このトピックでは、クライアントがElastic Compute Service (ECS) インスタンスをpingできますが、インスタンスのポートをpingできないという問題をトラブルシューティングする方法について説明します。
手順
クライアントを使用してECSインスタンスにpingできますが、インスタンスのサービスポートにはpingできない場合、ポートへのアクセスは、クライアント-インスタンスネットワークパスの特定のノードによってブロックされる可能性があります。 問題をトラブルシューティングするには、次の手順を実行します。
手順1: インスタンスのセキュリティルールの確認
インスタンスのポートが使用できない場合、ポート80などのポートはインスタンスのセキュリティグループルールで開かれない可能性があります。 次の操作を実行して、セキュリティグループルールを確認します。
にログインします。ECSコンソール.
左側のナビゲーションウィンドウで、.
上部のナビゲーションバーで、リソースが属するリージョンとリソースグループを選択します。
インスタンスリストページで、セキュリティグループルールを確認するインスタンスを見つけ、インスタンスIDをクリックします。
インスタンスの詳細ページで、[セキュリティグループ] タブをクリックします。
[セキュリティグループ] タブで、ルールを確認するセキュリティグループを見つけ、セキュリティグループIDをクリックします。
[セキュリティグループルール] ページで、ポート80などのポートがインバウンドセキュリティグループルールで開かれているかどうかを確認します。
ポートが開かれていない場合は、ポートを開くインバウンドセキュリティグループルールを追加します。 セキュリティグループルールの追加方法については、「セキュリティグループルールの追加」をご参照ください。
ポートが開いている場合は、ステップ3: インスタンスのファイアウォール設定の確認に進みます。
ステップ2: チェックポートおよび関連サービスのリスニングステータス
インスタンスのポートが使用できない場合、ポートがリッスンされず、リスニングサービスが開始されない可能性があります。 次の操作を実行して、インスタンスのセキュリティグループルールを確認します。
Linux インスタンス
この例では、CentOS 7.9を実行するインスタンスが使用されます。 操作はLinuxのバージョンによって異なります。
Linuxインスタンスに接続します。
詳細については、「Workbenchを使用したSSH経由のLinuxインスタンスへの接続」をご参照ください。
次のコマンドを実行して、ポートがリッスンされているかどうかを確認します。
netstat -an | grep [$Port] # Replace <Port> in [$Port] with the actual port number.次の情報が返された場合、ポート80がリッスンされます。 ステップ3: インスタンスのファイアウォール設定の確認に進みます。
前の情報が返されない場合、ポート80はリッスンされず、リスニングサービスは開始されません。 サービスを再起動します。 問題が解決しない場合は、ステップ3: インスタンスのファイアウォール設定の確認に進みます。
Windows インスタンス
この例では、Windows Server 2012を実行するインスタンスが使用されます。 他のバージョンのWindows Serverを実行するインスタンスの操作も同様です。
Windowsインスタンスに接続します。
詳細については、「Workbenchを使用したRDP経由のWindowsインスタンスへの接続」をご参照ください。
Windows PowerShellで次のコマンドを実行して、ポートがリッスンされているかどうかを確認します。
netstat -ano | findstr "[$Port]" # Replace <Port> in [$Port] with the actual port number.次の情報が返された場合、ポート80がリッスンされます。 インスタンスのファイアウォール設定の確認に進みます。
前の情報が返されない場合、ポート80はリッスンされず、リスニングサービスは開始されません。 サービスを再起動します。 問題が解決しない場合は、インスタンスのファイアウォール設定の確認に進みます。
手順3: インスタンスのファイアウォール設定の確認
インスタンスのポートが使用できない場合、インスタンスのファイアウォールによってポートへのアクセスがブロックされる可能性があります。 次の操作を実行して、インスタンスのファイアウォール設定を確認します。
Linux インスタンス
この例では、CentOS 7.9を実行するインスタンスが使用されます。 操作はLinuxのバージョンによって異なります。
Linuxインスタンスに接続します。
詳細については、「Workbenchを使用したSSH経由のLinuxインスタンスへの接続」をご参照ください。
次のコマンドを実行して、ファイアウォールのステータスを確認します。
systemctl status firewalldコマンド出力に
Active: inactive (dead)メッセージが表示された場合、ファイアウォールは無効になります。 この場合、追加の操作は必要ありません。コマンド出力に
Active: active (running)メッセージが表示されると、ファイアウォールが有効になります。 ステップ3に進む。
次のコマンドを実行して、ファイアウォールによって開かれているポートを表示します。
firewall-cmd --list-allコマンド出力にports: 80/tcpメッセージが表示された場合、ポート80が開かれます。 この場合、追加の操作は必要ありません。
コマンド出力にports: 80/tcpメッセージが表示されない場合は、次のコマンドを実行してポート80を開きます。
firewall-cmd --zone=public --add-port=80/tcp --permanentsuccessが返されると、ポート80が開かれます。
Windows インスタンス
この例では、Windows Server 2012を実行するインスタンスが使用されます。 他のバージョンのWindows Serverを実行するインスタンスの操作も同様です。
Windowsインスタンスに接続します。
詳細については、「Workbenchを使用したRDP経由のWindowsインスタンスへの接続」をご参照ください。
