如何为阿里云t6实例配置公网访问?

2026-01-04 02:44:08 分类:云计算

阿里云 t6 实例(突发性能实例)本身并不直接限制公网访问能力,但其是否能被公网访问,取决于 网络配置(VPC、安全组、弹性公网IP/EIP)和 实例状态。以下是为 t6 实例配置公网访问的完整、安全、推荐步骤(基于 VPC 网络环境,这是当前阿里云默认且强制推荐的网络模式):

✅ 前提条件

  • 实例已创建在 VPC 网络中(非经典网络,经典网络已逐步下线);
  • 实例处于 运行中(Running) 状态;
  • 您拥有对应账号的 ECS 管理权限

🔧 步骤 1:绑定弹性公网 IP(EIP)

t6 实例默认不分配公网 IP(仅内网 IP),需手动绑定 EIP 才能提供公网入口。

方法 A:控制台操作(推荐新手)

  1. 登录 阿里云 ECS 控制台
  2. 左侧导航栏 → 网络与安全弹性公网 IP
  3. 点击 申请 EIP
    • 地域:必须与 t6 实例所在地域一致
    • 网络类型:选择 专有网络(VPC)
    • IP 类型:按需选择(如 BGP(多线)
    • 其他按需配置(带宽、计费方式等)
  4. 申请成功后,在 EIP 列表中找到该 IP → 点击 绑定资源
  5. 绑定类型选择 云服务器 ECS 实例 → 选择您的 t6 实例(确保在同一可用区 & 同一 VPC)→ 确认绑定

⚠️ 注意:

  • t6 实例必须处于 已停止(Stopped)或运行中(Running) 状态才可绑定 EIP(部分旧版本要求停止,但当前控制台支持运行中绑定);
  • 若提示“实例未处于可用状态”,请先检查实例状态或重启实例。

方法 B:CLI / SDK(自动化场景)

# 使用阿里云 CLI(需提前配置 ak/sk 和默认 region)
aliyun ecs AssociateEipAddress 
  --RegionId cn-hangzhou 
  --InstanceId i-bp1abc123xyz 
  --AllocationId eip-bp1def456uvw

🔐 步骤 2:配置安全组规则(关键!)

即使绑定了 EIP,默认安全组拒绝所有入方向流量,必须显式放行所需端口(如 SSH 22、HTTP 80、HTTPS 443)。

操作路径(控制台):

  1. ECS 控制台 → 网络与安全安全组
  2. 找到 t6 实例所关联的安全组 → 点击 配置规则
  3. 入方向 页签 → 点击 添加安全组规则
  4. 填写规则(示例:开放 SSH):
    • 授权策略:允许
    • 协议类型:SSH(22) 或自定义 TCP → 端口范围:22/22
    • 授权对象:建议 最小化授权,例如:
      • 仅允许您的办公 IP:203.0.113.45/32
      • 或临时测试用:0.0.0.0/0(⚠️ 生产环境严禁长期使用!)
  5. 点击 确定,规则立即生效
✅ 常用端口参考: 用途 协议 端口范围 授权对象建议
远程登录 SSH 22 您的固定公网 IP
Web 服务 HTTP 80 0.0.0.0/0(若需公开)
Web 加密 HTTPS 443 同上
自定义应用 TCP 8080/9000等 按需严格限制

💡 提示:出方向规则通常默认全放行,无需额外配置。

🌐 步骤 3:确认实例内网络与服务配置(常被忽略!)

即使 EIP 和安全组都正确,仍可能无法访问,需检查:

检查项 操作方法 说明
实例内防火墙 sudo systemctl status firewalld(CentOS)
sudo ufw status(Ubuntu)		 若启用,请放行对应端口:
sudo firewall-cmd --add-port=22/tcp --permanent && sudo firewall-cmd --reload
应用监听地址 netstat -tuln | grep :22ss -tuln | grep :80 ✅ 应显示 0.0.0.0:22*:22(监听所有接口)
❌ 若为 127.0.0.1:22,则仅本地可连,需修改服务配置(如 SSH 的 ListenAddress 0.0.0.0
SELinux(CentOS/RHEL) getenforce 若为 Enforcing,可能拦截连接,临时关闭测试:
sudo setenforce 0(生产环境请配置 SELinux 策略)

✅ 验证公网访问

  1. 获取 EIP:在 ECS 实例详情页或 EIP 控制台查看分配的公网 IP(如 203.0.113.100

  2. 测试连通性:

    # 测试网络可达(ICMP)
ping 203.0.113.100

# 测试端口连通(如 SSH)
telnet 203.0.113.100 22
# 或使用 nc
nc -zv 203.0.113.100 22
  3. 成功后,即可通过公网 IP 远程登录或访问 Web 服务。

⚠️ 重要注意事项

  • t6 实例无“固定公网 IP”选项:经典网络中的“固定公网 IP”已淘汰,VPC 中必须使用 EIP
  • ⚠️ t6 性能约束:突发性能实例 CPU 积分耗尽后会限频(如持续高负载),影响响应速度,公网访问不受限,但业务响应可能变慢;
  • 🔒 安全第一:避免长期开放 0.0.0.0/0,建议结合 阿里云云防火墙 或 WAF 增强防护;
  • 💸 成本提醒:EIP 即使未绑定也收费(按小时),绑定后按带宽或按流量计费,请合理选择计费模式。

✅ 补充:若需域名访问?

  • 将域名解析(DNS A 记录)指向该 EIP;
  • Web 服务需正确配置 Host 头、SSL 证书(推荐使用 阿里云免费 SSL 证书 + SLB 或 Nginx 反向X_X)。

如您遇到具体问题(如“绑定失败”、“ping 通但 telnet 不通”、“安全组已放行仍无法访问”),欢迎提供:

  • 实例地域/可用区
  • 安全组入方向规则截图(脱敏)
  • telnet <EIP> <port> 结果
  • 实例内 netstat -tuln | grep <port> 输出

我可以帮您逐项诊断 👨‍💻

需要我提供 一键脚本检查网络连通性Nginx/SSH 安全加固配置模板 吗?