Alibabacloud Network Reachability Analysis — 网络可达分析

v0.0.1

基于阿里云 NIS 对云网络进行双向路径可达性诊断，自动生成拓扑图并输出时延、丢包等关键指标，帮助秒级定位网络故障与配置异常。

0· 78·0 当前·0 累计

by @sdk-team·MIT-0

电商工具云服务

使用场景：淘宝商品搜索阿里云服务管理电商数据分析

下载技能包

License

MIT-0

最后更新

2026/3/31

安全扫描

VirusTotal

无害

查看报告

OpenClaw

安全

high confidence

该技能逻辑一致，仅作为指令指南，使用阿里云 CLI 运行只读的阿里云 NIS 可达性分析，仅请求必要的凭证。

评估建议

该技能如所宣称，使用阿里云 CLI 运行 NIS 可达性分析和 CloudMonitor 查询，旨在只读。使用前，请（1）在自己的终端运行 CLI 命令，不将访问密钥粘贴到聊天中；（2）仅提供最小权限的账户/配置文件；（3）了解启用 --auto-plugin-install 将在系统上自动安装阿里云 CLI 插件；（4）遵循 SKILL.md 规则，永远不要在对话中分享密钥；（5）在共享机器上运行时，优先使用临时 STS 令牌或 ECS RAM 角色而非长期根/所有者密钥。...

详细分析 ▾

✓ 用途与能力

名称/描述（阿里云 NIS 可达性分析）与指令匹配：命令通过阿里云 CLI 目标 nis 和 cms API，无不相关的服务、二进制文件或请求的凭证。

ℹ 指令范围

指令将代理限制为只读的 NIS 和 CloudMonitor 调用，明确禁止在聊天中回显或请求 AK/SK。技能要求用户在本地运行 aliyun CLI 命令检查凭证，并在调用 API 之前确认所有用户提供的参数。注意：包含的安装/配置文档包含设置凭证的示例（包括字面示例）用于典型的 CLI 使用——SKILL.md 本身禁止在对话中输入凭证，但如果用户将示例复制到共享环境中，粗心使用可能会暴露秘密。

✓ 安装机制

仅指令技能：无安装规格或下载代码。CLI 安装指令引用官方阿里云下载主机（aliyuncli.alicdn.com），这对于此目的是预期的。

✓ 凭证需求

技能包不需要声明环境变量；运行时需要有效的阿里云凭证（AK/SK、STS 或实例角色），这与执行 NIS 和 CloudMonitor 查询成比例。技能明确禁止泄漏或打印凭证。

✓ 持久化与权限

技能不请求 always:true，不修改其他技能，只能由用户调用。它要求用户启用的唯一配置更改是 'aliyun configure set --auto-plugin-install true'（启用自动 CLI 插件安装），这影响本地 CLI 行为，但对于使用产品插件是合理的。

安全有层次，运行前请审查代码。

License

MIT-0

可自由使用、修改和再分发，无需署名。

查看条款 ↗

运行时依赖

无特殊依赖

版本

latestv0.0.12026/3/31

● 无害

安装命令

点击复制

官方npx clawhub@latest install alibabacloud-network-reachability-analysis

镜像加速npx clawhub@latest install alibabacloud-network-reachability-analysis --registry https://cn.longxiaskill.com 镜像可用

本土化适配说明

Alibabacloud Network Reachability Analysis — 网络可达分析安装说明：安装命令：npx clawhub@latest install alibabacloud-network-reachability-analysis 该技能用于淘宝相关操作，可能需要相应的平台账号或API密钥

需要定制？告诉我你的需求 →

技能文档

Language / 语言: Respond in the same language the user uses.
If the user speaks Chinese, use the Chinese (zh-CN) prompts below.
If the user speaks English, use the English (en) prompts below.
使用与用户相同的语言进行回复。
如果用户使用中文，请使用下面的中文（zh-CN）提示词。
如果用户使用英文，请使用下面的英文（en）提示词。

Guides an agent through interactive network reachability analysis using Alibaba Cloud NIS. Covers forward/reverse path analysis, topology visualization (Mermaid), and monitoring diagnostics for resources along the path.

