路徑分析介紹

應(yīng)用場景

路徑分析支持對以下場景進(jìn)行分析：

• 跨地域間ECS實(shí)例互訪：通過云企業(yè)網(wǎng) CEN（Cloud Enterprise Network）、VPC對等連接、轉(zhuǎn)發(fā)路由器 TR（TransitRouter）實(shí)現(xiàn)跨地域間ECS實(shí)例互訪，并支持識別專有網(wǎng)絡(luò) VPC（Virtual Private Cloud）邊界防火墻。該場景的源資源和目的資源可以屬于不同的阿里云賬號所有。

• 同地域間ECS實(shí)例互訪：通過CEN、VPC對等連接、TR實(shí)現(xiàn)同地域間ECS實(shí)例互訪，并支持識別VPC邊界防火墻。

• ECS實(shí)例與公網(wǎng)IP地址互訪，并支持識別互聯(lián)網(wǎng)邊界防火墻。

• 公網(wǎng)IP地址與私網(wǎng)CLB實(shí)例互訪。

• ECS實(shí)例與公網(wǎng)CLB實(shí)例互訪。

• ECS實(shí)例通過公網(wǎng)NAT網(wǎng)關(guān)的SNAT規(guī)則訪問公網(wǎng)。

• 公網(wǎng)通過公網(wǎng)NAT網(wǎng)關(guān)的DNAT規(guī)則訪問ECS實(shí)例。

• ECS實(shí)例通過VPN網(wǎng)關(guān)與私網(wǎng)IP地址互訪。

• 云上VPC內(nèi)實(shí)例通過邊界路由器VBR（Virtual Border Router）與云下站點(diǎn)互訪，并支持識別VPC邊界防火墻。

使用限制

路徑分析支持以下類型的資源作為源或目的資源：

• 源資源：ECS、公網(wǎng)IP地址、交換機(jī)、VBR、VPN網(wǎng)關(guān)、云下私網(wǎng)IP。

• 目的資源：ECS、公網(wǎng)IP地址、交換機(jī)、VBR、VPN網(wǎng)關(guān)、云下私網(wǎng)IP、傳統(tǒng)型負(fù)載均衡CLB。

單賬號支持的配額限制如下表所示。

創(chuàng)建路徑

1. 登錄網(wǎng)絡(luò)智能服務(wù)管理控制臺。

2. 在左側(cè)導(dǎo)航欄，選擇自助診斷 > 路徑分析。

3. 在路徑分析頁面，單擊發(fā)起分析。

4. 在發(fā)起分析頁面，配置以下參數(shù)信息。

   配置	說明
   源	選擇源類型： ECS：選擇ECS實(shí)例ID，即選擇ECS實(shí)例作為路徑中的源資源。選擇ECS實(shí)例后，您可以選擇ECS實(shí)例的私網(wǎng)IP地址。如果不選擇ECS實(shí)例的私網(wǎng)IP地址，默認(rèn)分析ECS實(shí)例主IP地址。 公網(wǎng)IP：輸入公網(wǎng)IP地址作為路徑中的源資源。 支持輸入ECS實(shí)例的固定公網(wǎng)IP、彈性公網(wǎng)IP或非阿里云的公網(wǎng)IP。不支持源資源和目的資源都為非阿里云的公網(wǎng)IP。 交換機(jī)：選擇交換機(jī)作為路徑中的源資源。 邊界路由器：選擇邊界路由器作為路徑中的源資源。 VPN網(wǎng)關(guān)：選擇VPN網(wǎng)關(guān)作為路徑中的源資源。 云下私網(wǎng)IP選擇阿里云下私網(wǎng)IP作為路徑中的源資源。在云下私網(wǎng)IP場景下支持VPN網(wǎng)關(guān)和邊界路由器類型，并且此時(shí)云下私網(wǎng)IP地址為必填項(xiàng)。
   目的	選擇目的類型： ECS：選擇ECS實(shí)例ID，即選擇ECS實(shí)例作為路徑中的目的資源。選擇ECS實(shí)例后，您可以選擇ECS實(shí)例的私網(wǎng)IP地址。如果不選擇ECS實(shí)例的私網(wǎng)IP地址，默認(rèn)分析ECS實(shí)例主IP地址。 公網(wǎng)IP：輸入公網(wǎng)IP地址作為路徑中的目的資源。 支持輸入ECS實(shí)例的固定公網(wǎng)IP、彈性公網(wǎng)IP或非阿里云的公網(wǎng)IP。不支持源資源和目的資源都為非阿里云的公網(wǎng)IP。 交換機(jī)：選擇交換機(jī)作為路徑中的目的資源。 邊界路由器：選擇邊界路由器作為路徑中的目的資源。 VPN網(wǎng)關(guān)：選擇VPN網(wǎng)關(guān)作為路徑中的目的資源。 云下私網(wǎng)IP選擇阿里云下私網(wǎng)IP作為路徑中的目的資源。在云下私網(wǎng)IP場景下支持VPN網(wǎng)關(guān)和邊界路由器類型，并且此時(shí)云下私網(wǎng)IP地址為必填項(xiàng)。 傳統(tǒng)型負(fù)載均衡：選擇CLB作為路徑中的目的資源。
   協(xié)議	默認(rèn)為TCP協(xié)議。支持選擇以下協(xié)議： TCP：傳輸控制協(xié)議。 UDP：用戶數(shù)據(jù)報(bào)協(xié)議。 ICMP：網(wǎng)絡(luò)控制報(bào)文協(xié)議。
   目的端口	輸入目的資源的端口號，默認(rèn)端口號為80，該參數(shù)非必填。如果該參數(shù)不填，路徑分析會(huì)檢測源資源到目的資源所有端口的連通性。

