文档首页/ 云耀云服务器(旧版)/ 常见问题/ 网络配置/ 无法访问HECS实例上运行的网站
更新时间:2024-12-02 GMT+08:00
分享

无法访问HECS实例上运行的网站

问题描述

网站的访问与云服务器的网络配置、端口通信、防火墙配置、安全组配置等多个环节相关联。任意一个环节出现问题,都会导致网站无法访问。本节操作介绍网站无法访问时的排查思路。

关于网站无法访问排查思路的操作视频请点击:https://bbs.huaweicloud.com/videos/103592

排查思路

如果打开网站有报错提示信息,首先应该根据报错提示信息,排查可能的原因。

您可以参考ECS API参考中通用请求返回值中错误码说明排查可能原因。

以下排查思路根据原因的出现概率进行排序,建议您从高频率原因往低频率原因排查,从而帮助您快速找到问题的原因。

如果解决完某个可能原因仍未解决问题,请继续排查其他可能原因。

图1 网站无法访问排查思路
表1 网站无法访问排查思路

可能原因

处理措施

检查端口通信

检查Web端口是否正常监听,详细操作请参考检查端口通信问题

检查安全组规则

检查安全组是否放通Web端口,详细操作请参考检查安全组规则

检查防火墙配置

测试防火墙关闭后是否可以正常访问,详细操作请参考检查防火墙配置

检查云服务器路由配置

查看云服务器路由表中网关信息配置是否正确,详细操作请参考检查云服务器路由配置

检查本地网络

更换手机热点或其他网络测试是否可以正常访问,详细操作请参考检查本地网络

检查云服务器CPU利用率

定位影响云服务器CPU利用率高的进程并优化进程,详细操作请参考检查云服务器CPU利用率

检查域名解析(适用于域名访问的场景)

域名解析配置是否配置正确,详细操作请参考检查备案与域名解析是否正常(使用域名无法访问时适用)

检查域名备案(适用于域名访问的场景)

网站的域名和服务器IP是否备案成功,详细操作请参考检查备案与域名解析是否正常(使用域名无法访问时适用)

检查端口通信问题

确保服务进程和端口正常工作,处于LISTEN状态。表2为常见TCP状态。

  • Linux操作系统云服务器端口通信问题排查

    使用netstat -antp命令检查服务的状态,确认端口是否正常监听。

    例如:netstat -ntulp |grep 80
    图2 查看端口监听状态_linux
    • 如果端口被正常监听,请执行 检查安全组规则
    • 如果端口没有被正常监听,请检查 Web 服务进程是否启动或者正常配置。
  • Windows操作系统云服务器端口通信问题排查

    使用远程端口检测命令:

    1. 打开CMD命令行窗口。
    2. 执行netstat -ano | findstr “PID命令查看进程使用的端口号。
      例如:netstat -ano | findstr “80”
      图3 查看端口监听状态_windows
      • 如果端口被正常监听,请执行 检查安全组规则
      • 如果端口没有被正常监听,请检查 Web 服务进程是否启动或者正常配置。
表2 常见TCP状态

TCP状态

说明

对应场景

LISTEN

侦听来自远方的TCP端口的连接请求

正常TCP服务端

ESTABLISHED

代表一个打开的连接

正常TCP连接

TIME-WAIT

等待足够的时间以确保远程TCP接收到连接中断请求的确认

已关闭的TCP连接,一般1分钟后清除。

CLOSE-WAIT

等待从本地用户发来的连接中断请求

应用程序BUG,没有关闭socket。出现在网络中断后。一般是进程死循环或等待其他条件。可以重启对应进程。

FIN-WAIT-2

从远程TCP等待连接中断请求

网络中断过,需要12分钟左右自行恢复。

SYN-SENT

再发送连接请求后等待匹配的连接请求

TCP连接请求失败。一般是服务端CPU占用率过高,处理不及时导致。DDos攻击也会出现此情况。

FIN-WAIT-1

等待远程TCP连接中断请求,或先前的连接中断请求的确认

网络中断过,此状态可能不会自行修复(等15分钟以上确认),如果长期占用端口需要重启OS恢复。

检查安全组规则

如果安全组入方向没有放通网站访问使用的端口,HECS实例上的网站将无法打开,请在云服务器实例对应的安全组中添加放行该端口的规则。配置安全组规则操作详见配置安全组规则

