什么是ECS路由表
在使用阿里云ECS时,很多人对路由表感到陌生。其实它就像小区里的快递分拣中心——数据包从哪里来、要发到哪里去,都得靠它指路。如果你发现ECS实例无法访问公网,或者VPC内不同子网之间ping不通,问题很可能出在路由表配置上。
路由表的基本结构
每个VPC都有一个默认的路由表,你也可以创建自定义路由表绑定到交换机。每条路由条目包含几个关键字段:
- 目标网段:你要访问的IP范围,比如192.168.0.0/16或0.0.0.0/0(代表所有地址)
- 下一跳类型:流量的下一个目的地,常见有ECS实例、NAT网关、VPN网关等
- 下一跳实例:具体的资源ID,比如一台绑了公网IP的ECS
举个实际例子
假设你在私有子网部署了一台ECS,没有公网IP,但希望它能访问外网更新系统补丁。这时就需要在路由表里加一条规则:
{
"DestinationCidrBlock": "0.0.0.0/0",
"NextHopType": "Instance",
"NextHopId": "i-bp1g4kxxxxxxx"
}这条规则的意思是:所有发往外部网络的数据包,都交给ID为i-bp1g4kxxxxxxx的ECS处理。那台ECS必须具备公网访问能力,并开启IP转发功能。
如何添加路由条目
登录阿里云控制台,进入专有网络VPC管理页面,找到对应的路由表。点击“添加路由条目”,填写以下信息:
- 目标网段:比如你要让某台数据库服务器只能访问特定API服务,可以填API的公网IP段
- 下一跳类型选择“ECS实例”
- 在下拉框中选中目标ECS实例
- 设置权重(多用于负载均衡场景)
别忘了安全组和网络ACL
有时候明明路由配好了,还是不通。这时候要检查安全组是否放行对应端口,以及交换机层面的网络ACL有没有拦截流量。路由表决定路径,而安全组和ACL决定能否通过,三者缺一不可。
常见错误排查
如果新增的路由不生效,先看状态是不是“可用”。如果是“冲突”,说明有更精确的路由覆盖了当前规则。比如同时存在10.0.0.0/8和10.0.0.0/16两条规则,系统会优先匹配/16这个更具体的网段。
另一个典型问题是跨地域通信。想让华东1的ECS访问华北2的资源,不能靠路由表直接解决。这时候需要配置云企业网CEN,或者用VPN打通。
测试连通性的小技巧
在ECS内部执行traceroute 8.8.8.8,观察每一跳的走向。如果第一跳就卡住,大概率是默认路由没配好;如果中途断掉,可能是中间设备防火墙拦截。配合VPC流日志功能,还能看到具体哪个环节被丢包。