デスクトップの左下隅にあるアイコンをクリックして
、サーバーマネージャーを起動します。 右上隅で、[ツール] > [セキュリティが強化されたWindows Defenderファイアウォール] を選択します。
ファイアウォールの状態を確認してください。
ファイアウォールが無効の場合、追加の操作は必要ありません。
ファイアウォールが有効になっている場合は、次の操作を実行します。
[セキュリティが強化されたWindows Defenderファイアウォール] ウィンドウで、[インバウンドルール] をクリックします。
Windowsリモート管理-互換モード (HTTP-In) のステータスを確認します。
Windowsリモート管理-互換モード (HTTP-In) のインバウンドルールが有効になっている場合、追加の操作は必要ありません。
Windowsリモート管理-互換モード (HTTP-In) のインバウンドルールが無効になっている場合は、Windowsリモート管理-互換モード (HTTP-In) を右クリックし、[ルールの有効化] を選択します。
ステップ4: プロービングツールを使用する
インスタンスのポートは、ネットワークパス内の特定のノードによってポートへのアクセスがブロックされているため、使用できない場合があります。 プロービングツールを使用して、そのようなノードが存在するかどうかを確認します。
プロービングツールを使用してポートの可用性を確認
Linuxクライアント
ほとんどの場合、tracerouteを使用してLinuxでポートの可用性を確認できます。 Tracerouteは、送信元から宛先までのIPネットワーク上のTCPパケットなどのパケットが取るルートをトレースするために使用されるネットワーク診断ツールです。 Tracerouteは、パスに沿ってpingするすべてのノードのネットワーク接続性をチェックします。
tracerouteのインストール
sudo yum install -y tracerouteTracerouteコマンド
tracerouteコマンドの構文のサンプル:
traceroute [-n] -T -p <Destination port number> <Host>-n: ホスト名の代わりにIPアドレスを使用して、ドメイン名システム (DNS) の逆検索を防ぎます。
-T: プロービングにTCPパケットを使用します。
-p: プロービングするポートの番号を指定します。
<宛先ポート番号>: プロービングするポートの番号を指定する。 例: 80。
<Host>: 宛先サーバのIPアドレスを指定します。 例:
192.168.XXX.XXX
サンプルテスト
tracerouteコマンドと出力のサンプル:
[test@centos~]# traceroute -n -T -p 22 223.5.XXX.XXX
traceroute to 223.5.XXX.XXX (223.5.XXX.XXX), 30 hops max, 60 byte packets
1 5X.X.X.X 0.431 ms 0.538 ms 0.702 ms
2 10.88.XXX.XXX 0.997 ms 1.030 ms 10.88.XXX.XXX 1.309 ms
3 58.96.XXX.XXX 0.393 ms 0.390 ms 58.96.XXX.XXX 0.423 ms
4 202.123.XXX.XXX 1.110 ms 202.123.XXX.XXX 0.440 ms 0.440 ms
5 63.218.XXX.XXX 1.744 ms 63.218.XXX.XXX 1.076 ms 1.232 ms
6 63.223.XXX.XXX 1.832 ms 63.223.XXX.XXX 1.663 ms 63.223.XXX.XXX 1.616 ms
7 63.223.XXX.XXX 2.776 ms 63.223.XXX.XXX 1.585 ms 1.606 ms
8 * * 202.97.XXX.XXX 2.537 ms
9 202.97.XXX.XXX 6.856 ms * *
10 * * *
11 * * *
12 * * 119.147.XXX.XXX 8.738 ms
13 119.147.XXX.XXX 8.248 ms 8.231 ms *
14 * 42.120.XXX.XXX 32.305 ms 42.120.XXX.XXX 29.877 ms
15 42.120.XXX.XXX 11.950 ms 42.120.XXX.XXX 23.853 ms 42.120.XXX.XXX 29.831 ms
16 42.120.XXX.XXX 11.007 ms 42.120.XXX.XXX 13.615 ms 42.120.XXX.XXX 11.956 ms
17 42.120.XXX.XXX 21.578 ms 42.120.XXX.XXX 13.236 ms *
18 * * 223.5.XXX.XXX 12.070 ms !XWindowsクライアント
Windowsでは、tracetcpを使用してポートの可用性を確認できます。 tracerouteと同様に、tracetcpもTCPパケットを送信してネットワークパスをチェックし、中間ノードが宛先ポートへのアクセスをブロックしたかどうかを分析します。
tracetcpのインストール
WinPcap公式WebサイトからWinPcapライブラリをダウンロードしてインストールします。
tracetcp公式サイトからtracetcpパッケージをダウンロードします。
ダウンロードしたtracetcpパッケージを
C:\Windowsディレクトリに解凍します。重要パッケージをシステム以外のディレクトリに解凍する場合は、システム環境変数を変更して、コマンドを直接実行できるようにします。
手順
Windows PowerShellまたはコマンドプロンプトでtracetcpコマンドを入力します。 サンプルtracetcpコマンド構文:
tracetcp <IP>:<Port><IP>: 宛先サーバーのIPアドレスまたはドメイン名を指定します。
<Port>: プロービングの宛先ポートを指定します。
tracetcpパラメーターの詳細については、tracetcp -? コマンドを実行してヘルプを表示します。
サンプルテスト
サンプルtracetcpコマンドと出力:
C:\ >tracetcp www.aliyun.com:80
Tracing route to 140.205.XX.8 on port 80
Over a maximum of 30 hops.
