先给你们勾个大概:说到“地域云服务器内网不通”,很多同学以为是魔法师打的咒语,结果一翻日志看,原来只是一点点配置遗留的小麻烦。今天这篇自媒体大作,教你如何把这层“迷雾”一一拆解,短短几步搞定,让你的内网像跑脚一样顺畅。
先说个前提:每个主机组在不同地域,可能被分配了不同子网掩码,或跨地域牵线的VPN点点滴滴,都可能成为你网络雪山里的一块冰。先明白你的云盘到底在哪片金属地——广东、英国还是东京。只有定位到“座标”,才能找到病毒的靶点。
第一步,检查路由表:Linux 下用 ip route 或 route -n 命令,Windows 终端下 route print,看下默认网关是否指向你预期的子网。有人把默认网关搞成负载均衡的出口,却没有把负载均衡启用,让内网的请求走半条街,直接成了“苍穹大雾”。
第二步,确认安全组:云厂商往往会把安全组当作门卫,设的越“严”,内部玩家越会被拒。检查「入口规则」里是否含有 172.16.0.0/12(如:你自己的私网)和 10.0.0.0/8 的白名单。别一直往「全部允许」的黑名单里往里塞。太开放又不是开泰拉,反而招来了好玩的"资源泛滥"烦恼。
第三步,查看BGP邻居:有人在配置跨地域互联时搞了很多AS号,导致内网的转发表误写成“星巴克”,所有数据都被错误路由到另一个时区。用 nslookup 或 dig 验证一下,确认目标 IP 是否对应正确的 ASN。小技巧:如果你发现 `dig @8.8.8.8 www.yourdomain.com` 返回的是“172.17.8.1/24”而不是你实例的实际 IP,那么你就该去换路由。
第四步,检查重载代理:很多人把 NAT 代理壹巴拉塞到内网,让本地 IP 的格式跟外网不符。实际就是 VPS 端口映射站在墙外,翻墙以后一个顶呱呱的 DNS 跟不住,结果大家挤在一条龙里 “咚咚咚”。 用 netstat -an 或 ss -tuln 看看是否有多余的监听。
第五步,深扒VPC Peering:如果你跨地域用 VPC Peering,别忘了同步地域路由。云盘的路由表需要把对端子网加进去,否者内网互通会像两条人行道对撞,白天看见屋顶却撞到门。 记得调 `allow-duplicate` 或 `override` 标志,矫正错误。
第六步,塞点弹性IP:API 写再好,没弹性IP可饿死。搜个 doc 看,很多 API 调用都要求先绑弹性 IP,尤其是跨地域做公网或 10.0.0.0/16。同时要把弹性 IP 与安全组配合,免得被默认拒绝。
第七步,暴力日志抓取:日志里永远藏着答案。利用 tcpdump -i eth0 port 80 -w /tmp/capture.pcap 抓包,看看是否已到达目标地址。若无法发送,就快速定位是路由、ACL 还是网关?
第八步,全链路重连:有时你可能需要重启整个 DNS 解析服务,顺便刷新所有路由。 service resolvconf restart 或 systemctl restart systemd-resolved,再把 /etc/hosts 里对应IP & DNS 的条目补齐。 这一步往往能让你惊喜地发现原来问题不在 Cloud 那条线。
第九步,弹性伸缩 '咳咳':如果你这边是自动伸缩,扩容时别忘了更新安全组规则。别让草稿模式下的 ‘默认全部允许’ 只记在你手里,生产环境里可就卡住你了。 记得手动把 `sg-
第十步,最后一个小诀窍:若实在卡关,试试把故