当VPC对等连接实例出现访问不通的问题时,您可以使用网络智能服务NIS进行双向路径分析,诊断网络配置错误引起的连接问题。
场景示例
某企业分别在华北2(北京)和华东2(上海)地域创建了VPC1和VPC2,并建立对等连接,以实现VPC1与VPC2之间的网络互通。
创建VPC对等连接实例后,ECS1与ECS2实例无法互访,需要使用路径分析功能进行问题排查,从而解决访问不通的问题。
前提条件
您已开通了网络智能服务 NIS(Network Intelligence Service)。您可以在服务开通页面开通服务权限后进行使用。
首次诊断时,系统会自动为您创建一个服务关联角色(AliyunServiceRoleForNis)以完成相应的功能。关于AliyunServiceRoleForNis的更多信息,请参见服务关联角色。
您已经创建了需要进行路径分析的VPC对等连接实例。具体操作,请参见使用VPC对等连接实现VPC私网互通。
操作步骤
路径分析过程中不会发送真实数据包,不会影响您当前的业务。
步骤一:配置路径分析
- 登录专有网络管理控制台。
- 在左侧导航栏,单击VPC对等连接。
在顶部菜单栏,选择目标地域。
在VPC对等连接页面,找到目标VPC对等连接实例,选择以下一种方法,发起路径分析。
在目标实例的诊断列选择,在路径分析面板配置相关参数。
单击目标实例ID,在路径分析页签配置相关参数。
根据以下信息进行配置,单击发起分析。
步骤二:问题排查
路径可达性分析完成后,页面会生成连接源示例和目标示例的虚拟网络路径中,各节点的详细信息。
路径不可达的情况下,您可以根据提示信息进行问题排查:
路由不可达:您需要检查路由配置,验证VPC路由表中是否配置了以对端VPC网段为目标网段、下一跳为VPC对等连接的路由条目。
匹配安全组丢弃规则或被默认规则拒绝:验证VPC内ECS实例的安全组是否允许来自对端VPC的出入流量,根据业务需求配置安全组出/入方向规则。
匹配网络ACL丢弃规则或被默认规则拒绝:检查与交换机绑定的网络ACL是否允许来自对端VPC的出入流量,根据业务需求配置网络ACL出/入方向规则。
当您根据提示解决相应问题后,您可以在该路径分析详情页面,再次发起分析。
路径可达的情况下,您可以在页面单击反向路径分析,前往网络智能服务控制台的发起分析页面,配置反向路径进行连通性校验。
如果您发起分析后,提示“指定的网络路径配置np-xxxx已存在”,您可以单击确定,获取本次的路径分析结果。
出现上述提示的原因是您新建的路径分析配置已存在,您可以登录网络智能服务管理控制台,在查看历史分析结果。
相关文档
如果您想要了解网络智能服务路径分析的更多信息,请参见使用路径分析。
您可以直接使用自助问题排查功能,自助问题排查可以帮您排查VPC与外部网络连接、费用、资源配额不足等问题。更多信息,请参见自助问题排查。