架构: NIS (CreateAndAnalyzeNetworkPath + GetNetworkReachableAnalysis) + CloudMonitor (DescribeMetricData)

⚠️ CRITICAL / 关键: READ-ONLY OPERATIONS ONLY

This skill performs read-only network diagnostics. DO NOT create, modify, or delete any cloud resources.
本技能仅执行只读网络诊断操作。严禁创建、修改或删除任何云资源。

Allowed: CreateAndAnalyzeNetworkPath, GetNetworkReachableAnalysis, DescribeMetricData, Describe APIs
允许：分析任务创建与查询、监控数据查询、Describe 类查询 API

Forbidden: Create (except CreateAndAnalyzeNetworkPath), Modify, Delete, Start, Stop, Run APIs
禁止：创建类 API（除 CreateAndAnalyzeNetworkPath 外）、修改、删除、启停、执行类 API

核心工作流程

步骤 1：正向路径分析

aliyun nis create-and-analyze-network-path \
--source-id  \
--source-type  \
--target-id  \
--target-type  \
--protocol  \
--target-port  \
--source-ip-address  \
--target-ip-address  \
--region  \
--user-agent AlibabaCloud-Agent-Skills

若 SourceType/TargetType 不是 vpn 或 vbr，可省略 --source-ip-address / --target-ip-address。
若 Protocol 是 icmp，可省略 --target-port。
记录返回的 NetworkReachableAnalysisId。

⚠️ 强制要求：正向分析完成后，必须执行反向路径分析。

必须在步骤 2 完成后立即执行步骤 3（反向路径分析）。严禁跳过或省略反向路径检查。

步骤 2：轮询正向结果

aliyun nis get-network-reachable-analysis \
--network-reachable-analysis-id  \
--region  \
--user-agent AlibabaCloud-Agent-Skills

重复执行直至 NetworkReachableAnalysisStatus 为 finish。提取 Reachable 和 NetworkReachableAnalysisResult。

步骤 3：反向路径分析

交换源和目的：

正向 SourceId/Type → 反向 TargetId/Type
正向 TargetId/Type → 反向 SourceId/Type
正向 SourceIpAddress → 反向 TargetIpAddress
正向 TargetIpAddress → 反向 SourceIpAddress

端口处理：

反向 --source-port = 正向 TargetPort（服务端监听端口）
反向 --target-port = 临时端口范围内的随机端口 49152 ~ 65535（客户端临时端口）

由于客户端发起连接时使用动态分配的临时端口，反向路径（服务端→客户端）的目的端口应使用临时端口范围（49152-65535）内的随机值来模拟真实回程流量。

aliyun nis create-and-analyze-network-path \
--source-id  \
--source-type  \
--target-id  \
--target-type  \
--protocol  \
--source-port  \
--target-port  \
--source-ip-address  \
--target-ip-address  \
--region  \
--user-agent AlibabaCloud-Agent-Skills

若源/目的类型不是 vpn 或 vbr，可省略 --source-ip-address / --target-ip-address。

步骤 4：轮询反向结果

与步骤 2 相同，使用反向的 NetworkReachableAnalysisId。

步骤 5：结果解读

关键：始终使用主动发起的分析任务返回的 topologyData.positive。
忽略任何响应中的 topologyData.reverse——它不可靠。

对正向和反向分别：

检查 Reachable 字段，true 表示可达。
若为 false，分析以下字段定位阻断点：

- errorCode — 根因错误码 - securityGroupData — 安全组拦截规则 - routeData — 路由表丢包条目

步骤 6：拓扑可视化（Mermaid）

从 topologyData.positive 生成 Mermaid 图：

``graph LR


节点：从 nodeList 提取 nodeType 和 bizInsId

链接：从 linkList 构建有向边
示例：

mermaid
graph LR
ECS_i-src["ECS: i-bp1xxx"] --> VRouter_vrt-1["VRouter: vrt-xxx"]
VRouter_vrt-1 --> VSW_vsw-1["VSW: vsw-xxx"]
VSW_vsw-1 --> ENI_eni-1["ENI: eni-xxx"]
ENI_eni-1 --> ECS_i-dst["ECS: i-bp2xxx"]

