什么是配额?
为避免资源浪费,服务供应商限定了各服务资源的配额,对用户的资源数量和容量做了限制。如您最多可以创建多少个虚拟私有云。
虚拟私有云产品时的相关限制可参考“产品使用限制”,不同资源池的产品使用限制不同,实际情况以控制台为主。
如您的额度无法满足业务需求,可提工单申请提升配额,具体操作步骤如下:
1、新建工单,选择“配额类”提问;
2、选择您遇到的问题分类,在对应工单中详细填写您的信息;
3、确认信息无误后,点击“确定提交”即可。
如何查看我的配额?
- 登录控制中心。
- 在控制中心页面左上角点击
,选择区域。 - 在页面右上角,点击“我的配额”,进入服务配额页面。
- 您可以在“服务配额”页面,查看各项资源的总配额及使用情况。
- 如果当前配额不能满足业务要求,请参考后续操作,申请扩大配额。
如何申请扩大配额?
- 登录控制中心。
- 在控制中心页面左上角点击
,选择区域。 - 在页面右上角,点击“我的配额”,进入服务配额页面。
- 在服务配额页面,点击“申请扩大配额”按钮,进入新建工单页面。
- 在新建工单页面,根据您的需求,填写相关参数。
- 填写完毕后,勾选协议并单击“提交”。
VPC如何访问公网服务?
虚拟私有云VPC是您在天翼云上申请的隔离的、私密的内网络环境,虚拟私有云VPC和公网环境是隔离的。
当您的业务场景存在单个云主机或多个云主机访问公网的需求时,您可以使用弹性IP或者NAT网关访问公网。两种方式适用的公网访问场景各不相同,具体操作请参考如何使用弹性IP或者NAT网关访问公网。
公网可以访问VPC中的云服务吗?
您可以使用以下方法从公网访问VPC中的云服务:
- 默认分配弹性IP
- 绑定已有弹性IP
- 配置公网NAT网关
- 配置公网负载均衡
具体操作可参考常见公网访问方法页面。
对等连接有哪些限制?
- 配置对等连接时,不建议两端VPC的网段(CIDR)存在重叠,可能会造成路由冲突,导致配置不生效。
- 对等连接创建完成后,可以使用“ping”命令检查本端网络是否连通,不支持通过“ping”命令检查对端子网网关是否连通。
- 如果两个VPC的CIDR有重叠,建立对等连接时,只能针对子网建立对等关系。如果两个VPC下的子网网段有重叠,那么该对等关系可能不生效。建立对等连接时,请确保对等连接两端不包含重叠的子网。
- VPC A与VPC B、VPC C分别建立对等连接,如果VPC B和VPC C的网段有重叠,那么VPC A中无法添加具有相同目的网段的路由。
- 两个VPC之间不能同时建立多个VPC对等连接。
- 不同区域的VPC不能创建对等连接。
- VPC1与VPC2创建对等连接,默认情况下VPC2不能通过VPC1的EIP访问公网。
- 跨租户申请VPC对等连接,需要对端租户接受后,才能生效。同租户申请对等连接默认已接受。
- 为了安全起见,请不要接受来自未知帐号的对等连接申请。
- 对等连接双方帐号都有权限删除对等连接,一方删除对等连接后,对等连接的所有信息会被立刻删除,包括对等连接关联的路由信息。
- 对等连接建立后,需要在本端VPC、对端VPC分别添加对方子网的路由才能通信。
- VPC对等连接路由存在时,VPC无法被删除。
为什么对等连接创建完成后不能互通?
