ECS_8080端口连接拒绝问题排查
用户ECS网络设置
- 上图是用户ECS的网络示意图:
- ecs处于vpc网络下
- ecs加入了一个安全组,该安全组出入方向均开放8080端口
- ecs有两个网卡,一个私网主网卡(有虚线的网卡),一个私网normal网卡
- ecs绑定了一个EIP(弹性公网IP)实现与公网互通
问题现象
- 8080端口无法连接
排查过程
-
首先确认安全组规则中,的确开放了入和出的8080端口,说明安全组配置没有问题:
注意:经典网络不允许在安全组规则中设置 0.0.0.0/0 的地址段,vpc网络由于网络之间是隔离的,所以这样设置问题不大。
-
安全组设置没有问题,那重点怀疑用户的8080监听服务没有启动,用户反馈说本地curl 8080服务能够正确返回,说明服务已经启动. 要求用户反馈8080在监听的截图如下:
-
从上图能够看出用户的web服务被绑定在127.0.0.1的8080端口上了,而这会导致公网无法访问该web服务,解释如下:
- 127.0.0.1是一个回送(loopback)地址,指本地机,一般用来测试使用
- 127.0.0.1是通过网卡传输,依赖网卡,并受到网络防火墙和网卡相关的限制,这也是跟localhost重要区别之一,localhost是不走网卡的,因此防火墙设置对localhost是无效的。
- 正常的网络包都是从ip层进入链路层,然后发送到网络上,而发向127.0.0.1的包,直接在IP层短路了,也就是发到IP层的包直接被IP层接收了,不再向下发送。这也就决定了web应用绑定在127.0.0.1上是不可能被公网访问到的。
-
为了印证发向127.0.0.1无法被传输到网络上,可以使用netstat -r命令来看一下本机路由表的设置:
稍微解释一下上面的表格:
- 第一列:Destination,目标网段或者主机
- 第二列:Gateway,网关地址,”*” 表示目标是本主机所属的网络,不需要路由
- 第三列:Flags,标记。一些可能的标记如下:
- U :路由是活动的
- H : 目标是一个主机
- G :路由指向网关
- R :恢复动态路由产生的表项
- D :由路由的后台程序动态地安装
- M :由路由的后台程序修改
- ! :拒绝路由
- 第四列:Ref,路由项引用次数
- 第五列:Use,此路由项被路由软件查找的次数
- 第六列:Iface,该路由表项对应的输出接口
从截图可以看出,目标是127的数据包,网关地址仍然是127,这就印证了127是回送(loopback)地址。
-
解决方案:
- 修改web容器配置,把web应用绑定在ecs主网卡上。ECS bind EIP,实际上相当于EIP与ECS私有主网卡建立了映射关系,因此通过EIP:8080来访问web服务,最终就会*请求到私网主网卡:8080上。
- 更好的做法是把web服务绑定在0.0.0.0这个特殊IP上,关于0.0.0.0,这个IP并不是真实存在的,我们ping不通它,它只是一个符号,代表当前设备的IP。绑定在0.0.0.0上后无论是通过127.0.0.1还是本机ip去访问web服务,都是可以的。
总结
- 127.0.0.1是一个回送(loopback)地址,只能用于本机测试,web应用绑定在127.0.0.1上是不可能被公网访问到的。
- 把web应用绑定在ECS私网主网卡上就可以实现用EIP从公网来访问web服务,因为EIP与ECS私有主网卡建立了映射关系。
- 0.0.0.0是个特殊的IP,绑定在0.0.0.0上后无论是通过127.0.0.1还是本机ip去访问web服务,都是可以的。