AI 助理
备案控制台
开发者社区 云服务技术课堂 文章 正文

应用数据迁移网络异常案例分析

2020-03-27 452
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
公网NAT网关,每月750个小时 15CU
简介: 某客户计划通过P2V工具迁移500台ECS镜像至阿里云华北1(青岛),在应用数据迁移传输过程中是把用户的系统盘、数据盘的数据通过公网传输到阿里云中转ECS实例上。6.12-6.13号批量迁移100台基本正常,从2018.6.13号晚10点左右开始连接阿里云中转ECS实例就出现中断,现象为在客户端telnet中转ECS实例8703端口提示Connection closed by foreign host. 但检查中转ECS实例的http 服务8080正常,而且其它地方测试中转ECS实例8073端口、8080端口服务均正常。

作者:连珣

问题描述及现象

某客户计划通过P2V工具迁移500台左右镜像至阿里云华北1(青岛),在应用数据迁移传输过程中是把用户的系统盘、数据盘的数据通过公网传输到阿里云中转ECS实例上。

某客户6.12-6.13号批量迁移100台基本正常,从2018.6.13号晚10点左右开始连接阿里云中转ECS实例就出现中断,现象为在客户端telnet中转ECS实例8703端口提示Connection closed by foreign host. 但检查中转ECS实例的http 服务8080正常,而且其它地方测试中转ECS实例8073端口、8080端口服务均正常。

6.20-6.21恢复正常后,继续批量迁移了130台左右,但6.25号开始又问题重现。

问题处理过程

6.15号

12点左右开始,客户再次重现问题。
在客户侧telnet 10次都失败了,在阿里云ECS侧(47.104.79.200,i-m5ecitgdpobfwwrzb6bm)抓包如上rsync_server.cap。同时在其它地方telnet 正常。

2.1.png

和客户修改传输端口为8702测试了一下,telnet 10次全部成功,换回8703就不行了。这个跟网络运营商一贯的封端口的手法很类似,应该是端口被记录并限制了。

6.25号

客户临时改端口方案也行不通了,修改了2次端口都是传了一部分之后就被强制断开了,报一样的传输错误。但是在其他地方telnet中转ECS测试传输正常。

6.26号

20:30分-22:00分 迁云专家服务团队进入排障
1)从历史抓包信息来看,初步判断是安全策略或网络质量导致请求超时。

2.2.png

注:关于TCP的几个FLAGS字段标识,我这里简单介绍一下,有兴趣深入了解的可以自行百度查相关材料,大概含义是:

SYN表示建立连接,

FIN表示关闭连接,

ACK表示响应,

PSH表示有 DATA数据传输,

RST表示连接重置。

2)同时,从客户反馈的网络架构环境来看,客户网络环境部署了一些DDOS、FW等的安全防护的设备。

3)重新启动迁移任务进行测试,此时段网络传输正常。

22:10分-23:00问题重现
1)从客户反馈的出口监控流量上看已经达到了带宽上限200M。

2.3.png

2)客户侧通过检查FW上的log日志暂未发现异常信息。

2.4.png

3)由于时间关系,总结并计划第二天排查的思路:

(1)请XXX客户数据中心部门画一下当前的网络拓扑图,明天和阿里云专家一起开会介绍。

(2)请XXX客户数据中心部门和运营商确认:如果超过了目前购买的200M带宽,运营商会如何处理?协调让运营商取消限制进行一次测试。

(3)后续迁移,启用迁移工具限流,设置总流量不超过100M。

(4)请XXX客户数据中心部门,将迁移时的3个随机IP(NAT出去的外部地址)修改为1个,然后进行测试。

6.27号

10:10 了解客户环境
按昨晚计划的排查思路,客户介绍网络环境,从中了解到客户IDC部署了流量清洗AntiDDoS设备、链路负载均衡F5、H3C M9006防火墙设备等。大致的网络环境如下所示:

2.5.png

10:20 查看日志
查看AntiDDoS、M9006日志、策略等,均未发现异常信息。

2.6.png

2.7.png

2.8.png

2.9.png

10:30 切换线路
将原来的移动线路切换至联通线路,将SNAT设置为一个公网IP X.X.X.62,同时将带宽限流为20M进行迁移测试,此时P2V迁移工具传系统盘、数据盘均正常。

11:00 问题重现
源服务器测试:

2.10.png

其它公网环境:

2.11.png

12:00-15:00 问题范围定位
1)在客户网络环境互联网区最外层跟运营商对接互联的华为C6850设备上设置联通问题IP(X.X.X.62),也即是原来SNAT设置的公网IP。测试此时联通线路是否正常的.排除定位是联通线路问题还是企业内部网络问题,把范围定位.

