本文介绍网络连通性诊断功能支持的诊断项,并提供了详细的诊断范围与结果供您参考。

诊断项

网络连通性诊断功能支持诊断的资源包括:
  • ECS实例诊断:诊断ECS实例的安全策略、系统网卡配置、系统负载、业务状态等相关诊断项是否符合预期。
  • 弹性网卡诊断:诊断弹性网卡的底层状态、安全组配置等相关诊断项是否符合预期。
  • 交换机诊断:诊断交换机的网络ACL配置等相关诊断项是否符合预期。
诊断项的严重程度包括:
  • 关键:表示该诊断项会决定网络连通性,诊断异常意味着网络访问会存在异常。
  • 非关键:表示该诊断项可能影响网络连通性,诊断异常仅表示网络访问可能存在异常。

ECS实例诊断

诊断项分类 诊断项 严重程度 说明 建议
SSH服务 SSH服务是否启动 关键 展示实例的SSH服务启动情况以及监听的端口。
  • 如果SSH服务已启动,且监听的端口为22(Linux实例)或3389(Windows实例),会显示SSHD进程状态正常。
  • 如果SSH服务已启动,但监听的端口不是22或3389(例如1234),会显示SSHD进程监听端口为1234,但本次诊断的目标端口为22或3389。
  • 如果SSH服务未启动,会显示SSHD进程未启动。
  • 如果监听的端口不是22(Linux实例)或3389(Windows实例),请在远程连接实例时选择对应的端口,或者将监听的端口设置为22或3389,具体操作,请参见修改服务器默认远程端口
  • 如果SSH服务未启动,请通过VNC登录实例并启动SSH服务。
SSH服务关键文件或者目录是否缺失 关键 展示实例的SSH服务相关配置文件和目录的完整性。 如果提示缺失文件或目录,请根据提示信息修复丢失的SSH配置文件。
SSH是否允许root用户登录 非关键 展示实例的SSH服务对使用root用户登录实例的限制。 如果提示禁用了root用户登录,且您需要取消该限制,请排查和修改相关配置。更多信息,请参见The error "Permission denied, please try again" is returned when the root user logs on to a Linux instance through SSH.
系统网卡配置 DHCP服务是否启动 关键 如果实例所用的镜像支持DHCP,但实例并没有启动DHCP服务,且没有正确配置静态IP,会提示DHCP服务未启动。 请通过VNC登录实例并启动DHCP服务。
网卡IP是否配置错误 关键 网卡配置的IP和检测到的IP不一致,会提示IP配置错误 请为网卡修改静态IP,具体操作,请参见分配辅助私网IP地址
网卡掩码信息是否正确配置 非关键 网卡未配置掩码信息或者掩码信息错误,会提示<eniId>网卡掩码信息未配置 使用默认掩码,或者手动配置正确的掩码。
实例安全策略 实例是否配置了iptables拦截/放行流量 关键
  • 如果实例内部配置了拦截流量的 iptables规则,会提示命中iptables拦截规则<ruleName>,拦截流量
  • 如果实例内部配置了放行流量的 iptables规则,会提示iptables放行流量
  • 如果您不希望拦截此类流量,请删除拦截规则。
  • 如果您不希望放行此类流量,请配置拦截规则,或者将其修改为拦截规则。
实例的公网IP是否在黑洞中 关键 如果实例的公网IP遭受了超出防御范围的流量攻击,导致被黑洞策略屏蔽,会提示<公网IP>在黑洞保护策略中,访问受限 了解阿里云黑洞策略,以及如何解除黑洞,更多信息,请参见阿里云黑洞策略
系统路由配置 系统是否配置流量路由规则 关键 如果实例内部未配置路由规则,则检测失败,否则会提示当前的路由策略policyName会进行流量转发 请检查并删除不正确的路由规则。
实例系统负载 CPU负载 非关键 检查实例的CPU负载是否在80%以上。 如果负载持续偏高,请考虑是否需要升配为vCPU数更高的实例规格。具体操作,请参见修改实例规格
公网带宽负载 非关键 检查实例的公网带宽负载是否在90%以上。 如果负载持续偏高,请考虑是否需要升配公网带宽。具体操作,请参见修改公网带宽
私网带宽负载 非关键 检查实例的私网带宽负载是否在90%以上。 如果负载持续偏高,请考虑是否需要升配为网络基础带宽更高的实例规格。具体操作,请参见修改实例规格
用户服务状态 目的端口是否有进程监听 关键 检查实例中的目的端口是否有相应的进程监听,如果没有,会检测失败。 请远程连接实例并启动监听目的端口的进程。
实例业务状态 实例是否超期 关键 在实例到期时会进行提示。 请及时续费实例。具体操作,请参见续费概述
账号是否欠费 关键 在账号欠费时会进行提示。 请及时为账户充值。

弹性网卡诊断

诊断项分类 诊断项 严重程度 说明 建议
弹性网卡状态 弹性网卡底层状态 关键 在网卡底层状态异常时会进行提示。 提交工单
弹性网卡安全组配置 弹性网卡安全组 关键 流量放行情况和安全组的类型和包含的安全组规则有关。
  • 普通安全组:
    • 如果源诊断对象和目的诊断对象位于同一个安全组,未添加安全组规则时组内互通。
    • 如果源诊断对象和目的诊断对象位于不同的安全组,未添加安全组规则时,安全组会放行源诊断对象的出方向流量,但会拦截目的诊断对象的入方向流量。
  • 企业安全组:

    未添加安全组规则时,安全组拦截源诊断对象的出方向流量和目的诊断对象的入方向流量。

  • 如果安全组添加了安全组规则,安全组会结合自身属性和安全组规则判断是否放行流量。更多信息,请参见安全组概述
检查流量放行情况是否符合预期,如果不符合,请根据需要配置安全组。

交换机诊断

诊断项分类 诊断项 严重程度 说明 建议
网络ACL 网络ACL配置 关键
  • 如果交换机未绑定网络ACL,交换机默认放行流量。
  • 如果源诊断对象和目的诊断对象位于同一个交换机,不受网络ACL规则控制。
  • 如果源诊断对象和目的诊断对象位于不同的交换机,且交换机绑定了网络ACL,交换机会结合网络ACL规则判断是否放行流量。更多信息,请参见网络ACL概述
检查流量放行情况是否符合预期,如果不符合,请根据需要配置网络ACL。