华为云即时到账充值 华为云国际站服务器内网互通设置

别再用公网IP互ping了，内网互通才是正经事

你有没有试过在华为云国际站（比如新加坡sg-south-1、德国de-west-3、日本jp-east-2）买了两台ECS，想让它们走内网通信，结果ping 10.0.0.5通不了，一查发现连ip a里都看不到内网地址？或者明明在同一VPC、同一子网，telnet 10.0.0.6 3306却提示Connection refused——不是端口没开，是压根没走到内网！

别急，这真不是玄学。华为云国际站和国内站UI逻辑相似，但底层网络策略、默认安全组规则、甚至子网CIDR分配习惯，都藏着几个「温柔陷阱」。今天咱们不背文档，不抄官方FAQ，就当面聊：怎么让两台（或多台）ECS在国际站里真正「握个手」，且握手过程不卡顿、不掉线、不烧脑。

第一步：确认「家」是不是同一个——VPC与子网校验

别信控制台左上角写的「默认VPC」

华为云国际站不会像国内站那样自动给你创建一个「default VPC」。你新建第一台ECS时，如果勾选了「自动创建VPC」，它确实会建一个，但这个VPC的CIDR可能是172.16.0.0/16，也可能是10.0.0.0/16——取决于Region策略。而第二台ECS，如果你手抖没选「使用已有VPC」，系统又默默建了一个新VPC，这时候两台机器物理上根本不在一个广播域里，内网当然不通。

实操检查法：进「VPC控制台 → 虚拟私有云」，数一数你有几个VPC。点进去看「子网」列表，确认所有目标ECS的「所属子网」是否列在同一VPC下。哪怕只差一个字母（比如vpc-abc123 vs vpc-abc124），就是两个平行宇宙。

子网必须同区域、同可用区？不，但得同VPC+同子网或配路由

国际站支持跨AZ部署（比如新加坡az1和az2），只要它们属于同一个VPC下的不同子网，也能互通——但前提是路由表里有对应条目。不过新手建议先「求稳」：把测试用的两台ECS全扔进同一个子网。为啥？因为子网内默认二层互通，无需额外配置路由，省去90%的排查时间。

顺手检查子网详情页的「关联路由表」，点进去看有没有一条目标网段为该子网CIDR（如10.0.1.0/24）、下一跳为local的路由——这是内网直通的身份证，没有它，流量直接被丢弃。

第二步：安全组——不是防火墙，是门禁卡+访客登记本

别只改「入方向」，出方向也要睁眼看看

很多人只记得给A机器的安全组加一条「允许来自B机器内网IP的TCP 22端口」，却忘了B机器的安全组默认拒绝所有入站——也就是说，A发过去的SYN包能到B，但B回的SYN-ACK被拦在门口，三次握手直接凉透。

正确姿势：两台机器的安全组，入方向都要放行对方内网IP段（比如A是10.0.1.10，B是10.0.1.11，那就互相加10.0.1.10/32和10.0.1.11/32；更省事就直接写10.0.1.0/24）。出方向不用管，默认全通——但！如果你开了「出方向限制」策略（比如只允许访问80/443），那A连B的3306也会失败，因为TCP连接建立需要双向通道。

安全组规则生效顺序：谁在前，谁作数

华为云安全组规则按「优先级数字从小到大」执行，且第一条匹配即终止。如果你在顶部加了一条「拒绝所有」（优先级100），下面再加十条「允许XX端口」（优先级101~110），那全白搭。务必检查规则列表顶部有没有「兜底拒绝」——国际站控制台默认不加，但你自己手滑加过就得手动删。

第三步：操作系统层——别让Linux自己把门焊死

CentOS/RHEL：firewalld可能比安全组还狠

华为云镜像默认启用firewalld，而它的默认zone（public）会drop所有非白名单端口。就算安全组全开，systemctl status firewalld一看还在running，firewall-cmd --list-all发现只有ssh/http/https，那你的redis、mysql、自定义端口照样被拦。

临时解法：sudo systemctl stop firewalld（仅测试用）；长期方案：firewall-cmd --permanent --add-source=10.0.1.0/24 + firewall-cmd --permanent --add-port=3306/tcp + firewall-cmd --reload。

Ubuntu：ufw常被遗忘的守门员

Ubuntu镜像默认装了ufw，状态却是inactive——但有些定制镜像会激活它。运行sudo ufw status verbose，如果显示Status: active，且规则里没放行内网段，立刻补：sudo ufw allow from 10.0.1.0/24。注意：ufw规则不区分入出方向，这条命令只放开入站。

终极排障三板斧：不靠猜，靠证据

第一斧：确认内网IP真实存在

登录ECS，跑ip a | grep 'inet 10\|172\|192.168'。如果只看到公网IP（比如172.x.x.x但不在你VPC CIDR里），说明ECS根本没绑定内网网卡——可能创建时误关了「分配IPv4私有IP」选项。此时只能重装系统或联系工单（无法在线修复）。

第二斧：抓包看流量到底去了哪

在A机上tcpdump -i any host 10.0.1.11，同时B机ping 10.0.1.10。如果A机tcpdump完全没输出，说明包根本没进来——问题在安全组或路由；如果A机收到ICMP request但没回reply，大概率是B机防火墙拦截了响应；如果A机收到了request也发了reply，但B机收不到，那就是B机防火墙拦了入向ICMP。

第三斧：telnet不如nc，nc不如curl -v

华为云即时到账充值 别迷信telnet 10.0.1.11 3306。很多镜像telnet默认不装，而且它只测TCP连通性，不验证应用层。换成nc -zv 10.0.1.11 3306（nc自带超时和详细错误）；如果是HTTP服务，curl -v http://10.0.1.11:8080/health还能看到完整请求头和响应码，比ping有用十倍。

彩蛋：跨VPC互通？不是不行，是得请「云路由器」来牵线

如果业务真需要跨VPC（比如生产VPC和日志VPC隔离），别硬改路由表。华为云国际站提供「对等连接」（Peering Connection）：两边VPC各建一个，互相授权，再各自在路由表里加一条指向对方VPC CIDR、下一跳为peering ID的路由。注意：对等连接不跨Region，且两端VPC网段不能重叠（10.0.0.0/16和10.1.0.0/16可以，10.0.0.0/16和10.0.1.0/24就不行）。

最后说句掏心窝的：华为云国际站文档英文为主，中文翻译偶有滞后。遇到「找不到按钮」或「参数名对不上」，切到英文界面对照着找，往往豁然开朗。毕竟，云厂商的UI可以变，但网络的本质——IP、子网、路由、ACL——永远诚实。