问题描述
对等连接创建完成后,两个VPC还是不能互通。
排查思路:
对等连接配置错误
同一个区域的不同VPC之间内网不同,您可以通过配置对等连接实现内网互通,配置说明如下:
- 在VPC1和VPC2之间创建对等连接,需要连通VPC1的子网A和VPC2的子网X。
- 对等连接的路由配置,在VPC1路由表中配置到子网X的路由,在VPC2的路由表中配置到子网A的路由,打通两个子网。
- 如果您的对等连接配置完成后,VPC的子网网络仍然无法通信,请排查是否存在如下问题:
- 检查对等连接中VPC的子网是否存在重叠,VPC内的子网网段如果存在重叠,可能会造成路由冲突,对等连接无效。[]()[]()
- 如果不存在VPC子网重叠的情况,请检查是否在VPC的路由表中配置了正确的路由,包括本端路由和对端路由。
- 配置建议:路由的目的地址为对端VPC子网的网段,比如10.0.0.0/24,下一跳为“对等连接”。
网络配置错误
- 确认弹性云主机使用的网卡安全组配置正确。在弹性云主机详情页面中可以查看网卡使用的安全组。需要放通期望进行通信的对端VPC的子网网段。例如:对于VPC内的所有弹性云主机,网卡使用的安全组必须至少配置如下图的规则。
- 确认对等连接涉及的子网流量未被网络ACL拦截,否则需要放通对等连接涉及的网络ACL规则。
- 多网卡场景下,请务必确认弹性云主机内部已经配置正确的策略路由,确保源IP不同的报文匹配各自的规则,从各自所在的网卡发出。
- 操作步骤:例如,eth0的IP地址为192.168.1.10/24,eth1的IP地址为192.168.2.10/24,分别执行
ping -I 192.168.1.10 192.168.1.1
ping -I 192.168.2.10 192.168.2.1
若都可以ping通,则双网卡策略路由配置无问题。
弹性云主机基本网络功能异常
- 确认弹性云主机网卡已经正确分配到IP地址。
登录弹性云主机内部,使用命令ifconfig或ip address查看网卡的IP信息。
Windows弹性云主机可以在命令行中执行ipconfig查看。
- 从弹性云主机内部ping所在子网的网关,确认基本通信功能是否正常。
操作步骤:通常网关地址结尾为1,可以在VPC详情页面中确认。 执行ping命令观察能否ping通即可。若无法ping通网关则需首先排查二三层网络问题。
对等连接的路由与专线、VPN路由的目的地址有重叠
查看对等连接两端的VPC下是否有VPN/云专线资源,排查路由规则的下一跳目的地址是否有重叠。
当对等连接的路由与云专线、VPN路由的目的地址有重叠时,此时路由有可能失效。
路由已存在
如果添加对等连接路由时,报错“路由已存在”,请检查:VPN、云专线、对等连接等路由的目的地址是否已存在。若已存在则对等连接无法生效。
提交工单
如果上述方法均不能解决您的疑问,请提交工单寻求更多帮助。
您需从对等连接一端的弹性云主机使用ping命令向对端VPC下的弹性云主机发送ICMP报文,并向技术支持人员提供如下表格中的信息:
| Item | 说明 | 您的值 |
|---|---|---|
| VPC1 ID | VPC1的ID | - |
| VPC2 ID | VPC2的ID | - |
| VM1 ID | VPC1下的弹性云主机ID | - |
| VM2 ID | VPC2下的弹性云主机ID | - |
| Subnet1 ID | VM1 所在子网ID | - |
| Subnet2 ID | VM2 所在子网ID | - |
| IP1 | VM1 IP地址 | - |
| IP2 | VM2 IP地址 | - |
弹性云主机IP获取不到时,如何排查?
