无法访问HECS实例上运行的网站
问题描述
网站的访问与云服务器的网络配置、端口通信、防火墙配置、安全组配置等多个环节相关联。任意一个环节出现问题,都会导致网站无法访问。本节操作介绍网站无法访问时的排查思路。
关于网站无法访问排查思路的操作视频请点击:https://bbs.huaweicloud.com/videos/103592
排查思路
如果打开网站有报错提示信息,首先应该根据报错提示信息,排查可能的原因。
您可以参考ECS API参考中通用请求返回值中错误码说明排查可能原因。
以下排查思路根据原因的出现概率进行排序,建议您从高频率原因往低频率原因排查,从而帮助您快速找到问题的原因。
如果解决完某个可能原因仍未解决问题,请继续排查其他可能原因。
可能原因 |
处理措施 |
---|---|
检查端口通信 |
检查Web端口是否正常监听,详细操作请参考检查端口通信问题。 |
检查安全组规则 |
检查安全组是否放通Web端口,详细操作请参考检查安全组规则。 |
检查防火墙配置 |
测试防火墙关闭后是否可以正常访问,详细操作请参考检查防火墙配置。 |
检查云服务器路由配置 |
查看云服务器路由表中网关信息配置是否正确,详细操作请参考检查云服务器路由配置。 |
检查本地网络 |
更换手机热点或其他网络测试是否可以正常访问,详细操作请参考检查本地网络。 |
检查云服务器CPU利用率 |
定位影响云服务器CPU利用率高的进程并优化进程,详细操作请参考检查云服务器CPU利用率。 |
检查域名解析(适用于域名访问的场景) |
域名解析配置是否配置正确,详细操作请参考检查备案与域名解析是否正常(使用域名无法访问时适用)。 |
检查域名备案(适用于域名访问的场景) |
网站的域名和服务器IP是否备案成功,详细操作请参考检查备案与域名解析是否正常(使用域名无法访问时适用)。 |
检查端口通信问题
确保服务进程和端口正常工作,处于LISTEN状态。表2为常见TCP状态。
- Linux操作系统云服务器端口通信问题排查
使用netstat -antp命令检查服务的状态,确认端口是否正常监听。
例如:netstat -ntulp |grep 80图2 查看端口监听状态_linux
- 如果端口被正常监听,请执行 检查安全组规则。
- 如果端口没有被正常监听,请检查 Web 服务进程是否启动或者正常配置。
- Windows操作系统云服务器端口通信问题排查
- 打开CMD命令行窗口。
- 执行netstat -ano | findstr “PID”命令查看进程使用的端口号。
例如:netstat -ano | findstr “80”图3 查看端口监听状态_windows
- 如果端口被正常监听,请执行 检查安全组规则。
- 如果端口没有被正常监听,请检查 Web 服务进程是否启动或者正常配置。
TCP状态 |
说明 |
对应场景 |
---|---|---|
LISTEN |
侦听来自远方的TCP端口的连接请求 |
正常TCP服务端 |
ESTABLISHED |
代表一个打开的连接 |
正常TCP连接 |
TIME-WAIT |
等待足够的时间以确保远程TCP接收到连接中断请求的确认 |
已关闭的TCP连接,一般1分钟后清除。 |
CLOSE-WAIT |
等待从本地用户发来的连接中断请求 |
应用程序BUG,没有关闭socket。出现在网络中断后。一般是进程死循环或等待其他条件。可以重启对应进程。 |
FIN-WAIT-2 |
从远程TCP等待连接中断请求 |
网络中断过,需要12分钟左右自行恢复。 |
SYN-SENT |
再发送连接请求后等待匹配的连接请求 |
TCP连接请求失败。一般是服务端CPU占用率过高,处理不及时导致。DDos攻击也会出现此情况。 |
FIN-WAIT-1 |
等待远程TCP连接中断请求,或先前的连接中断请求的确认 |
网络中断过,此状态可能不会自行修复(等15分钟以上确认),如果长期占用端口需要重启OS恢复。 |
检查安全组规则
如果安全组入方向没有放通网站访问使用的端口,HECS实例上的网站将无法打开,请在云服务器实例对应的安全组中添加放行该端口的规则。配置安全组规则操作详见配置安全组规则。
优先级 |