1 3 ms 4 ms 3 ms 10.102.XXX.XXX
2 13 ms 3 ms 4 ms 10.102.XXX.XXX
3 3 ms 3 ms 2 ms 140.205.XXX.XXX
4 4 ms 3 ms 3 ms 180.163.XXX.XXX
5 5 ms 4 ms 7 ms 101.95.XXX.XXX
6 6 ms 5 ms 7 ms 124.74.XXX.XXX
7 8 ms 8 ms 8 ms 124.74.XXX.XXX
8 10 ms 10 ms 8 ms 114.80.XXX.XXX
9 9 ms 9 ms 11 ms 42.120.XXX.XXX
10 * * * Request timed out.
11 Destination Reached in 8 ms. Connection established to 140.205.XXX.XXX
Trace Complete.プロービング结果のケース分析
ポートへのアクセスが特定のホップでブロックされている場合、後続のすべてのホップに対して結果は返されません。 ホップ内のノードは異常であると見なされます。 IP検索などのIP検索Webサイトを使用してノードのネットワークキャリアを検索し、ネットワークキャリアに問題を報告します。
例1:
プロービング結果: 3番目以降のホップでは、ポートの結果が返されません。 ポートへのアクセスは、3ホップ目のノードによってブロックされます。
結果分析: ノードはプライベートIPアドレスを使用します。 ローカルネットワークのセキュリティポリシー設定がこの問題を引き起こしました。 詳細な分析については、ローカルネットワーク管理部門にお問い合わせください。
C:\> tracetcp www.aliyun.com:135
Tracing route to 115.102.XXX.XXX on port 135
Over a maximum of 30 hops.
1 3 ms 3 ms 3 ms 10.102.XXX.XXX
2 4 ms 3 ms 3 ms 10.102.XXX.XXX
3 3 ms 3 ms 3 ms 140.205.XXX.XXX
4 * * * Request timed out.
5 * * * Request timed out.
6 * * * Request timed out.
7 * * * Request timed out.
8 * * * Request timed out.
9 * * * Request timed out.
10 * * * Request timed out.
11 * * * Request timed out.
12 * * * Request timed out.
Trace Complete.例2:
プロービング結果: 11番目以降のホップでは、ポートの結果が返されません。 ポートへのアクセスは、11ホップのノードによってブロックされます。
結果分析: ノードは、China Mobile Group Beijing Co. が提供するネットワークサービスを使用します。 株式会社 このキャリアに問題を報告してください。
[root@mycentos ~]# traceroute -T -p 135 www.baidu.com
traceroute to www.baidu.com (111.13.XXX.XXX), 30 hops max, 60 byte packets
1 * * *
2 111.13.XXX.XXX (111.13.XXX.XXX) 4.115 ms 4.397 ms 4.679 ms
3 112.15.XXX.XXX (112.15.XXX.XXX) 901.921 ms 902.762 ms 902.338 ms
4 200.35.XXX.XXX (200.35.XXX.XXX) 2.187 ms 1.392 ms 2.266 ms
5 * * *
6 58.200.XXX.XXX (58.200X.XXX.XXX) 1.688 ms 1.465 ms 1.475 ms
7 63.128.XXX.XXX (63.128.XXX.XXX) 27.729 ms 27.708 ms 27.636 ms
8 * * *
9 * * *
10 200.38.XXX.XXX (200.38.XXX.XXX) 28.922 ms 200.38.XXX.XXX (200.38.XXX.XXX) 29.030 ms 28.916 ms
11 204.35.XXX.XXX (204.35.XXX.XXX) 29.169 ms 28.893 ms 204.35.XXX.XXX (204.35.XXX.XXX) 30.986 ms
12 * * *
13 * * *
14 * * *
15 * * *
16 * * *
17 * * *
18 * * *
19 * * *
20 * * *