当VPC对等连接实例出现访问不通的问题时,您可以使用网络智能服务NIS进行双向路径分析,诊断网络配置错误引起的连接问题。
场景示例
某企业分别在华北2(北京)和华东2(上海)地域创建了VPC1和VPC2,并建立对等连接,以实现VPC1与VPC2之间的网络互通。
创建VPC对等连接实例后,ECS1与ECS2实例无法互访,需要使用路径分析功能进行问题排查,从而解决访问不通的问题。
前提条件
您已开通了网络智能服务 NIS(Network Intelligence Service)。您可以在服务开通页面开通服务权限后进行使用。
首次诊断时,系统会自动为您创建一个服务关联角色(AliyunServiceRoleForNis)以完成相应的功能。关于AliyunServiceRoleForNis的更多信息,请参见服务关联角色。
您已经创建了需要进行路径分析的VPC对等连接实例。具体操作,请参见创建和管理VPC对等连接。
操作步骤
路径分析过程中不会发送真实数据包,不会影响您当前的业务。
步骤一:配置路径分析
- 登录专有网络管理控制台。
- 在左侧导航栏,单击VPC对等连接。
在顶部菜单栏,选择目标地域。
在VPC对等连接页面,找到目标VPC对等连接实例,选择以下一种方法,发起路径分析。
在目标实例的诊断列选择,在路径分析面板配置相关参数。
单击目标实例ID,在路径分析页签配置相关参数。
根据以下信息进行配置,单击发起分析。
步骤二:问题排查
路径可达性分析完成后,页面会生成连接源示例和目标示例的虚拟网络路径中,各节点的详细信息。
路径不可达的情况下,您可以根据提示信息进行问题排查:
路由不可达:您需要检查路由配置,验证VPC路由表中是否配置了以对端VPC网段为目标网段、下一跳为VPC对等连接的路由条目。
匹配安全组丢弃规则或被默认规则拒绝:验证VPC内ECS实例的安全组是否允许来自对端VPC的出入流量,根据业务需求配置安全组出/入方向规则。
匹配网络ACL丢弃规则或被默认规则拒绝:检查与交换机绑定的网络ACL是否允许来自对端VPC的出入流量,根据业务需求配置网络ACL出/入方向规则。
路径可达的情况下,您可以在页面单击反向路径分析,前往网络智能服务控制台的发起分析页面,配置反向路径进行连通性校验。