行個體的固定公網IP、Elastic IP Address或非阿里雲的公網IP。不支援源資源和目的資源都為非阿里雲的公網IP。

      • 交換器:選擇交換器作為路徑中的源資源。

      • 邊界路由器:選擇邊界路由器作為路徑中的源資源。

      • VPN網關:選擇VPN網關作為路徑中的源資源。

      • 雲下私網IP選擇阿里雲下私網IP作為路徑中的源資源。在雲下私網IP情境下支援VPN網關和邊界路由器類型,並且此時雲下私網IP地址為必填項。

      目的

      選擇目的類型

      • ECS:選擇ECS執行個體ID,即選擇ECS執行個體作為路徑中的目的資源。選擇ECS執行個體後,您可以選擇ECS執行個體的私網IP地址。如果不選擇ECS執行個體的私網IP地址,預設分析ECS執行個體主IP地址。

      • 公網IP:輸入公網IP地址作為路徑中的目的資源。

        支援輸入ECS執行個體的固定公網IP、Elastic IP Address或非阿里雲的公網IP。不支援源資源和目的資源都為非阿里雲的公網IP。

      • 交換器:選擇交換器作為路徑中的目的資源。

      • 邊界路由器:選擇邊界路由器作為路徑中的目的資源。

      • VPN網關:選擇VPN網關作為路徑中的目的資源。

      • 雲下私網IP選擇阿里雲下私網IP作為路徑中的目的資源。在雲下私網IP情境下支援VPN網關和邊界路由器類型,並且此時雲下私網IP地址為必填項。

      • 傳統型負載平衡:選擇CLB作為路徑中的目的資源。

      協議

      預設為TCP協議。支援選擇以下協議:

      • TCP:傳輸控制通訊協定。

      • UDP:使用者資料包通訊協定。

      • ICMP:網路控制報文協議。

      目的連接埠

      輸入目的資源的連接埠號碼,預設連接埠號碼為80,該參數非必填。如果該參數不填,路徑分析會檢測源資源到目的資源所有連接埠的連通性。

    5. 選擇是否儲存路徑。預設為,若選擇,則路徑建立後,路徑參數將被儲存,便於重複分析。

    6. 單擊發起分析

    分析路徑

    1. 路径分析頁面,找到目標路徑,然後在操作列單擊發起分析

    2. 在彈出的對話方塊,單擊確定

    3. 路徑分析詳情頁面,查看分析結果。

      • 路徑可達或不可達,顯示源資源到目的資源的訪問狀態及源資源到目的資源的各個節點。當路徑不可訪問時,還會顯示錯誤資訊。

      • 路徑未知時,顯示錯誤資訊。

    結果分析

    路徑分析的結果有以下幾種情況。

    • 路徑可達

      下圖展示了VPC對等串連在互訪時,一個VPCECS執行個體到另一個VPC內交換器的路徑分析結果,下圖表示源ECS執行個體到目的交換器之間路徑連通正常,及兩個VPC之間網路連通性正常,可以訪問。可訪問

      單擊路徑中各個節點右側的下拉式箭頭表徵圖,可以查看各個節點的詳細資料。image.png

    • 路徑不可達

      下圖展示了某個VPCECS執行個體到NAT Gateway的路徑分析結果,錯誤資訊為公網NAT條目不匹配,請檢查NAT Gateway配置,此時源ECS執行個體到目的NAT Gateway之間路徑連通異常不可訪問。不可訪問

      單擊路徑中異常節點右側的下拉式箭頭表徵圖,可以查看異常節點的具體情況。

    • 未知

      下圖展示了當發生異常時路徑分析的一種情況,錯誤資訊為資源不存在,請確認資源是否已刪除

      未知路徑分析結果異常的錯誤資訊如下所示:

