“VPN隧道是UP的,Transit Gateway附件存在,BGP已建立,但ping不通。”如果你在这个场景里卡过30分钟以上,问题多半不在链路本身,而在于你一直在错误的平面上找答案。

云网络设计里有一个反复出现的陷阱:把物理平面和功能平面混为一谈。这不是小毛病,它是错误设计决策的根源,能让排错时间从几分钟变成几小时,还能造出一套“平时都好好的,直到有一天突然不行”的架构。

打开网易新闻 查看精彩图片

物理平面是AWS替你铺好的那层:端口、VLAN、虚拟接口、Transit Gateway的挂载点、实例、网卡。它们是事实,不是你能随意改变的。一个常被认证课带过去的真相是:VPC本身没有插着网线,它的转发全靠路由表里从各个终端组件传播来的路由。意识到这点,你对可传递性、故障隔离、安全策略安放位置的思考方式就会完全不一样。

功能平面则回答另一个问题:“服务器A到底能不能访问服务器B?”它描述的是被允许的通信流,而不是物理端点。混淆就出在把物理平面的事实当成功能平面的许可——网关挂上了VPC,不代表流量就会通。你还需要正确的路由传播、安全组与网络ACL放行,如果有检查点,还得显式设计非对称路由。

两个团队盯同一张架构图,一队想的是拓扑,另一队想的是流量,结论却南辕北辙。这时物理与功能的分离就不再是学术概念,而是决定生产环境能不能跑的关键。下次再遇到“明明建好了,偏偏不通”的情况,换个平面看一眼,也许答案就在那儿。