2.12.png

2)在C6850 测试8703端口不通,但可以访问外部网络,跟源迁移服务器情况一致,基本可以判断此异常问题跟客户网络环境无关。

2.13.png

15:30 更换SNAT公网地址
更换SNAT公网地址测试8703端口通过,即将联通外网IP X.X.X.62更改为X.X.X.60).基本上可以确定客户的X.X.X.62 8703端口被上游运营商、云厂商封堵或拦截。

7、总结并计划明天下一步的排查思路:

1)阿里云网络排查,联系“网络运营服务台”协助定位。

2)阿里云安全策略排查,联系阿里云安全同事。

3)切换电信线路进行复盘迁移测试(移动、联通线路均已测试且都能重现同样的问题出来,但为了让客户更加积极配合我们进行排查问题,故继续又选电信线路进行测试,尽管理论上三家运营商同时封端口的概率很低)。

6.28号 问题解决

1)09:30 咨询阿里云-安全部李XX,从描述的现象看很像是安全攻击。

2)10:30 联系阿里云-安全部陈XX,陈XX通过安全运营平台查看到拦截信息。

2.14.png

3)12:30阿里云-安全部陈XX把客户的公网IP添加为白名单后问题解决。

影响范围

数据迁移中断,影响项目正常进行。

问题结论

安全策略:本次数据迁移网络异常主要是命中了阿里云的“防恶意攻击的安全策略”。

触发场景:在短时间内的大批量临时的ECS消耗(创建到释放)场景可能会触发。

文章标签:
云服务器 ECS
NAT网关
弹性计算
监控
负载均衡
云安全
网络安全
网络协议
网络架构
安全
数据中心
关键词:
网络分析
网络案例
网络异常
网络案例分析
数据迁移网络
相关实践学习
2分钟自动化部署人生模拟器
本场景将带你借助云效流水线Flow实现人生模拟器小游戏的自动化部署
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
技术课堂的搬运工~
目录
相关文章
sunrr
|
16天前
|
人工智能 运维 物联网
AI在蜂窝网络中的应用前景
AI在蜂窝网络中的应用前景
sunrr
31 3
小白学大数据
|
20天前
|
数据采集 缓存 定位技术
网络延迟对Python爬虫速度的影响分析
网络延迟对Python爬虫速度的影响分析
小白学大数据
37 1
游客moiomvrp3vyac2
|
11天前
|
机器学习/深度学习 人工智能 自然语言处理
深度学习中的卷积神经网络(CNN)及其在图像识别中的应用
本文旨在通过深入浅出的方式,为读者揭示卷积神经网络(CNN)的神秘面纱,并展示其在图像识别领域的实际应用。我们将从CNN的基本概念出发,逐步深入到网络结构、工作原理以及训练过程,最后通过一个实际的代码示例,带领读者体验CNN的强大功能。无论你是深度学习的初学者,还是希望进一步了解CNN的专业人士,这篇文章都将为你提供有价值的信息和启发。
游客moiomvrp3vyac2
36 6
历年考试不作弊
|
19天前
|
SQL 安全 前端开发
PHP与现代Web开发:构建高效的网络应用
【10月更文挑战第37天】在数字化时代,PHP作为一门强大的服务器端脚本语言,持续影响着Web开发的面貌。本文将深入探讨PHP在现代Web开发中的角色,包括其核心优势、面临的挑战以及如何利用PHP构建高效、安全的网络应用。通过具体代码示例和最佳实践的分享,旨在为开发者提供实用指南,帮助他们在不断变化的技术环境中保持竞争力。
历年考试不作弊
34 7
游客dng4gjyb342he
|
16天前
RS-485网络中的标准端接与交流电端接应用解析
RS-485,作为一种广泛应用的差分信号传输标准,因其传输距离远、抗干扰能力强、支持多点通讯等优点,在工业自动化、智能建筑、交通运输等领域得到了广泛应用。在构建RS-485网络时,端接技术扮演着至关重要的角色,它直接影响到网络的信号完整性、稳定性和通信质量。
游客dng4gjyb342he
37 2
请看我回答~
|
19天前
|
机器学习/深度学习 人工智能 算法框架/工具
深度学习中的卷积神经网络(CNN)及其在图像识别中的应用
【10月更文挑战第36天】探索卷积神经网络(CNN)的神秘面纱,揭示其在图像识别领域的威力。本文将带你了解CNN的核心概念,并通过实际代码示例,展示如何构建和训练一个简单的CNN模型。无论你是深度学习的初学者还是希望深化理解,这篇文章都将为你提供有价值的见解。
请看我回答~
56 5
wljslmz
|
20天前
|
网络协议 数据挖掘 5G
适用于金融和交易应用的低延迟网络:技术、架构与应用
适用于金融和交易应用的低延迟网络:技术、架构与应用
wljslmz
46 5
wljslmz
|
20天前
|
运维 物联网 网络虚拟化
网络功能虚拟化(NFV):定义、原理及应用前景
网络功能虚拟化(NFV):定义、原理及应用前景
wljslmz
39 3
陌陌谣
|
19天前
|
数据可视化 算法 安全
员工上网行为管理软件:S - PLUS 在网络统计分析中的应用
在数字化办公环境中,S-PLUS 员工上网行为管理软件通过精准的数据收集、深入的流量分析和直观的可视化呈现,有效帮助企业管理员工上网行为,保障网络安全和提高运营效率。
陌陌谣
24 1
陌陌谣
|
16天前
|
监控 网络协议 安全
员工网络监控软件:PowerShell 在网络监控自动化中的应用
在数字化办公环境中,企业对员工网络活动的监控需求日益增长。PowerShell 作为一种强大的脚本语言,能够有效实现员工网络监控自动化。本文介绍了如何使用 PowerShell 获取网络连接信息、监控特定网址的访问情况,并生成自动化报告,帮助企业高效管理员工网络活动,确保网络安全和合规性。
陌陌谣
29 0