      • 不允許源資源和目的資源相同。

      • 路徑存在未支援的中間節點,暫不支援路徑分析。

      • 資源不存在,請確認資源是否已刪除。

      • 資源狀態異常,請檢查資源是否正常運行。

      • 路由不可達,請核查路由配置。

      • 未匹配安全性群組規則,被預設規則拒絕。

      • 匹配安全性群組丟棄規則。

      • 未匹配到網路ACL規則,被預設規則拒絕。

      • 匹配網路ACL丟棄規則。

      • 發生異常導致結果未知,請稍後重試。

      • 服務內部異常,請稍後重試。

      • 匹配使用者指定CLB黑名單丟棄規則。

      • 未匹配CLB白名單規則預設丟棄。

      • 公網NAT條目不匹配,請檢查NAT Gateway配置。

      • 無法與公網互連,請匹配Elastic IP Address。

      • IPv4網關路由不可達,請在VPC路由表中添加指向IPv4網關的路由條目。

      • IPv4網關啟用後被刪除,導致公網不通。請重新建立、啟用IPV4網關,並在VPC路由表中添加指向IPv4網關的路由條目。

      • 路由不可達,請核查IPv4網關路由配置。

      • VPN網關上缺少指向源IP回程路由。

    刪除歷史分析

    您可以在分析路徑中刪除不需要的歷史分析記錄。

    1. 路径分析頁面,找到需要刪除歷史分析記錄的路徑,然後在路徑ID列,單擊路徑ID。

    2. 在路徑分析詳情頁面的歷史分析地區,找到需要刪除的歷史分析記錄,然後在操作列單擊刪除

    3. 在彈出的對話方塊,單擊確定

    刪除路徑

    當您不需要檢測某個路徑的連通性時,您可以刪除該路徑。

    1. 路径分析頁面,刪除目標路徑。

      • 刪除單個目標路徑:在單個目標路徑的操作列單擊刪除

      • 大量刪除目標路徑:選中多個目標路徑,單擊列表下方的大量刪除

    2. 在彈出的對話方塊,單擊確定

    設定標籤

    路徑分析支援標籤功能。您可以通過標籤對路徑分析執行個體進行標記和分類,便於資源的搜尋好彙總。

    • 批量增加標籤

    1. 路徑分析頁面,選擇目標路徑,單擊列表下方的設定標籤 > 批量增加標籤

    2. 編輯標籤對話方塊中,配置標籤鍵標籤值,然後單擊確定

    • 大量刪除標籤

    1. 路徑分析頁面,選擇目標路徑,單擊列表下方的設定標籤 > 大量刪除標籤

    2. 在彈出的對話方塊,單擊確定。關於標籤的更多資訊,請參見標籤概述

    其他相關操作

    操作

    步驟

    查看歷史路徑分析

    在路徑分析詳情頁面歷史分析地區,可以查看歷史分析結果。

    重新發起路徑分析

    在路徑分析詳情頁面,單擊右上方的發起分析

    新產生的分析記錄會展示在歷史分析列表中,您可以根據分析時間區分不同時間的分析結果。

    常見問題

    為什麼會提示“路徑存在未支援的中間節點,暫不支援路徑分析”的資訊?

    系統根據指定的源資源和目的資源所得到的路徑不在NIS目前的版本支援的情境範圍內,會顯示此錯誤資訊。

    為什麼會提示“匹配安全性群組丟棄規則”的資訊?

    例如,您配置VPC2的ECS執行個體安全性群組只允許VPC1下交換器1網段的ECS執行個體訪問,不允許VPC1下其他交換器網段的ECS執行個體訪問。當您通過路徑分析,選擇VPC1下交換器2的ECS1作為源,選擇VPC2下的ECS執行個體作為目的,就能在目的ECS執行個體的ENI上看到被安全性群組阻隔的問題,提示“匹配安全性群組丟棄規則”錯誤資訊。您可以修改安全性群組規則解決該問題。

    為什麼會提示“路由不可達,請核查路由配置”的資訊?

    例如在VPC對等串連在跨域互訪時,會要求使用者在兩個地區內的VPC路由器中配置到目的網段的路由表項。比如VPC1在地區1,VPC2在地區2,使用者如果未配置VPC1下到VPC2的路由,兩邊的ECS無法互聯。通過路徑分析,輸入VPC1下的ECS1作為源,VPC2下的ECS2作為目的,會看到路徑在VPC1的路由器截斷,提示“路由不可達,請核查路由配置”。

    相關文檔

    CreateNetworkPath:建立網路分析路徑。

    CreateNetworkReachableAnalysis:建立網路可達性分析任務。

    CreateAndAnalyzeNetworkPath:發起網路可達性分析任務。

    GetNetworkReachableAnalysis:擷取網路可達性分析任務結果。

    DeleteNetworkPath:刪除網路分析路徑。

    DeleteNetworkReachableAnalysis:刪除網路可達性分析任務。