表3 常用网站端口

优先级

策略

类型

协议端口

源地址

描述

1

允许

IPv4

自定义TCP: 80

IP地址:0.0.0.0/0

允许使用HTTP协议访问网站。

1

允许

IPv4

自定义TCP: 443

IP地址:0.0.0.0/0

允许使用HTTPS协议访问网站。

1

允许

IPv4

自定义TCP: 8888

IP地址:0.0.0.0/0

允许访问宝塔面板。

检查防火墙配置

  • Linux操作系统云服务器,关闭防火墙后测试是否可以正常访问。
    以CentOS 6.8操作系统80端口为例。
    1. 使用iptables -nvL --line-number命令查看已配置的防火墙策略。
    2. 依次执行以下命令放行SSH服务默认端口80。

      iptables -A INPUT -p tcp --dport 80 -j ACCEPT

      iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

    3. 使用service iptables save命令保存添加的规则。
    4. 使用service iptables restart命令重启iptables。
    5. 使用iptables -nvL --line-number命令查看增加的规则是否生效。
    6. 关闭防火墙后,重新测试网站访问是否正常。
  • Windows操作系统云服务器,关闭防火墙后测试是否可以正常访问。
    1. 登录Windows云服务器。
    2. 单击桌面左下角的Windows图标,选择“控制面板 > Windows防火墙”。

    3. 单击“启用或关闭Windows防火墙”。

      查看并设置防火墙的具体状态:开启或关闭。

    1. 关闭防火墙后,重新测试网站访问是否正常。

检查云服务器路由配置

  • Linux操作系统云服务器
    1. 使用route命令查看路由策略,确保0.0.0.0的默认路由指向网关,使用的IP和网关在相同网段,如图4中第1行和第3行所示。
      图4 查看路由策略
    2. 使用ifconfig或者ip addr命令查看实例的IP地址。
      图5 ifconfig命令查看IP地址
      图6 ip addr命令查看IP地址
    3. 使用route -n命令通过路由表查看网关。
      图7 route -n命令查看网关
  • Windows操作系统云服务器
    1. 打开CMD命令行窗口。
    2. 执行ipconfig命令查看实例的IP地址。
      图8 ipconfig命令查看IP地址
    3. 执行route print命令通过路由表查看网关。
      图9 route print命令查看网关

检查本地网络

更换手机热点或其他网络测试是否可以访问网站。

如果可以正常访问说明云服务器的网络配置正常,请排除本地网络故障后重新测试访问网站。

检查云服务器CPU利用率

云服务器的带宽和CPU利用率过高可能导致网站无法访问。如果您已经通过云监控服务创建过告警任务,当CPU或带宽利用率高时,系统会自动发送告警给您。

  1. 定位影响云服务器带宽和CPU利用率高的进程。
    • Windows操作系统本身提供了较多工具可以定位问题,包括任务管理器、性能监视器(Performance Monitor)、资源监视器(Resource Monitor)、Process Explorer、Xperf (Windows server 2008 以后)和抓取系统Full Memory Dump检查。
    • Linux操作系统执行tcp命令查看当前系统的运行状态。
  1. 问题处理:排查进程是否正常,并分类进行处理。
    • 正常进程:优化程序,或变更云服务器配置。
    • 异常进程:建议您手动关闭进程,您也可以借助第三方工具关闭进程。

检查备案与域名解析是否正常(使用域名无法访问时适用)

完成上述的排查后,请使用弹性公网IP进行访问。如果使用 IP 地址可以访问,但是域名访问失败,则可能是域名备案或者解析相关问题造成网站无法访问。

网站的访问与域名的状态、域名实名认证状态、网站备案状态、解析是否生效、网站网络环境等多个环节有关系。在这些环节中,任意一个环节出现问题,都会导致网站无法访问。

关于域名与备案解析的排查思路请参考网站无法访问排查思路(排查域名与备案解析)

  1. 检查域名备案。

    备案是中国大陆的一项法规,网站的域名和服务器IP需要进行备案,备案成功后您的域名才可以指向服务器开通访问。

    • 如果您使用中国大陆节点服务器提供互联网信息服务,需要先在服务器提供商处提交备案申请,备案成功后域名才可以指向服务器开通访问。如何备案?
    • 如果您使用的是中国大陆地区以外的服务器(包括中国港澳台及其他国家、地区)提供互联网信息服务,无需备案。
    • 如果您的域名已在其他接入商办理过备案并取得备案号,现在更换到华为云服务器进行域名解析(或者二级域名指向华为云),因接入商有变更,需要您在华为云做接入备案。
      • 请确保网站内容与备案信息一致,且备案信息真实有效。
      • 如果您的网站已备案成功仍无法访问,请等待一个工作日。由于信息同步延迟,备案通过一个工作日后网页会自动开放。
  2. 检查域名解析。

    如果域名已备案,但未正确配置域名解析也可能会导致域名无法Ping通。

    您可以DNS服务控制台查看域名解析详情。

  3. 检查DNS服务器配置。

    如果ping 域名显示找不到主机可能是DNS服务器速度慢,导致的访问卡顿,建议您参考ECS案例:弹性云服务器访问中国大陆外网站时加载缓慢怎么办?进行优化。

相关文档