问题描述
用户无法查询到弹性云主机私网IP地址信息。
排查思路
本问题请按照以下思路进行排查处理。
步骤一:查看DHCP是否为启用状态
检查子网的DHCP是否为启用状态(默认“启用”状态)。
进入子网详情页面,查看DHCP是否为“启用”状态,若DHCP开关为关闭状态请参考步骤二中第3步手动配置静态IP。
步骤二:检查是否存在dhclient进程
- 执行如下命令,检查是否存在dhclient进程。
ps -ef | grep dhclient
- 若dhclient进程不存在,登录弹性云主机,尝试重启网卡或主动发起DHCP请求。
- Linux系统:执行dhclient ethx命令。若不支持dhclient命令就执行ifdown ethx;ifup ethx(ethx代表弹性云主机网卡,如eth0、eth1)。
- Windows系统:先禁用网络连接,然后再重新启用。
- 对于DHCP Client长期不发起请求的情况,例如:重启网卡后又复现,尝试使用以下方法配置静态IP。
- Linux系统:
- 执行以下命令,打开
- /etc/sysconfig/network-scripts/ifcfg-eth0中的配置。
- 输入vi /etc/sysconfig/network-scripts/ifcfg-eth0
- 修改/etc/sysconfig/network-scripts/ifcfg-eth0中的配置。
- BOOTPROTO=static
- IPADDR=192.168.1.100 #IP地址
- NETMASK=255.255.255.0 #掩码值
- GATEWAY=192.168.1.1 #网关地址
- 重启网络服务,执行以下命令:service network restart
- Windows系统:在网络连接中选择“属性 > Internet协议版本4 > 属性”,手动输入IP地址、子网掩码和默认网关。
步骤三:检查弹性云主机日志
查看弹性云主机的messages日志(路径为/var/log/messages)排查问题。
通过网卡的MAC地址过滤日志,排查是否有进程影响DHCP获取IP。
提交工单
如果上述方法均不能解决您的疑问,请提交工单寻求更多帮助。
您需要协助的运维操作:
请将弹性云主机的ID、所在子网的ID、VPC的ID提供给技术支持。
二三层通信出现问题时,如何排查?
问题描述
用户云主机基本网络功能异常,无法完成基本通信。从弹性云主机内部ping所在子网的网关,无法ping通,则需首先排查二三层网络问题。
排查思路
步骤一:检查弹性云主机是否获取到IP
登录弹性云主机内部,使用命令ifconfig或ip address查看网卡的IP信息。Windows弹性云主机可以在命令行中执行ipconfig查看。
若弹性云主机没有获取到IP,请参考弹性云主机IP获取不到时,如何排查?
步骤二:查看安全组是否放通
弹性云主机详情页面中可以查看网卡使用的安全组。需要包含期望进行通信的对端VPC的子网网段。
查看安全组是否放通,如下图。
步骤三:查看网络ACL是否放通
虚拟私有云页面左侧导航栏选择网络ACL,选择对等连接涉及的子网所关联的网络ACL,并在网络ACL详情页查看对等连接涉及的子网是否已放通。
查看网络ACL是否放通,如下图。
提交工单
如果上述方法均不能解决您的疑问,请提交工单寻求更多帮助。
同一个VPC内的两台弹性云主机无法互通或者出现丢包等现象时,如何排查?
问题描述
同一个VPC内的两台弹性云主机无法互通或者出现丢包等现象。
排查思路
建议您从以下几个原因去排查问题,可以优先排查高频率原因。从而减少排查次数,快速找到根因。以下排查思路根据原因出现的概率从高到低进行排序。
ECS网卡对应安全组规则未放通
排查弹性云主机网卡对应的安全组是否放通了出方向和入方向的协议的报文。
以入方向的ICMP报文为例,安全组规则需要包含下图中的任意一条规则。
若您的业务需要的是其他协议的报文,需放通相应协议的安全组规则。例如,测试的是TCP报文,则需检查安全组是否有规则放通出入方向的TCP协议。
