一、安全组规则限制
阿里云默认安全组策略仅开放ICMP协议和SSH 22端口,其他入方向流量均被拒绝。这会导致Web服务(80/443端口)、数据库(3306/1433端口)等常用服务无法被外部访问。
解决方法:
- 登录ECS控制台进入「安全组配置」
- 添加入方向规则:允许HTTP(80)/HTTPS(443)等业务端口
- 设置最小授权范围(如特定IP段或0.0.0.0/0)
二、系统防火墙配置
CentOS/Ubuntu等系统默认启用firewalld或iptables,未配置放行规则时可能阻断外部访问。表现为本地服务正常但远程无法连接。
解决方法:
- 临时方案:执行
systemctl stop firewalld关闭防火墙 - 持久方案:添加防火墙规则:
firewall-cmd --permanent --add-port=80/tcp
三、网络ACL默认策略
专有网络VPC的默认网络ACL会拒绝所有入站/出站流量。需特别注意当同时存在安全组和网络ACL时,两者规则都会生效。
| 配置项 | 默认状态 | 建议值 |
|---|---|---|
| 入站规则 | 拒绝所有 | 放行业务端口 |
| 出站规则 | 拒绝所有 | 允许全部 |
四、DNS解析异常
默认DNS服务(如100.100.2.136)可能出现解析延迟或失效,导致域名无法访问。表现为能通过IP访问但域名无法解析。
解决方案:
- 修改/etc/resolv.conf文件更换公共DNS:
- 114.114.114.114
- 8.8.8.8
- 检查域名解析状态:
nslookup yourdomain.com
阿里云默认安全策略遵循最小权限原则,需要用户根据业务需求主动开放访问权限。建议按照「网络ACL→安全组→系统防火墙」的三层防御体系进行配置检查,同时注意DNS等基础服务的可用性验证。定期使用网络诊断工具进行连通性测试可提前发现问题。
