無法ping通ECS實例公網(wǎng)IP的排查方法
無法ping通ECS實例的原因較多,您可以參考本文進(jìn)行排查。
問題現(xiàn)象
本地客戶端無法ping通目標(biāo)ECS實例公網(wǎng)IP,例如:
本地客戶端為Linux系統(tǒng),ping目標(biāo)ECS實例公網(wǎng)IP時無響應(yīng),如下所示:
本地客戶端為Windows系統(tǒng),ping目標(biāo)ECS實例公網(wǎng)IP時提示請求超時錯誤,如下所示:
問題原因
在確保本地網(wǎng)絡(luò)正常的情況下(即您可以正常訪問其他網(wǎng)站或可以ping通其他網(wǎng)站),無法ping通目標(biāo)ECS實例公網(wǎng)IP可能有以下原因:
可能原因 | 排查方案 |
ECS實例未處于運(yùn)行中狀態(tài) | |
ECS實例的安全組錯誤 | |
ECS實例防火墻配置錯誤 | |
ECS實例CPU使用率或帶寬使用率過高 | |
ECS實例存在黑洞 | |
ECS實例被惡意入侵 | |
ECS實例為中國香港或海外實例 | |
某個客戶端ping不通 | |
域名未備案或域名解析異常 |
檢查ECS實例狀態(tài)
只有當(dāng)ECS實例狀態(tài)為運(yùn)行中時,才能對外提供業(yè)務(wù)訪問。檢查步驟如下:
登錄ECS管理控制臺。
在左側(cè)導(dǎo)航欄,選擇實例與鏡像>實例。
在頂部菜單欄左上角處,選擇地域。
在實例列表頁面,檢查目標(biāo)實例的狀態(tài)。
目標(biāo)實例不是運(yùn)行中狀態(tài),請根據(jù)實例狀態(tài),選擇對應(yīng)的解決方案。更多信息,請參見實例的生命周期。
目標(biāo)實例是運(yùn)行中狀態(tài),請執(zhí)行檢查ECS實例安全組規(guī)則。
檢查ECS實例安全組規(guī)則
ECS實例的安全組中默認(rèn)包含開放ICMP協(xié)議的規(guī)則,即允許ping通ECS實例,若該規(guī)則被刪除,則無法ping通ECS實例。您可以通過以下步驟進(jìn)行排查:
登錄ECS管理控制臺。
在左側(cè)導(dǎo)航欄,選擇。
在頁面左側(cè)頂部,選擇目標(biāo)資源所在的地域。
在ECS實例列表頁面,單擊目標(biāo)ECS實例ID。
在ECS實例詳情頁面,單擊安全組頁簽。
在安全組列表頁簽下,單擊安全組ID。
在安全組規(guī)則頁面,查看入方向規(guī)則是否存在ICMP協(xié)議的安全組規(guī)則。
不存在ICMP協(xié)議的安全組規(guī)則,請?zhí)砑右韵氯敕较虬踩M規(guī)則。具體操作,請參見添加安全組規(guī)則。
授權(quán)策略選擇允許,優(yōu)先級保持默認(rèn),協(xié)議類型選擇全部ICMP(IPv4),端口范圍為
-1/-1,授權(quán)對象:建議僅允許特定的IP訪問。存在ICMP協(xié)議的安全組規(guī)則,請執(zhí)行檢查ECS實例防火墻配置。
檢查ECS實例防火墻配置
請根據(jù)ECS實例操作系統(tǒng),選擇相應(yīng)的檢查方式。
檢查Linux系統(tǒng)內(nèi)核參數(shù)和防火墻配置
Linux系統(tǒng)是否允許ping由內(nèi)核參數(shù)icmp_echo_ignore_all和防火墻設(shè)置共同決定,任何一個禁止,都會無法ping通。
檢查Linux系統(tǒng)內(nèi)核參數(shù)
使用VNC遠(yuǎn)程連接ECS實例。
具體操作,請參見使用VNC登錄實例。
執(zhí)行如下命令,查看內(nèi)核參數(shù)
icmp_echo_ignore_all值。cat /proc/sys/net/ipv4/icmp_echo_ignore_all若回結(jié)果為0,表示允許所有的ICMP請求,請執(zhí)行檢查Linux防火墻配置。
若返回結(jié)果為1,表示禁止所有的ICMP請求,請執(zhí)行步驟3。
執(zhí)行如下命令,修改內(nèi)核參數(shù)
icmp_echo_ignore_all值為0允許所有ICMP請求。臨時允許
echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all永久允許
