【VPC-运维案例】02 同一个VPC内的两台弹性云服务器无法互通或者出现丢包等现象时，如何排查？

排查思路

1.         排查安全组规则。

2.         排查网络ACL。

3.         排查弹性云服务器内部网卡信息。

4.         排查不通端口。

排查步骤

1.         排查安全组规则

排查弹性云服务器网卡对应的安全组是否放通了出方向和入方向的ICMP规则。

以入方向为例，即安全组规则需要包含下图中的任意一条规则。

若客户测试的是其他协议的报文，需放通相应协议的安全组规则。例如，测试的是UDP报文，则需检查安全组是否有规则放通出入方向的UDP协议。

2.         排查网络ACL。

a.         查看弹性云服务器的网卡是否处于网络ACL的关联子网中。

b.         在网络ACL列表中查查看网络ACL的状态。

n   操作列下显示“关闭”，则表示网络ACL已经开启。执行2.c。

n   操作列下显示“开启”，则表示网络ACL已经关闭。执行2.d。

c.         单击网络ACL名称，分别在“入方向”和“出方向”的页签下添加ICMP放通规则。

d.         网络ACL关闭时，默认规则为丢弃所有出入方向的包。此时，请删除网络ACL或者开启ACL并放通ICMP规则。

3.         排查弹性云服务器内部网卡信息（以下步骤以Linux系统为例，Windows操作系统请检查系统防火墙限制。）

a.         确认弹性云服务器是否有多网卡配置。如果配置多网卡且弹性IP绑定在非主网卡上，请在弹性云服务内部配置策略路由。

b.         登录弹性云服务器，执行以下命令，查看网卡是否创建且网卡获取私有IP地址。若无网卡信息或者无法获取私有IP地址，请联系技术支持。

ifconfig

c.         执行以下命令，查看弹性云服务器的CPU占用率是否过高，CPU占有率超过80%有可能会影响ECS通信。

top

d.         执行以下命令，查看弹性云服务器内容部是否有安全规则的其他限制。

iptables-save

e.         执行以下命令，查看“/etc/hosts.deny”文件中是否包含了限制通信的IP地址。

vi /etc/hosts.deny

如果hosts.deny文件里面包含了对端的IP地址，请将该IP从hosts.deny文件中删除并保存文件。

4.         排查不通端口

a.         如果无法访问弹性云服务器的特殊端口，请排查安全组规则以及网络ACL规则中是否对端口进行放行。

b.         在Linux弹性云服务器内部通过以下命令查看弹性云服务器内部是否监听该端口。如果未对该端口进行监听，可能会影响弹性云服务器的通信。

netstat -na | grep <端口号>