5. 選擇是否保存路徑。默認(rèn)為否，若選擇是，則路徑創(chuàng)建后，路徑參數(shù)將被保存，便于重復(fù)分析。

6. 單擊發(fā)起分析。

分析路徑

1. 在路徑分析頁面，找到目標(biāo)路徑，然后在操作列單擊發(fā)起分析。

2. 在彈出的對話框，單擊確定。

3. 在路徑分析詳情頁面，查看分析結(jié)果。

   • 路徑可達(dá)或不可達(dá)，顯示源資源到目的資源的訪問狀態(tài)及源資源到目的資源的各個(gè)節(jié)點(diǎn)。當(dāng)路徑不可訪問時(shí)，還會(huì)顯示錯(cuò)誤信息。

   • 路徑未知時(shí)，顯示錯(cuò)誤信息。

結(jié)果分析

路徑分析的結(jié)果有以下幾種情況。

• 路徑可達(dá)

  下圖展示了VPC對等連接在互訪時(shí)，一個(gè)VPC內(nèi)ECS實(shí)例到另一個(gè)VPC內(nèi)交換機(jī)的路徑分析結(jié)果，下圖表示源ECS實(shí)例到目的交換機(jī)之間路徑連通正常，及兩個(gè)VPC之間網(wǎng)絡(luò)連通性正常，可以訪問。

  單擊路徑中各個(gè)節(jié)點(diǎn)右側(cè)的圖標(biāo)，可以查看各個(gè)節(jié)點(diǎn)的詳細(xì)信息。

• 路徑不可達(dá)

  下圖展示了某個(gè)VPC內(nèi)ECS實(shí)例到NAT網(wǎng)關(guān)的路徑分析結(jié)果，錯(cuò)誤信息為公網(wǎng)NAT條目不匹配，請檢查NAT網(wǎng)關(guān)配置，此時(shí)源ECS實(shí)例到目的NAT網(wǎng)關(guān)之間路徑連通異常不可訪問。

  單擊路徑中異常節(jié)點(diǎn)右側(cè)的圖標(biāo)，可以查看異常節(jié)點(diǎn)的具體情況。

• 未知

  下圖展示了當(dāng)發(fā)生異常時(shí)路徑分析的一種情況，錯(cuò)誤信息為資源不存在，請確認(rèn)資源是否已刪除。

  路徑分析結(jié)果異常的錯(cuò)誤信息如下所示：

  • 不允許源資源和目的資源相同。

  • 路徑存在未支持的中間節(jié)點(diǎn)，暫不支持路徑分析。

  • 資源不存在，請確認(rèn)資源是否已刪除。

  • 資源狀態(tài)異常，請檢查資源是否正常運(yùn)行。

  • 路由不可達(dá)，請核查路由配置。

  • 未匹配安全組規(guī)則，被默認(rèn)規(guī)則拒絕。

  • 匹配安全組丟棄規(guī)則。

  • 未匹配到網(wǎng)絡(luò)ACL規(guī)則，被默認(rèn)規(guī)則拒絕。

  • 匹配網(wǎng)絡(luò)ACL丟棄規(guī)則。

  • 發(fā)生異常導(dǎo)致結(jié)果未知，請稍后重試。

  • 服務(wù)內(nèi)部異常，請稍后重試。

  • 匹配用戶指定CLB黑名單丟棄規(guī)則。

  • 未匹配CLB白名單規(guī)則默認(rèn)丟棄。

  • 公網(wǎng)NAT條目不匹配，請檢查NAT網(wǎng)關(guān)配置。

  • 無法與公網(wǎng)互連，請匹配彈性公網(wǎng)IP。

  • IPv4網(wǎng)關(guān)路由不可達(dá)，請?jiān)?span id="726e41d146dam" outputclass="productName" data-tag="ph" data-ref-searchable="yes" data-reuse-tag="productSimpleName" data-type="productSimpleName" data-product-code="vpc" docid="3760747" data-source="reuse_library" class="ph productName">VPC路由表中添加指向IPv4網(wǎng)關(guān)的路由條目。