ECS网卡所在子网关联的网络ACL规则未放通
- 查看弹性云主机的网卡是否处于网络ACL的关联子网中。
- 在网络ACL列表中查看网络ACL的状态。
- 状态显示“已开启”,则表示网络ACL已经开启。执行第三步。
- 状态显示“未开启”,则表示网络ACL已经关闭。执行第四步。
- 网络ACL关闭时,默认不放行出入方向所有协议。此时,请开启ACL并放通相应协议的报文或者是解除ACL与子网的关系并重新关联。
- 单击网络ACL名称,分别在“入方向”和“出方向”的页签下添加相应协议的放通规则。
ECS网卡内部网络配置问题
以下步骤以Linux系统为例,Windows操作系统请检查系统防火墙限制。
- 确认弹性云主机是否有多网卡配置。
- 登录弹性云主机,执行以下命令,查看网卡是否创建且网卡获取私有IP地址。若无网卡信息或者无法获取私有IP地址,请联系技术支持。
ifconfig
- 执行以下命令,查看弹性云主机的CPU占用率是否过高,CPU占有率超过80%有可能会影响ECS通信。
top
- 执行以下命令,查看弹性云主机内容部是否有安全规则的其他限制。
iptables-save
- 执行以下命令,查看“/etc/hosts.deny”文件中是否包含了限制通信的IP地址。
vi /etc/hosts.deny
如果hosts.deny文件里面包含了对端的IP地址,请将该IP从hosts.deny文件中删除并保存文件。
端口不通
- 如果无法访问弹性云主机的特殊端口,请排查安全组规则以及网络ACL规则中是否对端口进行放行。
- 在Linux弹性云主机内部通过以下命令查看弹性云主机内部是否监听该端口。如果未对该端口进行监听,可能会影响弹性云主机的通信。
netstat -na | grep <端口号>
提交工单
如果上述方法均不能解决您的疑问,请提交工单寻求更多帮助。
弹性云主机如何切换VPC或者修改内网IP地址?
当您遇到VPC中的两个实例IP地址冲突,或者在进行网络重构或迁移时,需要调整VPC网络架构、子网划分等,这可能会导致需要修改云主机内网IP或更换VPC。具体操作步骤请参考如何使用修改内网 IP 、切换VPC页面。
筛选条件下无规则可以启动镜像会话吗?
可以。
当镜像源和镜像目的均存在时,可以任意启动/停止镜像会话。筛选条件下无规则时,允许启动镜像会话,无规则时默认不镜像任何流量。
创建镜像会话时关联筛选条件,镜像会话创建成功后开启镜像会话,所有符合筛选条件的网络流量都会被镜像。当网络流量流入弹性云服务器时,镜像会话将会镜像同时符合筛选条件中筛选规则的网络流量。规则的生效顺序取决于规则的优先级,数字越小,优先级越高。
镜像会话源和目的缺失时会话是否可以运行?
不可以。
由于资源释放导致镜像源/镜像目的被删除时,镜像会话的镜像源和镜像目的信息处于缺失状态,镜像会话将从启动状态变为停止状态,且禁止重新启动会话。
流量镜像是将网络流量从弹性网卡镜像到其他指定的云服务器的网卡,镜像源和镜像目的分别是流量提供方与接收方,所以镜像源和镜像目的均不可缺失,缺失将无法形成完整的镜像会话。
虚拟IP是否支持广播和组播通信?
不支持。
对于可用区资源池来说,虚拟IP只支持单播,不支持广播和组播。如果您使用keepalived等第三方软件结合虚拟IP搭建高可用场景,您需要将配置文件中的通信方式修改为单播通信。
对于地域资源池来说,仅vxlan架构资源池的IPv4类型的虚拟IP支持组播,其余形式均不支持组播。虚拟IP也不支持广播通信。
使用keepalived实现高可用时,推荐使用什么版本的keepalived?
推荐使用V2.0.20及以上版本的keepalived。
是否支持使用虚拟IP实现自建Linux虚拟服务器(LVS)高可用?
不支持。
虚拟IP是一个从子网中分配的内网IP地址,没有分配给真实弹性云服务器网卡。您可以通过将虚拟IP与主备弹性云服务器绑定,根据是否需要访问公网可以为虚拟IP绑定一个弹性IP,配合高可用软件(例如Keepalived)使用,实现业务的高可用。
使用第三方软件结合虚拟IP实现高可用时,心跳检测的源IP怎么配置?
