云服务器ECS部署Node.js无法公网访问排查思路

在云服务器ECS上部署Node.js应用后，如果无法通过公网IP访问，通常涉及多个层面的配置问题。本文将系统性地梳理从应用本身到云平台安全设置的完整排查路径，帮助开发者快速定位并解决问题。

检查Node.js应用本身

首先需要确认应用在服务器本地的运行状态是否正常，这是后续所有排查的基础。

• 确认应用是否正在运行：使用ps aux | grep node命令检查Node.js进程是否存在。
• 验证监听配置：确保应用监听的是0.0.0.0，而非127.0.0.1或localhost。例如：app.listen(3000, '0.0.0.0')。
• 检查端口占用：使用netstat -tulpn | grep :3000（将3000替换为你的实际端口）确认端口监听状态。
• 查看应用日志：检查控制台输出或日志文件，确认应用启动过程中没有报错。

服务器防火墙配置

服务器操作系统的防火墙可能会阻止外部访问，需要检查并开放相应端口。

• 检查防火墙状态：
  • CentOS（firewalld）：systemctl status firewalld
  • Ubuntu（ufw）：ufw status
• 开放应用端口：
  • firewalld：firewall-cmd --permanent --add-port=3000/tcp && firewall-cmd --reload
  • ufw：ufw allow 3000/tcp

云平台安全组规则

云服务商的安全组是虚拟防火墙，必须正确配置才能允许公网流量进入。

• 确认安全组关联：在ECS控制台确认实例已绑定正确的安全组。
• 检查入站规则：确保安全组中存在允许公网访问应用端口的规则。例如，针对HTTP服务，需开放80端口；HTTPS服务开放443端口；自定义Node.js应用则开放其监听端口（如3000）。
• 验证授权对象：入站规则的源IP范围应为0.0.0.0/0（允许所有IP访问）或特定的IP段。

安全组规则是导致无法公网访问的最常见原因之一，务必仔细核对。

网络ACL与路由检查

在更复杂的网络环境中，还需要考虑网络ACL（访问控制列表）和路由表配置。

• 网络ACL：如果ECS实例所在子网启用了网络ACL，需检查其入站和出站规则是否允许相关端口的流量通过。
• 路由表：确认实例所在子网的路由表配置正确，能够将公网流量路由到实例。

域名与DNS解析

如果通过域名访问，需要排查域名解析相关的问题。

• DNS解析验证：使用nslookup yourdomain.com或dig yourdomain.com命令，确认域名已正确解析到ECS实例的公网IP。
• 检查域名备案：在中国大陆的云服务商上，如果使用域名访问，确保域名已完成ICP备案。

应用层代理与负载均衡

如果使用了Nginx等反向代理或负载均衡器，需要检查其配置。

• Nginx配置：确认Nginx的server块已正确配置proxy_pass指向Node.js应用（如http://127.0.0.1:3000），并且Nginx服务本身正在运行。
• 负载均衡监听：如果使用了云负载均衡服务，检查其监听配置的后端端口是否正确，并且健康检查状态为正常。

系统资源与进程管理

还需要考虑系统资源限制和进程管理工具的影响。

• 资源监控：检查CPU、内存和带宽使用率，确保资源充足，应用未被系统杀死。
• 进程守护工具：如果使用了PM2等工具，检查其进程列表和日志，确认应用已被正确守护和重启。

通过以上七个步骤的系统排查，绝大多数Node.js应用无法公网访问的问题都能得到解决。建议按照从应用内部到外部环境的顺序进行，这样可以提高排查效率。