  • IPv4網(wǎng)關(guān)激活后被刪除，導(dǎo)致公網(wǎng)不通。請重新創(chuàng)建、激活I(lǐng)PV4網(wǎng)關(guān)，并在VPC路由表中添加指向IPv4網(wǎng)關(guān)的路由條目。

  • 路由不可達(dá)，請核查IPv4網(wǎng)關(guān)路由配置。

  • VPN網(wǎng)關(guān)上缺少指向源IP回程路由。

刪除歷史分析

您可以在分析路徑中刪除不需要的歷史分析記錄。

1. 在路徑分析頁面，找到需要?jiǎng)h除歷史分析記錄的路徑，然后在路徑ID列，單擊路徑ID。

2. 在路徑分析詳情頁面的歷史分析區(qū)域，找到需要?jiǎng)h除的歷史分析記錄，然后在操作列單擊刪除。

3. 在彈出的對話框，單擊確定。

刪除路徑

當(dāng)您不需要檢測某個(gè)路徑的連通性時(shí)，您可以刪除該路徑。

1. 在路徑分析頁面，刪除目標(biāo)路徑。

   • 刪除單個(gè)目標(biāo)路徑：在單個(gè)目標(biāo)路徑的操作列單擊刪除。

   • 批量刪除目標(biāo)路徑：選中多個(gè)目標(biāo)路徑，單擊列表下方的批量刪除。

2. 在彈出的對話框，單擊確定。

設(shè)置標(biāo)簽

路徑分析支持標(biāo)簽功能。您可以通過標(biāo)簽對路徑分析實(shí)例進(jìn)行標(biāo)記和分類，便于資源的搜索好聚合。

• 批量增加標(biāo)簽

1. 在路徑分析頁面，選擇目標(biāo)路徑，單擊列表下方的設(shè)置標(biāo)簽 > 批量增加標(biāo)簽。

2. 在編輯標(biāo)簽對話框中，配置標(biāo)簽鍵和標(biāo)簽值，然后單擊確定。

• 批量刪除標(biāo)簽

1. 在路徑分析頁面，選擇目標(biāo)路徑，單擊列表下方的設(shè)置標(biāo)簽 > 批量刪除標(biāo)簽。

2. 在彈出的對話框，單擊確定。關(guān)于標(biāo)簽的更多信息，請參見標(biāo)簽概述。

其他相關(guān)操作

常見問題

為什么會(huì)提示“路徑存在未支持的中間節(jié)點(diǎn)，暫不支持路徑分析”的信息？

系統(tǒng)根據(jù)指定的源資源和目的資源所得到的路徑不在NIS當(dāng)前版本支持的場景范圍內(nèi)，會(huì)顯示此錯(cuò)誤信息。

為什么會(huì)提示“匹配安全組丟棄規(guī)則”的信息？

例如，您配置VPC2的ECS實(shí)例安全組只允許VPC1下交換機(jī)1網(wǎng)段的ECS實(shí)例訪問，不允許VPC1下其他交換機(jī)網(wǎng)段的ECS實(shí)例訪問。當(dāng)您通過路徑分析，選擇VPC1下交換機(jī)2的ECS1作為源，選擇VPC2下的ECS實(shí)例作為目的，就能在目的ECS實(shí)例的ENI上看到被安全組阻隔的問題，提示“匹配安全組丟棄規(guī)則”錯(cuò)誤信息。您可以修改安全組規(guī)則解決該問題。

為什么會(huì)提示“路由不可達(dá)，請核查路由配置”的信息？

例如在VPC對等連接在跨域互訪時(shí)，會(huì)要求用戶在兩個(gè)地域內(nèi)的VPC路由器中配置到目的網(wǎng)段的路由表項(xiàng)。比如VPC1在地域1，VPC2在地域2，用戶如果未配置VPC1下到VPC2的路由，兩邊的ECS無法互聯(lián)。通過路徑分析，輸入VPC1下的ECS1作為源，VPC2下的ECS2作為目的，會(huì)看到路徑在VPC1的路由器截?cái)啵崾尽奥酚刹豢蛇_(dá)，請核查路由配置”。

相關(guān)文檔

CreateNetworkPath：創(chuàng)建網(wǎng)絡(luò)分析路徑。

CreateNetworkReachableAnalysis：創(chuàng)建網(wǎng)絡(luò)可達(dá)性分析任務(wù)。

CreateAndAnalyzeNetworkPath：發(fā)起網(wǎng)絡(luò)可達(dá)性分析任務(wù)。

GetNetworkReachableAnalysis：獲取網(wǎng)絡(luò)可達(dá)性分析任務(wù)結(jié)果。

DeleteNetworkPath：刪除網(wǎng)絡(luò)分析路徑。

DeleteNetworkReachableAnalysis：刪除網(wǎng)絡(luò)可達(dá)性分析任務(wù)。