操作指南

API文档

诚邀爱技术、爱分享的你,成为文档内容共建者> HOT
文档中心 > 私有网络 > 故障处理 > 使用云联网打通两个 VPC 后网络不通

现象描述

通过云联网打通两个 VPC 网络后,发现网络 ping 不通。

说明:

  • 测试网络连通性可使用如下方式之一:
    • ping 命令: 用于测试源主机与目标主机网络是否连通,使用方式:ping 对端 IP
    • telnet 命令: 用于测试指定目标主机的端口是否可达,使用方式:telnet 对端 IP地址 对端端口号
  • 腾讯云数据库、CFS/ES 集群等默认禁 ping,建议使用 telnet 检测连通性。
  • 内网负载均衡的 VIP(virtual IP)仅支持来自本 VPC 的客户端 ping,因此使用云联网打通的网络,不能通过网络 ping 对端网络的内网负载均衡的 VIP 来测试网络连通性,可以使用 ping 对端 CVM,或 telnet CLB 服务端口。

可能原因

  • 云服务器内部安装了 docker 容器,存在容器路由
  • 通信子网间网段冲突,导致路由失效
  • 安全组规则未放通
  • 子网 ACL 规则未放通
  • 云服务器内部开启了防火墙

处理步骤

步骤一:检查通信两端云服务器是否存在 docker 路由

  1. 进入 云服务器控制台,单击云服务器右侧的登录,按照界面提示输入密码或密钥,以 标准方式登录云服务器,并执行 route 查看系统内部路由表。
  2. 查看系统内是否存在 docker 容器网段路由,且与对端云服务器所在子网网段相同。
    • 如存在容器网段路由,且容器网段与对端子网网段重叠,容器网段路由与 VPC 互通路由将发生冲突,此时系统将优先选择容器路由,从而导致与对端访问不通。请更换为其他网段的通信子网,或修改容器网段,处理后请再次尝试 ping 测试问题是否解决,解决则结束,未解决则继续排查 步骤二
    • 如不存在,请继续排查 步骤二

步骤二:判断两个 VPC 子网网段是否冲突导致路由失效

  1. 登录 私有网络控制台,单击云联网,进入云联网控制台。
  2. 单击云联网实例 ID,进入详情页面。
  3. 单击路由表页签,查看是否有如下图所示的失效路由。
    • 如存在失效路由,即如下图所示存在两条到相同目的端的路由条目,从而导致 路由冲突 失效,请根据实际情况删除/禁用冲突网段的路由,启用需要通信的路由,然后再尝试 ping 测试问题是否解决,解决则结束,未解决则继续排查 步骤三
    • 如不存在失效路由,请继续排查 步骤三

步骤三:检查通信两端云服务器的安全组规则是否放通

  1. 登录 云服务器控制台
  2. 单击云服务器实例 ID,进入实例详情界面。
  3. 单击安全组页签,查看是否有放通 ICMP 协议,及对应来源 IP/目的 IP 的出入站安全组规则。
    • 如无对应协议规则,或规则为拒绝,请单击编辑修改对应协议的安全组规则,然后尝试 ping 测试问题是否解决,解决则结束,未解决则继续排查 步骤四
    • 如安全组出入站规则均正确,请继续排查 步骤四
      异常示例

      正常示例

步骤四:检查通信两端子网关联的 ACL 规则是否放通

  1. 在云服务器详情页,单击该云服务器所属子网 ID 进入子网详情界面。
  2. 单击 ACL 规则页签,查看子网是否绑定了网络 ACL,且 ACL 出入站规则中,是否有拒绝 ICMP 协议,及来源/目标 IP 的规则。
    • 如未绑定 ACL,请继续排查 步骤五
    • 如绑定了 ACL,且 ACL 规则已允许相应协议及 IP,则继续排查 步骤五
    • 如绑定了 ACL,但 ICMP 规则为拒绝,或 ACL 中无 ICMP 规则,请单击 ACL ID,进入 ACL 界面,修改使得对应协议及来源/目标 IP 的规则为允许,然后尝试 ping 测试问题是否解决,解决则结束,未解决则继续排查 步骤五
      说明:

      如确认不需要使用 ACL 规则对子网流量进行控制,也可以解绑 ACL,该操作需谨慎评估影响后再执行。

步骤五:请检查通信两端云服务器是否开启了防火墙

请自行确认云服务器是否开启防火墙,如开启请确保防火墙不会对通信流量进行拦截,否则需要放通防火墙的限制。

说明:

目录