當VPC對等串連執行個體出現訪問不通的問題時,您可以使用網路智慧型服務NIS進行雙向路徑分析,診斷網路設定錯誤引起的串連問題。
情境樣本
某企業分別在華北2(北京)和華東2(上海)地區建立了VPC1和VPC2,並建立對等串連,以實現VPC1與VPC2之間的網路互連。
建立VPC對等串連執行個體後,ECS1與ECS2執行個體無法互訪,需要使用路徑分析功能進行問題排查,從而解決訪問不通的問題。
前提條件
您已開通了Network Intelligence Service (NIS)。您可以在服務開通頁面開通服務許可權後進行使用。
首次診斷時,系統會自動為您建立一個服務關聯角色(AliyunServiceRoleForNis)以完成相應的功能。關於AliyunServiceRoleForNis的更多資訊,請參見服務關聯角色。
您已經建立了需要進行路徑分析的VPC對等串連執行個體。具體操作,請參見使用VPC對等串連實現VPC私網互連。
操作步驟
路徑分析過程中不會發送真實資料包,不會影響您當前的業務。
步驟一:配置路徑分析
- 登入專用網路管理主控台。
- 在左側導覽列,單擊VPC對等串連。
在頂部功能表列,選擇目標地區。
在VPC對等串連頁面,找到目標VPC對等串連執行個體,選擇以下一種方法,發起路徑分析。
在目標執行個體的診斷列選擇
,在路徑分析面板配置相關參數。單擊目標執行個體ID,在路徑分析頁簽配置相關參數。
根據以下資訊進行配置,單擊發起分析。
步驟二:問題排查
路徑可達性分析完成後,頁面會產生串連源樣本和目標樣本的虛擬網路路徑中,各節點的詳細資料。
路徑不可達的情況下,您可以根據提示資訊進行問題排查:
路由不可達:您需要檢查路由配置,驗證VPC路由表中是否配置了以對端VPC網段為目標網段、下一跳為VPC對等串連的路由條目。
匹配安全性群組丟棄規則或被預設規則拒絕:驗證VPC內ECS執行個體的安全性群組是否允許來自對端VPC的出入流量,根據業務需求配置安全性群組出/入方向規則。
匹配網路ACL丟棄規則或被預設規則拒絕:檢查與交換器綁定的網路ACL是否允許來自對端VPC的出入流量,根據業務需求配置網路ACL出/入方向規則。
路徑可達的情況下,您可以在頁面單擊反向路徑分析,前往網路智慧型服務控制台的發起分析頁面,配置反向路徑進行連通性校正。