一、问题概述与排查流程
当云主机出现互联失败时,80%的故障源于网络配置错误或安全组规则限制。建议按以下顺序排查:1)验证本地网络连通性;2)检查云主机网络接口状态;3)核对安全组入站/出站规则;4)验证操作系统服务与防火墙设置。
- 本地网络诊断(ping/traceroute)
- 云主机IP可达性验证
- 安全组规则审计
- 操作系统端口监听检测
二、网络配置检查要点
需重点验证三个层面的网络配置:
- 本地网络:通过多设备测试排除本地路由/NAT问题
- 云平台VPC:检查子网路由表、网络ACL策略
- 实例层面:确认网卡启用状态与IP绑定有效性
建议使用ip addr命令检查实例网卡配置,并通过VPC流量镜像功能验证数据包是否到达实例。
三、安全组配置验证
安全组配置需满足双向通信原则:
- 入方向开放目标端口(如SSH 22、RDP 3389)
- 出方向允许响应流量返回
- 源地址范围需包含访问端IP或CIDR
特别注意阿里云/腾讯云的安全组策略存在平台差异:阿里云默认拒绝所有入站流量,而腾讯云默认允许同安全组内互通。
四、操作系统服务排查
当网络层验证正常后,需检查操作系统配置:
- 使用
systemctl status sshd确认服务状态 - 通过
netstat -tulnp验证端口监听情况 - 检查iptables/firewalld等本地防火墙规则
典型案例包括:SELinux策略限制、密钥文件权限错误(需设置为600)、TCP Wrappers白名单过滤等。
系统性排查应从网络层到应用层逐级验证,使用云平台提供的网络诊断工具(如阿里云VPC流量镜像、腾讯云网络探测)可显著提升效率。建议定期导出安全组规则进行合规性审计,并建立标准化的连接检查清单。
