凯发k8国际娱乐官网入口-k8凯发> 虚拟私有云 vpc> > > 为什么对等连接创建完成后不能互通?
更新时间:2023-08-02 gmt 08:00

为什么对等连接创建完成后不能互通?-凯发k8国际娱乐官网入口

问题描述

对等连接创建完成后,本端vpc和对端vpc网络不互通。

排查思路

问题排查思路请参见表1,以下排查思路根据原因的出现概率进行排序,建议您从高频率原因往低频率原因排查,从而帮助您快速找到问题的原因。

表1 排查思路-对等连接不通

序号

可能原因

处理措施

1

对等连接中本端vpc和对端vpc网段重叠

  • vpc网段重叠,且全部子网重叠。
  • vpc网段重叠,且部分子网重叠。

当对等连接中本端vpc和对端vpc网段重叠时,对等连接可能不生效,处理方法请参见对等连接中本端vpc和对端vpc网段重叠

2

对等连接路由配置错误

  • 没有在本端vpc和对端vpc内配置对等连接路由。
  • 对等连接路由地址配置错误。
  • 对于云上和云下互通的组网,检查对等连接路由是否和云专线、vpn路由的目的地址重叠。

当对等连接的路由配置错误时,会导致对等连接的网络流量无法正确送到目的地址,处理方法请参见对等连接路由配置错误

3
网络配置错误
  • 检查需要通信的ecs安全组规则是否配置正确。
  • 检查弹性云服务器网卡的防火墙配置。
  • 检查对等连接连通的子网acl规则是否配置正确。
  • 对于多网卡的弹性云服务器,检查弹性云服务器内部的策略路由配置。

请参见网络配置错误

4

弹性云服务器基本网络功能异常

请参见弹性云服务器基本网络功能异常

如果上述方法均不能解决您的疑问,请寻求更多帮助。

对等连接中本端vpc和对端vpc网段重叠

vpc网段重叠的情况下,容易因为路由冲突导致对等连接不生效,具体如表2所示。

表2 对等连接中本端vpc和对端vpc网段重叠

场景说明

场景示例

解决方法

vpc网段重叠,且全部子网重叠

组网图如图1所示,vpc-a和vpc-b网段重叠,且全部子网重叠。

  • vpc-a和vpc-b的网段重叠,均为10.0.0.0/16。
  • vpc-a中的子网subnet-a01和vpc-b中的子网subnet-b01网段重叠,均为10.0.0.0/24。
  • vpc-a中的子网subnet-a02和vpc-b中的子网subnet-b02网段重叠,均为10.0.1.0/24。

不支持使用vpc对等连接。

本示例中,vpc-a和vpc-b无法使用对等连接连通,请重新规划网络。

vpc网段重叠,且部分子网重叠

组网图如图2所示,vpc-a和vpc-b网段重叠,且部分子网重叠。

  • vpc-a和vpc-b的网段重叠,均为10.0.0.0/16。
  • vpc-a中的子网subnet-a01和vpc-b中的子网subnet-b01网段重叠,均为10.0.0.0/24。
  • vpc-a中的子网subnet-a02和vpc-b中的子网subnet-b02网段不重叠。
  • 无法创建指向整个vpc网段的对等连接。

    本示例中,对等连接无法连通vpc-a和vpc-b之间的全部网络。

  • 可以创建指向子网的对等连接,对等连接两端的子网网段不能包含重叠子网。本示例中,对等连接可以连通子网subnet-a02和subnet-b02之间的网络,详细的配置方法请参见图3
图1 vpc网段重叠,且全部子网重叠(ipv4)
图2 vpc网段重叠,且部分子网重叠(ipv4)

当vpc网段重叠,且部分子网重叠,您可以在网段不重叠的子网之间建立对等连接。本示例为创建subnet-a02和subnet-b02之间的对等连接,组网图如图3所示,路由添加方法请参见表3

