专栏首页johnnyxsu技术交流分享玩转CVM之外网不通排查
原创

玩转CVM之外网不通排查

在用户使用CVM的过程中,经常会出现访问外网不通的情况。外网不通的原因从平台到系统都有可能会出现,在排查的时候涉及的方面有很多。基于此,本文提供详细的排查思路帮助各位解决类似的问题。

CVM系统排查

1.查看CVM本机防火墙

一般CVM在使用公有云镜像的时候会默认关闭防火墙,但用户在实际使用过程中会根据自己的需求设置防火墙。或者使用自定义镜像,此时就需要查看CVM的防火墙配置信息。防火墙信息需要登录系统中查看,不同系统查看方式也不一样。

Cenots 6 查看规则 iptables -L

关闭防火墙 service iptables stop

查看状态 service iptables status

Centos 7.x 查看规则 iptables -L

关闭防火墙 systemctl stop firewalld.service

查看防火墙状态 firewall-cmd –state

Linux查看防火墙

Windows 关闭防火墙 参考 https://jingyan.baidu.com/article/d5a880eb96996613f147ccba.html

查看Windows防火墙配置

2.查看selinux配置

查看selinux 状态,如果是开启,确保是否已经对应用授权对应的权限。大部分情况selinux都是默认关闭的。

利用命令 getenforce查看selinux的状态 enable是开启,disables是关闭

查看selinux状态

selinux配置文件地址

vi /etc/selinux/config

selinux配置

3.查看网卡机器模块信息

执行命令 ifconfig 确认eth0是否已经启动,

1.若网卡未启动执行 ifup eth0 尝试启动,或者重启network 服务

Centos 6.x service network restart

Centos 7.x systemctl restart network

#Ubuntu systemctl restart networking

/etc/init.d/network restart

若启动异常,可以根据 status 查看到的报错信息排查

2.执行命令 ifconfig,查看内网IP的信息和MAC地址是否和控制台一致(出现过由于修改过内网IP,控制台提示成功但是由于CVM的Cloud-Init组件异常系统修改失败,就会出现外网访问异常),控制台可在弹性网卡中查看内网IP,点击网卡IP可以查询网卡的MAC地址。需要仔细核对控制台的内网地址和MAC地址是否和ifconfig 中eth0的信息一致。

网卡配置文件地址 /etc/sysconfig/network-scripts/ifcfg-eth0 是否正确

网卡配置文件

控制台IP和MAC地址信息查询

确定控制台上内网和MAC地址

3.查看网卡模块是否加载设备是否正常 lsmod |grep virtio & lspci |grep Virtio

查看网卡模块是否加载
PCI设备中是否有网卡

4.本地路由表信息配置

执行命令route -n查看本机路由表配置信息,检查是否有默认路由,

CVM平台排查

5.确认CVM有外网出口

CVM一般的出口有云主机公网IP,NAT网关,云主机(公网网关)等主要的出口方式,具体选择哪种出口方式可以在CVM坐在的VPC下的路由表进行配置。如果CVM无法访问公网最先应该确保CVM有以上的出口方式,以及对应的路由表要设置。

确定VPC的路由表配置

6.查看安全组配置

首先需要查看CVM的安全组配置是否合理,在控制台选择点击对应的CVM ID,进入CVM的实例管理中的安全组,查看当前安全组的出栈策略,是否容许流量出栈。一般情况下,CVM安全组出栈是不受限制的。

安全组配置检查

7.查看网络ACL

https://console.cloud.tencent.com/vpc/acl 在该界面查看CVM所在的子网是否关联了对应的ACL策略,是否有禁止外网访问的策略存在。

ACL配置检查

安全组与网络 ACL 的区别

安全组

网络 ACL

在实例级别的操作(第一防御层)。

在子网级别的操作(第二防御层)。

支持允许规则和拒绝规则。

支持允许规则和拒绝规则。

有状态:返回数据流会被自动允许,不受任何规则的影响。

无状态:返回数据流必须被规则明确允许。

只有在启动实例的同时指定安全组、或稍后将安全组与实例关联的情况下,操作才会被应用到实例。

自动应用到关联子网内的所有云服务器实例。

selinux配置文件

8..查看CVM是否欠费或隔离

在控制台需要查看CVM是否欠费或隔离,在欠费或隔离状态下,CVM有可能可以通过VNC访问,但外放访问会异常。

CVM状态是否正常

安全排查

9.CVM是否存被攻击

如果CVM被攻击,在没有购买高防产品时,云平台会提供基础防护的功能,平台会对攻击流量进行清洗,一般小客户攻击流量达到2G,大客户攻击流量达到10G就会出现封堵,此时CVM的IP就会被隔离无法访问出去,也无法访问进来。一般如果CVM出现封堵,会通过站内信,邮件以及短信通知到用户,也可以再DDoS防护中的自助解封查看是否有攻击的IP。

判断CVM是否有被攻击

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 玩转CVM之测试外网带宽

    在云上的环境中,一般CVM都是通过多线BGP接入网络,用户在实际使用的过程中,会遇到外网带宽不符合预期的情况。正常情况来说只要终端运营商是国内过着国外主流的运营...

