文档首页> 数据湖探索 DLI> 常见问题> 跨源连接相关问题> 跨源连接问题> 创建跨源成功但测试网络连通性失败怎么办?
更新时间:2023-03-10 GMT+08:00
分享

创建跨源成功但测试网络连通性失败怎么办?

问题描述

创建跨源并绑定新创建的DLI队列,测试跨源的网络连通性时失败,有如下报错信息:
failed to connect to specified address

排查思路

以下排查思路根据原因的出现概率进行排序,建议您从高频率原因往低频率原因排查,从而帮助您快速找到问题的原因。

如果解决完某个可能原因仍未解决问题,请继续排查其他可能原因。

检查是否在域名或者IP后添加了端口

测试连通性时需要添加端口号。

例如,测试队列与指定RDS实例连通性,本例RDS实例使用3306端口。

测试连通性如下所示。

图1 测试地址连通性

检查是否连接的是对端VPC和子网

创建增强型跨源连接时需要填写对端的VPC和子网。

例如,测试队列与指定RDS实例连通性,创建连接时需要填写RDS的VPC和子网信息。

图2 创建连接

检查队列的网段是否与数据源网段是否重合

绑定跨源的DLI队列网段和数据源网段不能重合。

您可以从连接日志判断是否是队列与数据源网段冲突。

图3所示,即当前队列A网段与其他队列B网段冲突,且队列B已经建立了与数据源C的增强型跨源连接。因此提示队列A与数据源C的网段冲突,无法建立新的增强型跨源连接。

解决措施:修改队列网段或重建队列。

建议创建队列时就规划好网段划分,否则冲突后只能修改队列网段或重建队列。

图3 查看连接日志-1

检查是否为DLI授权了VPC Administrator权限

您可以从连接日志判断是否是VPC Administrator权限不足导致的连接失败。

图4图5所示,无法获取对端的子网ID、路由ID,因此跨源连接失败。

解决措施:请在服务授权添加VPC Administrator授权,取消IAM ReadOnlyAccess授权。

图4 查看连接日志-2
图5 查看连接日志-3
图6 DLI服务授权

检查对端安全组是否放通队列的网段

创建完跨源连接后,连接的Kafka、DWS、RDS等实例还需要在实例的安全组下添加DLI网段的安全组规则。以对端连接RDS为例:
  1. 在DLI管理控制台,单击“资源管理 > 队列管理”,选择您所绑定的队列,单击队列名称旁的按钮,获取队列的网段信息。
  2. 在RDS控制台“实例管理”页面,单击对应实例名称,查看“连接信息”>“数据库端口”,获取RDS数据库实例端口。
  3. 单击“连接信息”>“安全组”对应的安全组名称,跳转到RDS实例安全组管理界面。单击“入方向规则 > 添加规则”,优先级设置为“1”,协议选择“TCP”,端口选择RDS数据库实例端口,源地址填写DLI队列的网段。单击“确定”完成配置。
    图7 安全组规则

检查增强型跨源连接对应的对等连接的路由信息

检查增强型跨源连接对应的对等连接的路由表,该路由表的本端路由地址网段是否和别的网段有重合,如果重合,路由可能转发错误。

  1. 获取增强型跨源连接创建的对等连接ID。
    图8 获取对等连接ID
  2. 在VPC-对等连接控制台查看对等连接信息。
    图9 查看对等连接
    图10 查看队列网段
  3. 查看队列对应的VPC的路由表信息。
    图11 查看路由表目的地址-1

检查VPC网络是否设置了ACL规则限制了网络访问

网络ACL对子网进行防护,检查对应子网是否配置了ACL,是否设置了ACL规则限制了网络访问。

例如当您设置了安全组放通队列的网段,同时设置的网络ACL规则包含拒绝该地址访问,那么此安全组规则不生效。

您可以参考添加网络ACL规则修改网络ACL规则放通对应协议端口。

分享:

跨源连接问题 所有常见问题

more