图3 vpc网段重叠,部分子网重叠(ipv4)-正确配置
表3 subnet-a02和subnet-b02之间的对等连接

路由表

目的地址

下一跳

路由说明

vpc-a的路由表

10.0.2.0/24

peering-ab

在vpc-a的路由表中,添加目的地址为subnet-b02子网网段,下一跳指向peering-ab的路由。

vpc-b的路由表

10.0.1.0/24

peering-ab

在vpc-b的路由表中,添加目的地址为subnet-a02子网网段,下一跳指向peering-ab的路由。
  • 由于网段重叠导致对等连接不生效的详细原理说明,请参见。
  • 该限制同样适用于ipv6场景,即使您只需要使用对等连接实现不同vpc之间的ipv6通信,此时如果对等连接两端vpc的ipv4网段和子网重叠,那么您创建的对等连接也不会生效。

对等连接路由配置错误

对等连接创建完成后,请参考,在本端vpc和对端vpc的路由表中检查路由添加情况,检查项目如表4

表4 对等连接路由配置检查项

路由配置检查项

处理方法

在本端vpc和对端vpc的路由表中,检查是否添加路由。

如果您未添加路由,请参考以下章节中的添加路由步骤:
检查对等连接路由地址配置是否正确。
  • 在本端vpc内,检查路由的目的地址是否为对端vpc的网段,子网网段或者相关的私有ip地址。
  • 在对端vpc内,检查路由的目的地址是否为本端vpc的网段,子网网段或者相关的私有ip地址。

如果路由目的地址配置错误,请参考修改路由地址。

对于云上和云下互通的组网,检查对等连接路由是否和云专线、vpn路由的目的地址重叠。

查看对等连接两端的vpc下是否有vpn/云专线资源,排查路由规则的下一跳目的地址是否有重叠。

如果路由目的地址重叠,该对等连接不生效,请重新规划网络连接方案。

网络配置错误

  1. 检查需要通信的云服务器的安全组规则是否配置正确,具体方法请参见。
    • 如果您需要通信的云服务器位于同一个安全组内,则此项无需检查。
    • 如果您需要连通的云服务器位于不同的安全组内,那么您需要在安全组的入方向规则中,添加放通对端安全组的规则,具体方法请参见
  2. 检查云服务器网卡的防火墙配置。

    需要确认防火墙不会拦截流量,否则需要放通防火墙规则。

  3. 检查对等连接连通的子网acl规则是否配置正确。

    确认对等连接涉及的子网流量未被网络acl拦截,否则需要放通对等连接涉及的网络acl规则。

  4. 对于多网卡的云服务器,检查云服务器内部的策略路由配置,确保源ip不同的报文匹配各自的路由,从各自所在的网卡发出。
    假设云服务器有两个网卡为eth0和eth1:
    • eth0的ip地址为192.168.1.10,所在子网的网关为192.168.1.1
    • eth1的ip地址为192.168.2.10,所在子网的网关为192.168.2.1
    分别执行以下命令:
    • ping -l eth0的ip地址 eth0所在子网的网关地址
    • ping -l eth1的ip地址 eth1所在子网的网关地址
    命令示例:
    • ping -i 192.168.1.10 192.168.1.1
    • ping -i 192.168.2.10 192.168.2.1

    如果网络通信情况正常,说明服务的多个网卡路由配置正常。

    否则需要为配置了多网卡的云服务器配置策略路由,具体请参见

弹性云服务器基本网络功能异常

  1. 登录云服务器。

    弹性云服务器有多种登录方法,具体请参见。

  2. 检查弹性云服务器网卡是否已经正确分配到ip地址。
    • linux云服务器:执行命令ifconfigip address查看网卡的ip信息。
    • windows云服务器:在搜索区域输入cmd并按enter,打开命令输入框,执行命令ipconfig查看。

    若未能分配到ip地址,处理方法请参见。

  3. 检查云服务器所在子网的网关是否可以ping通,即确认基本通信功能是否正常。
    1. 在弹性云服务器列表中,单击云服务器名称超链接。

      进入云服务器详情页。

    2. 在云服务器详情页,单击虚拟有云超链接。

      进入虚拟私有云列表。

    3. 在虚拟私有云列表,单击虚拟私有云对应的“子网个数”超链接。

      进入子网列表。

    4. 在子网列表,单击子网名称超链接。

      进入子网详情页。

    5. 选择“ip地址管理”页签,查看子网的网关地址。
      图4 查看子网网关
    6. 执行以下命令,检查网关通信是否正常。

      ping 子网网关地址

      命令示例:ping 172.17.0.1

      如果无法ping通子网网关,则需首先排查二三层网络问题,具体请参见。

父主题:
分享:

more

网站地图