如果您使用第三方软件(例如keepalived)结合虚拟IP实现高可用,您在配置心跳检测的源IP时可以选取主备云服务器上的任意两个相通的IP地址。通常情况下您可以选择主网卡的主IP地址去配置心跳检测的源IP。
绑定虚拟IP的云服务器访问公网时,数据包的源IP是什么?
有虚拟IP的实例访问公网,取决于用户的配置方式。虚拟IP和云服务器网卡的普通IP都可以绑弹性IP,虚机里配置路由条目,来决定用哪个IP(虚拟IP和云服务器网卡的普通IP)出公网,如果您选择的虚拟IP地址,云网络就会转换为虚拟IP绑定的弹性IP出公网,如果您选择用的网卡普通IP,云网络就会转换为云服务器网卡绑的弹性IP的出公网。
如何修改云服务网卡MTU?
一些通信场景或网络产品对云服务器发出的数据包大小有着严格的要求,您可以适当修改数据包大小以达到最优吞吐量,保证网络的连通性,避免因数据包过大而必须拆分数据包导致额外的时间损耗。且一些数据库比较大的场景需要修改网卡的MTU值来实现高性能的Oracle rac。
使用限制:
- 修改云服务器网卡MTU值时,注意不要超过支持的最大MTU上限(8000),否则可能导致网络不通!
- 云服务器网卡MTU默认值为1500,仅支持主网卡MTU值修改。
- 修改网卡MTU值可能会造成瞬时网络断流,如果您的业务严格要求网络实时不能中断,请谨慎评估后再决定是否要修改!
使用方法:
您可以通过工单申请去修改网卡MTU,请谨慎操作!
组播成员目前支持跨地域跨VPC吗?
组播成员暂不支持跨地域跨VPC,目前仅支持多个成员在同地域同VPC的场景下。一个VPC下目前仅支持创建一个组播域,同地域的多个组播域之间互不相通。您在选择组播成员(例如弹性云主机或弹性裸金属)的时候,请保证组播成员均在同一VPC下,避免造成流量不通的情况。
创建组播域时如何选择组播源来源?
组播源来源分为”云内“和”云间“两种方式,一个组播域内仅支持一种来源。
当组播域中存在通过专线从 IDC 机房接入组播源的场景,需要选择云间组播域。
当组播域中的组播源全部都在天翼云内部,不存在组播源为 IDC 机房的场景,需要选择云内组播域。
使用混合组播网络前需要注意什么?
如果您需要使用组播搭建混合组播网络,请您确保在使用组播功能前已完成如下的准备工作:
1、客户 IDC 机房到天翼云云上的专线已拉通;
2、客户侧边缘交换机已配置组播 PIM 协议,推荐使用 PIM-SSM 模式,它比 ASM 模式减少了 RP 相关配置,能够直接建立最短路径树(SPT),配置简单,效率高;
3、已注册天翼云账号,并完成实名认证;
4、已完成基础环境配置,如开通VPC,配置好专线侧的路由。
使用混合组播网络时,路由如何配置?
客户侧路由配置 :专线网关创建好后,需要在专线网关中添加指向物理专线的路由条目来转发客户侧站点的流量。请您检查客户侧子网是否和待访问的 VPC 存在网段重叠或冲突情况,如存在此情况,路由可能无法联通。请您提前规划好网络。
云侧路由配置 :您需要在云专线界面添加需要访问的 VPC 、子网,完成云侧路由的添加。
使用组播功能时,安全组如何放通?
为保证您的组播流量顺利到达云上,您需要放通弹性云服务器(弹性云主机或弹性裸金属)所在的安全组。对于期货券商来说,由于行情信息一般是先使用 TCP 单播到交易所行情查询服务器进行用户验证,再使用 UDP组播进行行情的分发。所以需要检查行情软件的配置文件,找到 TCP 的端口号和 UDP 的端口号,并放通行情服务器虚拟机所在的安全组。