echo net.ipv4.icmp_echo_ignore_all=0 >> /etc/sysctl.conf sysctl -p
檢查Linux防火墻配置
使用VNC遠(yuǎn)程連接ECS實例。
具體操作,請參見使用VNC登錄實例。
執(zhí)行以下命令,查看防火墻規(guī)則。
iptables -L若返回如下結(jié)果,表示ICMP對應(yīng)規(guī)則未被禁止,請執(zhí)行檢查ECS實例CPU使用率或帶寬使用率。
Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT icmp -- anywhere anywhere icmp echo-request Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT icmp -- anywhere anywhere icmp echo-reque若返回結(jié)果ICMP對應(yīng)規(guī)則被禁止,請執(zhí)行以下命令,啟用對應(yīng)規(guī)則。
#Chain INPUT iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT #Chain OUTPUT iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
檢查Windows防火墻配置
本操作以Windows Server 2012為例,其他版本的Windows Server系統(tǒng)操作類似。
使用VNC遠(yuǎn)程連接ECS實例。
具體操作,請參見使用VNC登錄實例。
單擊左下角的
圖標(biāo),打開服務(wù)器管理。選擇右上角的工具>高級安全 Windows防火墻。
在高級安全 Windows防火墻頁面,分別查看入站規(guī)則和出站規(guī)則中ICMP相關(guān)協(xié)議是否被禁止。
如果ICMP相關(guān)協(xié)議被禁止,如下圖所示,請開啟該規(guī)則。
如果ICMP相關(guān)協(xié)議未禁止,請執(zhí)行檢查ECS實例CPU使用率或帶寬使用率。
檢查ECS實例CPU使用率或帶寬使用率
檢查外網(wǎng)相關(guān)資源使用率,如公網(wǎng)帶寬使用率達(dá)到100%等。
突發(fā)性能實例性能約束模式,當(dāng)CPU使用率達(dá)到100%時可能導(dǎo)致無法ping通或ping丟包,具體信息,請參見突發(fā)性能實例概述。
EIP或固定公網(wǎng)IP資源被占滿時,可能會導(dǎo)致ping操作被限速丟棄而無法ping通。
檢查是否存在黑洞
請檢查是否收到黑洞通知,黑洞期間無法遠(yuǎn)程連接、無法ping通ECS實例。
更多信息,請參見阿里云黑洞策略。
檢查云安全中心是否存在安全告警
請檢查云安全中心是否有異常的安全告警通知,被惡意入侵也會有可能導(dǎo)致ECS實例無法ping通。更多信息,請參見什么是云安全中心。
檢查您的實例是否為中國香港或海外實例
在中國內(nèi)地ECS實例訪問中國香港或海外ECS實例時,鏈路質(zhì)量會有可能受到運(yùn)營商線路影響,建議過一段時間再次嘗試。
檢查是否為某個客戶端環(huán)境ping不通
如果只有某個客戶端環(huán)境ping不通,其他客戶端環(huán)境可以ping通。建議在客戶端和ECS實例中進(jìn)行鏈路測試的。具體操作,請參見使用ping命令丟包或不通時的鏈路測試方法。
檢查域名是否備案或域名解析配置
如果可以ping通公網(wǎng)IP,但是ping不通域名,可能是域名沒有備案或者域名解析異常導(dǎo)致。
根據(jù)工信部要求,域名解析至中國內(nèi)地服務(wù)器必須先完成網(wǎng)站備案,才能正常開通網(wǎng)站訪問。因此,網(wǎng)站在未取得備案號之前不允許開通訪問,即未備案成功的網(wǎng)站均不能對外開通Web服務(wù),否則將被阿里云監(jiān)測系統(tǒng)識別并阻斷網(wǎng)站服務(wù)。
如果域名未備案,請先進(jìn)行備案。更多信息,請參見什么是ICP備案。
如果域名已備案,請檢查域名解析是否失效。更多信息,請參見解析生效測試方法和域名解析不生效的排查思路。
更多域名或網(wǎng)站無法訪問排查方法,請參見域名或網(wǎng)站無法訪問如何排查?。