    苏欣
  • CLB健康检查异常排查流程

    CLB健康检查是指负载均衡实例定期向后端服务器发送 Ping、尝试连接或发送请求来测试后端服务器运行的状况。当后端服务器实例被判定为不健康时,负载均衡实例将不会...

    苏欣
  • 【玩转腾讯云】解决使用腾讯云CVM跨境访问国外网站不通的办法

    【问题描述】相信很多同学都遇到腾讯云CVM访问国外网站如亚马逊(www.amaon.com)、github(www.github.com)访问不了或者访问卡顿或...

    Z .H
  • 【玩转腾讯云】征文活动获奖名单公布

    由云+社区联合腾讯云免费体验馆及各产品团队举办【玩转腾讯云】征文活动,吸引入驻作者积极参加,非常感谢各位作者的参与。经过评委老师从产品创新性、实用性、可借鉴性、...

    云加社区
  • 【玩转腾讯云】十二. 在云端构建日志集中存储管理平台

    ②选择自定义配置——计费模式为“按量付费”——地域选择“北京”——可用区选择“随机可用区”——网络选择“默认”即可

    一只特立独行的兔先生
  • 【玩转腾讯云】七.基于CVM快速搭建部署属于自己的维基百科

    ②选择自定义配置——计费模式为“按量付费”——地域选择“北京”——可用区选择“随机可用区”——网络选择“默认”即可

    一只特立独行的兔先生
  • 【玩转腾讯云】四.使用云服务器CVM轻松部署Node.js

    ②选择自定义配置——计费模式为“按量付费”——地域选择“北京”——可用区选择“随机可用区”——网络选择“默认”即可

    一只特立独行的兔先生
  • 【玩转腾讯云】九.云开发CloudBase快速上手hexo博客

    ① 在产品控制面板中找到云开发CloudBase——立即使用,进入云开发授权开通页面

    一只特立独行的兔先生
  • 【玩转腾讯云】十.通过Web浏览器对CVM服务器运维管理

    ②选择自定义配置——计费模式为“按量付费”——地域选择“北京”——可用区选择“随机可用区”——网络选择“默认”即可

    一只特立独行的兔先生
  • TKE集群pod内无法访问集群外cvm自建容器

    使用tke产品的客户,经常会遇到GlobalRouter网络模式下tke集群内的pod无法访问集群外cvm自建docker容器服务,cvm节点也无法集群内pod...

    聂伟星
  • 【玩转腾讯云】十三.基于云平台的安全攻防靶场系统构建

    ②选择自定义配置——计费模式为“按量付费”——地域选择“北京”——可用区选择“随机可用区”——网络选择“默认”即可

    一只特立独行的兔先生
  • API网关客户端调用出现504问题排查

    API 网关是用于实现完整 API 托管的服务,用于协助开发者轻松完成 API 的创建、维护、发布、监控等整个生命周期的管理。通过 API 网关,您可以封装后端...

    邓愉悦
  • 【玩转腾讯云】3分钟打造个人专属云盘,速度吊打某云盘

    ②选择自定义配置——计费模式为“按量付费”——地域选择“北京”——可用区选择“随机可用区”——网络选择“默认”即可

    一只特立独行的兔先生
  • 【玩转腾讯云】五.手把手教你用VNC搭建Ubuntu可视化界面(一)

    ②选择自定义配置——计费模式为“按量付费”——地域选择“北京”——可用区选择“随机可用区”——网络选择“默认”即可

    一只特立独行的兔先生
  • 负载均衡的健康检查

    腾讯云的负载均衡产品发布至今,产品形态变化还是比较大的,最开始有传统型负载均衡,应用型负载均衡,后面结合自身产品特性以及云上相关用户的产品需求,逐渐开始改造,使...

    云售后焦俊成
  • 优化IPv6业务可用性全过程

    导语| 截止到2020年5月,中国IPv6活跃用户已经高达2.83亿,云服务平台中完成IPv6改造的云产品占比超过64%。越来越多的用户会使用IPv6的CLB(...

    binwenli
  • 购买腾讯云服务器后,外网访问丢包,如何解决?

    我们在购买腾讯云服务器云服务器CVM_云主机_云计算服务器_弹性云服务器- 腾讯云 (tencent.com)的时候,对于网络方面,一就是考虑带宽,二就是考虑服...

    子沐u
  • TKE集群,一次磁盘挂载问题处理

    随着云原生概念的普及,越来越多的企业,已经将业务迁移到容器平台上,以充分利用容器、Kubernetes、服务网格来完成基础架构的转型升级。

    白鹏飞
  • 玩转CVM:Gitlab安装搭建

    本教程将讲解如何依托腾讯云主机(CVM),以Docker方式搭建Gitlab服务。具体将包括:Docker安装,Gitlab安装与配置,Gitlab的开发流程示...

    溪歪歪

扫码关注云+社区

领取腾讯云代金券