云服务技术课堂

热门文章

最新文章

  • 1
    【深度神经网络 One-shot Learning】孪生网络少样本精准分类
  • 2
    访问windows 共享提示"找不到网络路径" 排查过程
  • 3
    调整DC的网络对网络是否会有影响?
  • 4
    网络通信第五课 生产环境下的Post通信
  • 5
    神经网络梯度下降的三种学习方式
  • 6
    Python网络编程1--笔记
  • 7
    Linux 2 unit7 挂载网络共享
  • 8
    AT&T、IBM等公司结成新的物联网网络安全联盟
  • 9
    全球5%网络已开始使用IPv6
  • 10
    美国:将日本纳入网络攻击防御保护伞
  • 1
    网络防御前线:洞悉漏洞、加密之盾与安全意识觉醒
    37
  • 2
    Linux网络编程 网络基础知识
    68
  • 3
    开发板配置网络ssh登入
    70
  • 4
    网络编程知识点总结(7)
    48
  • 5
    网络编程知识点总结(6)
    49
  • 6
    网络编程知识点总结(5)
    48
  • 7
    网络编程知识点总结(4)
    44
  • 8
    网络编程知识点总结(3)
    50
  • 9
    网络编程知识点总结(2)
    46
  • 10
    网络编程知识点总结(1)
    43

    • 相关课程

    更多
  • TCP/IP 网络基础
  • 云计算工程师解析与实战-网络专家篇(体验版)
  • 云网络白皮书-阿里云网络系列课
  • 企业上云攻略-阿里云网络产品应用系列教程
  • Linux网络进阶 - TCP/IP协议及OSI七层模型
  • 网络管理者必知-2分钟了解新出台的《网络安全法》

    • 相关电子书

    更多
  • Session:更加安全、可靠的数据中心网络产品更新
  • Session:极简易用的全球化网络产品更新
  • Session:弹性、高可用、可观测的应用交付网络产品更新

    • 相关实验场景

    更多
  • 实时数据及离线数据上云方案
  • 容器的网络入门
  • 容器的自定义网络
  • 容器的共享网络模型
  • 使用阿里云容器服务和容器网络文件系统搭建WordPress网站
    • 下一篇
    阿里云无影云电脑免费试用,最长可试用3个月