このトピックでは、Elastic Compute Service (ECS) ネットワーク接続診断機能でサポートされている診断項目について説明し、診断範囲と結果について詳しく説明します。
診断項目
ECS ネットワーク接続診断機能は、以下のリソースをサポートしています。
ECS インスタンス。この機能は、セキュリティポリシー、ネットワークインターフェースコントローラー (NIC) の構成、システム負荷、ビジネスステータスなど、ECS インスタンスの診断項目をチェックします。
Elastic Network Interface (ENI)。この機能は、ENI の基盤となるステータスとセキュリティグループの構成をチェックします。
vSwitch。この機能は、vSwitch のネットワークアクセス制御リスト (ACL) の構成をチェックします。
診断項目には、以下の重大度レベルが割り当てられます。
クリティカル: クリティカルな診断項目は、ネットワーク接続を決定します。クリティカルな診断項目で例外が診断された場合は、ネットワーク接続の問題が発生しています。
非クリティカル: 非クリティカルな診断項目は、ネットワーク接続に影響を与える可能性があります。非クリティカルな診断項目で例外が診断された場合は、ネットワーク接続の問題が発生する可能性があります。
ECS インスタンスの診断項目
カテゴリ | 診断項目 | 重大度 | 説明 | 提案 |
SSH サービス | SSH サービスが開始されているかどうか | クリティカル | インスタンスで SSH サービスが開始されているかどうか、およびサービスがリッスンしているポートを確認します。
|
|
SSH サービスに必要な重要なファイルまたはディレクトリが存在するかどうか | クリティカル | SSH 構成ファイルとディレクトリの整合性をチェックします。 | SSH 構成ファイルまたはディレクトリが見つからないことを示すメッセージが表示された場合は、メッセージに基づいてファイルまたはディレクトリを復元します。 | |
SSH が root ユーザーのログインを許可するかどうか | 非クリティカル | SSH が root ユーザーのログインを許可するかどうかを確認します。 | SSH が root ユーザーによるログインを拒否していることを示すメッセージが表示され、この制限を解除したい場合は、問題のトラブルシューティングを行い、SSH 構成を変更します。詳細については、「SSH クライアントから Linux インスタンスに接続するときに「Permission denied, please try again」というエラーメッセージが表示される場合はどうすればよいですか?」をご参照ください。 | |
NIC 構成 | 動的ホスト構成プロトコル (DHCP) サービスが開始されているかどうか | クリティカル | イメージが DHCP をサポートしているインスタンスに静的 IP アドレスが正しく割り当てられておらず、インスタンスで DHCP サービスが開始されていない場合は、DHCP が開始されていないことを示すメッセージが表示されます。 | VNC を使用してインスタンスにログインし、DHCP サービスを開始します。 |
NIC の IP アドレスが正しいかどうか | クリティカル | NIC で、無効な IP アドレス のようなメッセージが表示された場合、検出された IP アドレスは構成されたものと異なります。 | NIC の静的 IP アドレスを変更します。詳細については、「セカンダリプライベート IP アドレス」をご参照ください。 | |
NIC マスクが正しいかどうか | 非クリティカル | NIC で、<eniId> NIC にマスクが構成されていません のようなメッセージが表示された場合、NIC にマスクがないか、マスクが正しくありません。 | デフォルトマスクを使用するか、NIC に正しいマスクを構成します。 | |
インスタンスセキュリティポリシー | iptables ルールがトラフィックを許可またはブロックするように構成されているかどうか | クリティカル |
|
|
インスタンスのパブリック IP アドレスでブラックホールフィルタリングがトリガーされているかどうか | クリティカル | インスタンスが DDoS 攻撃の被害に遭い、DDoS 攻撃の量がインスタンスに提供される軽減機能を超えると、ブラックホールフィルタリングがトリガーされ、インスタンスのパブリック IP アドレスへのすべてのインバウンドトラフィックがブロックされます。この場合、<パブリック IP アドレス> でブラックホールフィルタリングがトリガーされており、IP アドレスにアクセスできません のようなメッセージが表示されます。 | ブラックホールフィルタリングポリシーとブラックホールフィルタリングの解除方法の詳細については、「Alibaba Cloud のブラックホールフィルタリングポリシー」をご参照ください。 | |
システムルーティング構成 | ルーティングポリシーが構成されているかどうか | クリティカル | インスタンスにルーティングポリシーが構成されていない場合、チェックは失敗します。インスタンスにルーティングポリシーが構成されている場合、policyName ルーティングポリシーがトラフィックを転送しています のようなメッセージが表示されます。 | 誤ったルーティングポリシーを確認して削除します。 |
インスタンスシステム負荷 | CPU 負荷 | 非クリティカル | インスタンスの CPU 負荷が 80% を超えているかどうかを確認します。 | インスタンスの CPU 負荷が 80% を超えたままの場合は、より多くの vCPU を持つインスタンスタイプにアップグレードするかどうかを決定します。詳細については、「インスタンスタイプを変更する」をご参照ください。 |
パブリック帯域幅負荷 | 非クリティカル | インスタンスのパブリック帯域幅負荷が 90% を超えているかどうかを確認します。 | インスタンスのパブリック帯域幅負荷が 90% を超えたままの場合は、パブリック帯域幅を増やすかどうかを決定します。詳細については、「最大パブリック帯域幅を変更する」をご参照ください。 | |
内部帯域幅負荷 | 非クリティカル | インスタンスの内部帯域幅負荷が 90% を超えているかどうかを確認します。 | インスタンスの内部帯域幅負荷が 90% を超えたままの場合は、より高いベース帯域幅を提供するインスタンスタイプにアップグレードするかどうかを決定します。詳細については、「インスタンスタイプを変更する」をご参照ください。 | |
ユーザーサービスステータス | プロセスが指定された宛先ポートをリッスンしているかどうか | クリティカル | インスタンスの指定された宛先ポートでプロセスがリッスンしているかどうかを確認します。そうでない場合、チェックは失敗します。 | インスタンスに接続し、プロセスを起動して指定された宛先ポートをリッスンします。 |
インスタンスステータス | インスタンスの期限が切れているかどうか | クリティカル | 期限切れのインスタンスが検出されると、メッセージが表示されます。 | できるだけ早くインスタンスを更新してください。詳細については、「サブスクリプションインスタンスを更新する」をご参照ください。 |
Alibaba Cloud アカウントの支払い遅延 | クリティカル | Alibaba Cloud アカウントで支払い遅延が検出されると、メッセージが表示されます。 | できるだけ早くアカウントに資金を追加してください。 |
ENI の診断項目
カテゴリ | 診断項目 | 重大度 | 説明 | 提案 |
ENI ステータス | 基盤となるステータス | クリティカル | ENI の基盤となるステータスが異常な場合、メッセージが表示されます。 | ENI のステータスを確認します。例外が発生した場合は、対応する操作を実行して例外をトラブルシューティングします。 |
セキュリティグループ構成 | セキュリティグループ | クリティカル | セキュリティグループは、セキュリティグループのタイプとルールに基づいて、ENI へのトラフィックまたは ENI からのトラフィックを制御します。
| セキュリティグループが期待どおりにアクセス制御を実装しているかどうかを確認します。そうでない場合は、ニーズに基づいてセキュリティグループを構成します。 |
vSwitch の診断項目
カテゴリ | 診断項目 | 重大度 | 説明 | 提案 |
ネットワーク ACL | ネットワーク ACL 構成 | クリティカル |
| vSwitch が期待どおりにアクセス制御を実装しているかどうかを確認します。そうでない場合は、ニーズに基づいて vSwitch のネットワーク ACL を構成します。 |