腾讯云大额充值优惠 腾讯云国际站服务器内网互通设置

别再让‘内网不通’毁掉你的深夜部署

凌晨两点，你盯着监控面板上三台刚起的服务器——A能SSH连B，B却ping不通C，C的日志里全是连接超时。你查了安全组、看了私网IP、甚至重启了网卡……最后发现，它们压根不在同一个VPC里。这不是玄学，是腾讯云国际站（Tencent Cloud International）的‘温柔陷阱’：它不报错，只沉默；不提醒，只断连。

先划重点：国际站和国内站，不是‘复制粘贴’的关系

很多从国内站转战国际站的朋友，第一反应是‘照着国内文档抄就完事’。错！大错特错。腾讯云国际站用的是独立底层架构，控制台UI相似，但网络模型、默认策略、地域命名规则、甚至API响应码都悄悄变了脸。比如：
• 国内站新建VPC默认开通内网互通；国际站？新建VPC默认关闭跨子网路由转发；
• 国内站安全组入站规则默认放行10.0.0.0/8；国际站？默认全拒，连本地子网都不认；
• 国际站的‘Region’叫法更细：比如东京是ap-northeast-1，而国内‘华北’对应的是ap-beijing——拼错一个字母，IP就飘到太平洋去了。

第一步：确认‘家’在哪儿——VPC和子网必须同宗同源

内网互通的前提，是所有服务器‘住在同一个小区’。这个‘小区’就是VPC（Virtual Private Cloud）。但国际站有个反直觉设计：即使你在同一地域（如ap-singapore）创建了两台CVM，如果没手动指定VPC，系统会自动分配不同VPC！不信？马上验证：
登录控制台 → 进入CVM列表 → 点开任意一台实例详情 → 拉到‘网络信息’栏 → 找‘VPC ID’。对比两台，八成不一样。
解决办法只有两个字：重装——不是重装系统，是重选VPC。新建实例时，务必在‘网络配置’页，手动下拉选择同一个VPC和子网。记住口诀：‘新机不点默认，老机不靠运气’。

第二步：打通‘楼道’——开启子网间路由转发

VPC建好了，服务器也塞进同一个‘小区’了，但它们可能住不同‘单元楼’（子网）。国际站默认禁止单元楼之间串门。打开VPC控制台 → 找到你的VPC → 点击‘路由表’ → 选中关联该VPC的主路由表 → 点‘编辑路由策略’。
添加一条规则：
• 目的地址：10.0.0.0/8（或你VPC网段，如172.16.0.0/16）
• 下一跳类型：本地（Local）
• 备注：写‘允许VPC内全互通’
保存后，别忘了检查该路由表是否已关联到所有相关子网。国际站路由表默认只绑定首个子网，新增子网需手动‘挂载’——这一步漏了，等于给新单元楼焊死了防盗门。

第三步：撕掉‘门禁卡’——安全组双向放行

国际站安全组，默认是‘监狱模式’：出站全放，入站全拦。所以A能连B，是因为A的出站自由；但B收不到A的包，是因为B的安全组入站规则里，压根没写‘允许来自10.0.1.0/24的TCP 22’。
正确姿势：
① 进入‘安全组’页面 → 选中服务器A的安全组 → ‘入站规则’ → 添加：
  类型：自定义TCP
  端口：22（或你需要的端口）
  源IP：填B的内网IP，或整个子网段（如10.0.2.0/24）
② 同理，给B的安全组加一条入站规则，源IP填A的IP或A所在子网。
⚠️注意：国际站安全组不支持‘全部内网’快捷选项，必须手动填CIDR。填错一位数（比如10.0.0.0/24写成10.0.0.0/25），就等于把钥匙扔进了下水道。

第四步：检查‘身份证’——私网IP和网关设置

腾讯云大额充值优惠 有时候，服务器自己都懵了。执行ip a发现网卡只有127.0.0.1，或者IP是169.254.x.x——这是DHCP失败的典型信号。国际站CVM的私网IP由DHCP分配，但需要确保：
• 网卡配置为DHCP（Ubuntu在/etc/netplan/里检查，CentOS看/etc/sysconfig/network-scripts/ifcfg-eth0）；
• 不要手动配置静态IP覆盖DHCP（除非你真懂怎么配网关和DNS）；
• 确认VPC的DHCP选项集已启用（控制台→VPC→DHCP选项集→状态为‘已启用’）；
• 最狠一招：重启网络服务：sudo systemctl restart systemd-networkd（Ubuntu）或sudo systemctl restart network（CentOS）。

终极排错三板斧：快、准、狠

第一斧：ping链路
在A上执行：ping -c 4 10.0.2.10（B的内网IP）。不通？立刻查：
• arp -a | grep 10.0.2.10 —— 如果没返回，说明二层没通，回头检查VPC/子网/网关；
• ip route get 10.0.2.10 —— 看走哪条路由，是否命中你配的‘Local’策略。

第二斧：telnet端口
ping通≠服务通。接着跑：telnet 10.0.2.10 22。如果卡住或Connection refused：
• 先确认B的sshd是否运行：sudo systemctl status sshd；
• 再确认B的防火墙（ufw/iptables）是否拦截：sudo ufw status verbose，国际站CVM默认关ufw，但你自己开过就得关。

第三斧：抓包定罪
当所有配置看起来都对，还是不通？祭出tcpdump：
在B上执行：sudo tcpdump -i eth0 host 10.0.1.5（A的IP），然后A上ping B。如果tcpdump完全没抓到包——问题在A到B的路径上（路由/安全组）；如果抓到了ping请求但没回包——问题在B的响应环节（B的防火墙或内核参数net.ipv4.icmp_echo_ignore_all被设为1）。

附：国际站专属避坑清单（血泪整理）

• ❌ 不要用‘默认安全组’——国际站默认组入站全拒，连本子网都不放；
• ❌ 不要信‘同一地域即互通’——地域只是物理位置，VPC才是逻辑边界；
• ❌ 不要改VPC网段后再加机器——国际站不支持修改VPC CIDR，改了等于重建；
• ✅ 记住三个黄金命令：ip a（看IP）、ip route（看路由）、sudo iptables -L -n -v（看本地防火墙）；
• ✅ 所有配置完成后，用nc -zv 10.0.2.10 22代替ping测端口，更接近真实业务场景。

最后送一句真心话：云厂商的文档不是圣经，而是参考书。国际站的‘静默拒绝’机制，本质是逼你亲手摸清每层网络的毛细血管。当你某天能闭眼写出四条命令定位内网故障时，恭喜——你已从‘搬砖人’晋级为‘网络炼金术士’。下次再遇到‘内网不通’，别慌，泡杯茶，按本文顺序捋三遍，99%的问题，都在VPC、路由、安全组这三张牌里。