大多数情况下,问题不在实例安全组,而在 VCN 层面的安全列表或操作系统内部防火墙,建议优先检查这两处。
先说结论:甲骨文云的网络访问控制分为多层,实例安全组只是其中一环,需按网络层级逐一排查。
- 先确认 VCN 安全列表是否放行
- 再处理操作系统防火墙规则
- 最后验证服务端口监听状态
命令速用版
登录实例后,快速检查端口监听和防火墙状态(以 80 端口为例):
ss -tlnp | grep 80
sudo ufw status
sudo firewall-cmd `--list-all`若外部无法连通,可在实例内部自测:
curl http://localhost:80故障原因分析
甲骨文云的网络流量进入实例前,需要经过至少两道关卡。第一道是 VCN(虚拟云网络)层面的安全列表或网络安全组,这是云厂商控制的边界防火墙;第二道是实例操作系统内部的防火墙,如 Linux 的 iptables、firewalld 或 ufw。
很多用户只在控制台打开了实例级别的“安全组”,却忽略了子网关联的“安全列表”默认可能只放行 SSH 端口。此外,即使云层面全部放行,如果操作系统内部没有监听对应端口,或系统防火墙拦截,外部依然无法访问。
分步排查流程
1. 检查 VCN 安全列表(Security Lists)
登录甲骨文云控制台,进入“网络 (Networking)”>“虚拟云网络 (Virtual Cloud Networks)”> 点击您的 VCN >“安全列表 (Security Lists)”。确认与实例子网关联的安全列表中,入站规则(Ingress Rules)是否包含目标端口。来源 CIDR 通常需设置为 0.0.0.0/0 或你的特定 IP。
2. 检查网络安全组(NSG)
如果实例使用了网络安全组而非传统安全列表,需在“网络安全组 (Network Security Groups)”菜单检查规则。注意实例可能同时关联了安全列表和 NSG,两者均需放行。
3. 检查操作系统防火墙
登录实例终端,根据系统类型检查:
- Ubuntu/Debian:
sudo ufw status,若状态为 active,需执行sudo ufw allow 80/tcp。 - CentOS/Oracle Linux:
sudo firewall-cmd `--list-all`,若未开放,执行sudo firewall-cmd `--permanent` `--add-port`=80/tcp后重载sudo firewall-cmd `--reload`。 - 通用检查:
sudo systemctl status firewalld确认服务运行状态。
4. 确认服务监听
使用 ss -tlnp | grep 80 确认服务正在监听。注意监听地址是 0.0.0.0 还是 127.0.0.1,若仅为后者,外部无法访问。
连通性验证
完成上述配置后,不要只在实例内部测试。请在本地电脑或另一台服务器上,使用以下命令测试连通性:
telnet 实例公网 IP 80
nc -vz 实例公网 IP 80对于 Web 服务,可直接在浏览器访问 http://实例公网 IP。若显示 Connected 或 succeeded,说明链路已通。若仍失败,可尝试在控制台重启实例网络接口,或检查路由表是否关联了互联网网关。
常见坑与注意事项
- 状态规则误解:安全列表默认是有状态的,放行入站后出站自动放行,但若是无状态规则,需双向配置。
- ICMP 与 TCP 混淆: ping 不通不代表端口不通,安全列表可能禁用了 ICMP 协议但放行了 TCP 端口。
- 公网 IP 缺失: 确认实例是否绑定了公网 IP(Ephemeral 或 Reserved),仅私有 IP 无法从互联网直接访问。
- 云防火墙服务: 部分区域或账户可能启用了额外的云防火墙策略,需在控制台“防火墙”菜单检查是否有全局拦截规则。
- 监听地址限制: 应用程序配置中若绑定 127.0.0.1,外部无法访问,需改为 0.0.0.0。
参考来源
- Oracle Cloud 官方文档 - 安全列表概述:https://docs.oracle.com/en-us/iaas/Content/Network/Concepts/securitylists.htm
- Oracle Cloud 官方文档 - 网络安全组:https://docs.oracle.com/en-us/iaas/Content/Network/Concepts/networksecuritygroups.htm
原文链接:https://www.zjcp.cc/ask/11529.html