阿里云实名账号商城 阿里云国际站服务器内网互通设置

别急着ping，先搞懂‘内网互通’到底在说啥

很多人一看到“内网互通”，第一反应是：不就是两台服务器在同一个局域网里互相ssh、传文件、搭集群嘛？简单！结果一顿操作猛如虎，ping 10.0.1.10回车——Destination Host Unreachable。屏幕一黑，心也一凉。

真相是：阿里云国际站（Alibaba Cloud International）的“内网”，不是物理网线插在一起就自动通的局域网，而是一套由VPC（Virtual Private Cloud）、子网、路由表、安全组、网络ACL共同编织的逻辑网络。它像一座带安检门、楼层指引、电梯权限卡的智能写字楼——你得先办工牌（VPC），再分楼层（子网），再领门禁卡（安全组规则），最后确认电梯是否停靠该层（路由表）。少一步，人就在一楼大厅干瞪眼。

第一步：确认你根本不在‘同一栋楼’

阿里云实名账号商城 国际站最常踩的坑：以为新加坡的ECS和东京的ECS能直接走内网。醒醒，它们压根不在一个VPC里——甚至不在一个地理大区（Region）里。阿里云国际站的VPC是区域级资源，跨Region的VPC默认完全隔离，连路由表都见不到对方影子。

✅ 正确姿势：所有需要互通的ECS，必须部署在同一Region下的同一个VPC内。比如全选ap-southeast-1（新加坡），VPC ID统一为vpc-xxxxxx。如果已经买了东京（ap-northeast-1）的机器？抱歉，要么重买，要么上云企业网（CEN）——那是另一个故事了，且贵且谨慎。

第二步：子网（Subnet）不是摆设，是‘楼层分区’

VPC建好了，下一步是划子网。有人图省事，整个VPC只划一个10.0.0.0/16大网段，所有ECS全扔进去。短期看着爽，后期扩容、隔离、审计全抓瞎。

建议实操分法：
• Web层：10.0.1.0/24（10.0.1.1–10.0.1.254）
• 应用层：10.0.2.0/24
• 数据库层：10.0.3.0/24
• 管理跳板机：10.0.99.0/24（独立网段，强管控）

关键点来了：同VPC不同子网之间，默认路由是通的（只要没删默认路由条目），但——安全组不认子网，只认实例本身。所以即便A在10.0.1.0/24，B在10.0.3.0/24，只要双方安全组放行对应端口，照样互通。子网的作用，是帮你做逻辑隔离+IP规划+后续网络ACL精细控制。

第三步：安全组——你的服务器‘电子门禁’

这是90%失败案例的终极凶手。阿里云安全组默认拒绝所有入方向流量（Ingress Deny All）。它不像传统防火墙按IP段写规则，而是以实例为单位，绑定规则。也就是说：你给A机器开了22端口入方向，只管A自己；B机器想连A的22，还得单独给B配一条“允许B访问A的22”的出方向规则？错！安全组是无状态的——你只需在A的安全组里加一条：
入方向｜协议TCP｜端口22｜源地址10.0.2.0/24｜描述：应用层SSH访问

⚠️ 常见作死操作：
• 写成0.0.0.0/0开放22——公网裸奔，黑客连夜下单；
• 只改了A的安全组，忘了B也要能发包（其实不用！安全组不拦出方向）；
• 混淆“安全组”和“网络ACL”——后者是子网级有状态过滤，一般新手真用不上，先别碰。

第四步：检查路由表，别让包‘坐过山车’

VPC创建时会自动生成一张主路由表，默认含两条关键规则：
• 目标网段10.0.0.0/16 → 关联到本地（Local）→ 表示本VPC内所有私网IP直通；
• 目标网段0.0.0.0/0 → 下一跳为Internet Gateway（仅当你绑了EIP才生效）。

只要你不手贱删掉第一条，VPC内私网通信就天然有路由支撑。验证方法：
ip route show（Linux）看是否有10.0.0.0/16 dev eth0 proto kernel scope link src 10.0.1.10这类本地路由；
或者登录ECS，在控制台查“实例详情→网络与安全组→路由表”，确认绑定的是主表且含Local路由。

第五步：动手前必做的三连问

每次配完不通，先默念这三句，比重启快十倍：
① 两台ECS的私网IP是否都在同一VPC的CIDR范围内？（比如VPC是10.0.0.0/16，A是10.0.1.5，B是172.16.1.8？那B根本不在这个VPC里！）
② A的安全组是否允许B的IP或网段访问目标端口？（别只看端口，源地址填对了吗？是单IP还是网段？）
③ B能否成功ping通A的私网IP？（先关防火墙：sudo systemctl stop firewalld 或 sudo ufw disable，排除系统级拦截）

实战演示：5分钟打通Web与DB

场景：新加坡区，VPC网段10.0.0.0/16；Web服务器（web-01）在10.0.1.10，DB服务器（db-01）在10.0.3.10。要求Web能连DB的3306端口。

Step 1｜确认基础环境

登录Alibaba Cloud Console → VPC控制台 → 查VPC详情，确认Region为ap-southeast-1，CIDR为10.0.0.0/16；点开“交换机”，确认web-01和db-01分别挂在subnet-web和subnet-db下，且两个子网的CIDR均属于10.0.0.0/16（如10.0.1.0/24、10.0.3.0/24）。

Step 2｜配置DB安全组

找到db-01实例 → “安全组”页签 → 编辑入方向规则：
• 类型：MySQL
• 协议：TCP
• 端口范围：3306
• 授权对象：10.0.1.0/24（即Web所在子网）
• 优先级：100（越小越优先）

保存后，立刻生效，无需重启ECS。

Step 3｜从Web机测试连通性

SSH登录web-01：
ping -c 3 10.0.3.10 → 应返回3个reply；
telnet 10.0.3.10 3306 或 nc -zv 10.0.3.10 3306 → 显示succeeded!即通关。

若ping通但telnet失败？99%是DB服务未监听私网IP（MySQL默认bind-address=127.0.0.1），改配置+重启服务即可。

那些年，我们追过的‘伪内网’陷阱

• 经典网络ECS × VPC ECS：国际站已全面下架经典网络，但若你用的是老账号迁移遗留实例……别挣扎了，重装系统迁VPC，这是唯一解。
• 启用了IPv6却忽略IPv4路由：国际站ECS默认双栈，但内网通信默认走IPv4。若你手动关了IPv4或路由表里IPv4缺失，就会出现connect: Network is unreachable这种玄学报错。
• 用了EIP但误以为它影响内网：EIP只管公网出入，对内网通信零干扰。别因为绑了EIP就怀疑“是不是EIP占了内网资源”——它连你的VPC路由表都进不去。

终极排错口诀（背下来，打工人保命）

V-P-S-R-F：
V —— VPC Region一致否？
P —— 私网IP在VPC CIDR内否？
S —— 安全组入方向放行否？（源IP+端口）
R —— 路由表有Local路由否？
F —— 实例系统防火墙关否？（iptables/ufw/firewalld）

五步全绿，还不通？请立刻截图控制台+命令行输出，发给阿里云技术支持——这时候，不是你错了，是宇宙在调试你。

最后送一句大实话：内网互通，从来不是技术难题，而是耐心+结构化排查的胜利。别信“一键脚本”，别抄冷门博客，回到控制台，一行一行看配置——那里没有bug，只有你还没发现的选项。祝你今晚，ping得响，连得稳，睡得香。