策略 |
类型 |
协议端口 |
源地址 |
描述 |
---|---|---|---|---|---|
1 |
允许 |
IPv4 |
自定义TCP: 80 |
IP地址:0.0.0.0/0 |
允许使用HTTP协议访问网站。 |
1 |
允许 |
IPv4 |
自定义TCP: 443 |
IP地址:0.0.0.0/0 |
允许使用HTTPS协议访问网站。 |
1 |
允许 |
IPv4 |
自定义TCP: 8888 |
IP地址:0.0.0.0/0 |
允许访问宝塔面板。 |
检查防火墙配置
- Linux操作系统云服务器,关闭防火墙后测试是否可以正常访问。
- Windows操作系统云服务器,关闭防火墙后测试是否可以正常访问。
- 关闭防火墙后,重新测试网站访问是否正常。
检查云服务器路由配置
- Linux操作系统云服务器
- 使用route命令查看路由策略,确保0.0.0.0的默认路由指向网关,使用的IP和网关在相同网段,如图4中第1行和第3行所示。
- 使用ifconfig或者ip addr命令查看实例的IP地址。
图5 ifconfig命令查看IP地址
图6 ip addr命令查看IP地址
- 使用route -n命令通过路由表查看网关。
图7 route -n命令查看网关
- Windows操作系统云服务器
- 打开CMD命令行窗口。
- 执行ipconfig命令查看实例的IP地址。
图8 ipconfig命令查看IP地址
- 执行route print命令通过路由表查看网关。
图9 route print命令查看网关
检查云服务器CPU利用率
云服务器的带宽和CPU利用率过高可能导致网站无法访问。如果您已经通过云监控服务创建过告警任务,当CPU或带宽利用率高时,系统会自动发送告警给您。
- 定位影响云服务器带宽和CPU利用率高的进程。
- Windows操作系统本身提供了较多工具可以定位问题,包括任务管理器、性能监视器(Performance Monitor)、资源监视器(Resource Monitor)、Process Explorer、Xperf (Windows server 2008 以后)和抓取系统Full Memory Dump检查。
- Linux操作系统执行tcp命令查看当前系统的运行状态。
- 问题处理:排查进程是否正常,并分类进行处理。
- 正常进程:优化程序,或变更云服务器配置。
- 异常进程:建议您手动关闭进程,您也可以借助第三方工具关闭进程。
检查备案与域名解析是否正常(使用域名无法访问时适用)
完成上述的排查后,请使用弹性公网IP进行访问。如果使用 IP 地址可以访问,但是域名访问失败,则可能是域名备案或者解析相关问题造成网站无法访问。
网站的访问与域名的状态、域名实名认证状态、网站备案状态、解析是否生效、网站网络环境等多个环节有关系。在这些环节中,任意一个环节出现问题,都会导致网站无法访问。
关于域名与备案解析的排查思路请参考网站无法访问排查思路(排查域名与备案解析)。
- 检查域名备案。
备案是中国大陆的一项法规,网站的域名和服务器IP需要进行备案,备案成功后您的域名才可以指向服务器开通访问。
- 如果您使用中国大陆节点服务器提供互联网信息服务,需要先在服务器提供商处提交备案申请,备案成功后域名才可以指向服务器开通访问。如何备案?
- 如果您使用的是中国大陆地区以外的服务器(包括中国港澳台及其他国家、地区)提供互联网信息服务,无需备案。
- 如果您的域名已在其他接入商办理过备案并取得备案号,现在更换到华为云服务器进行域名解析(或者二级域名指向华为云),因接入商有变更,需要您在华为云做接入备案。
- 请确保网站内容与备案信息一致,且备案信息真实有效。
- 如果您的网站已备案成功仍无法访问,请等待一个工作日。由于信息同步延迟,备案通过一个工作日后网页会自动开放。
- 检查域名解析。
如果域名已备案,但未正确配置域名解析也可能会导致域名无法Ping通。
您可以DNS服务控制台查看域名解析详情。
- 检查DNS服务器配置。
如果ping 域名显示找不到主机可能是DNS服务器速度慢,导致的访问卡顿,建议您参考ECS案例:弹性云服务器访问中国大陆外网站时加载缓慢怎么办?进行优化。