步骤 7：途经资源监控诊断对 topologyData 中途经的资源 ID，若匹配以下前缀，查询最近 1 小时监控数据：
前缀 命名空间 指标
ecs- acs_ecs_dashboard CPUUtilization, ConnectionUtilization, DiskReadWriteIOPSUtilization, BurstCredit, DiskIOQueueSize
eip- acs_vpc_eip out_ratelimit_drop_speed, net_out.rate_percentage, net_rxPkgs.rate
nat- acs_nat_gateway ErrorPortAllocationCount, SessionLimitDropConnection, SessionActiveConnectionWaterLever, SessionNewConnectionWaterLever, BWRateOutToOutside, DropTotalPps
clb- acs_slb_dashboard UnhealthyServerCount, UpstreamCode5xx, InstanceQpsUtilization, InstanceMaxConnectionUtilization, UpstreamRt, StatusCode4xx
vbr- acs_physical_connection VbrHealthyCheckLossPercent, VbrHealthyCheckLatency, PkgsRateLimitDropOutFromVpcToVbr, RateOutFromVpcToIDC

查询命令（CMS 使用 PascalCase API 风格，非插件模式）：bash
aliyun cms DescribeMetricData \
--Namespace  \
--MetricName  \
--Dimensions '[{"instanceId":""}]' \
--StartTime <1HourAgoTimestamp> \
--EndTime  \
--Period 60 \
--user-agent AlibabaCloud-Agent-Skills


速率限制：每个账户每秒 10 次调用。跨多个指标的批量查询应相应控制调用频率。
清理
NIS 可达性分析为只读操作——不会创建或修改任何云资源，无需清理。
使用限制

仅支持 IPv4 — 仅支持 IPv4 路径分析。
单向分析 — 每次分析为单向；反向路径需要单独的任务并交换源/目的。

CMS 配额 — DescribeMetricData 与其他 CMS 查询 API 共享每月 1,000,000 次免费调用。


CMS 频控 — 每账户每秒 10 次调用（包括 RAM 用户）。

`最佳实践`

始终执行正向+反向分析以确认双向连通性。


路径不可达时，优先检查安全组规则和路由表。

vpn/vbr` 场景务必提供云下私网 IP。
使用 Mermaid 拓扑图帮助用户可视化流量路径。
仅查询实际路径上的资源监控数据以减少 API 调用。
将监控异常与可达性结果一并呈现，提供完整诊断。

参考文件

参考文件	内容 (EN)	内容 (ZH)
references/ram-policies.md	Required RAM permissions	所需 RAM 权限策略
references/verification-method.md	Step-by-step verification commands	逐步验证命令
references/acceptance-criteria.md	Correct/incorrect CLI patterns	正确/错误 CLI 模式对照
references/cli-installation-guide.md	Aliyun CLI installation guide	阿里云 CLI 安装指南

前缀	命名空间	指标
ecs-	acs_ecs_dashboard	CPUUtilization`,` ConnectionUtilization`,` DiskReadWriteIOPSUtilization`,` BurstCredit`,` DiskIOQueueSize
eip-	acs_vpc_eip	out_ratelimit_drop_speed`,` net_out.rate_percentage`,` net_rxPkgs.rate
nat-	acs_nat_gateway	ErrorPortAllocationCount`,` SessionLimitDropConnection`,` SessionActiveConnectionWaterLever`,` SessionNewConnectionWaterLever`,` BWRateOutToOutside`,` DropTotalPps
clb-	acs_slb_dashboard	UnhealthyServerCount`,` UpstreamCode5xx`,` InstanceQpsUtilization`,` InstanceMaxConnectionUtilization`,` UpstreamRt`,` StatusCode4xx
vbr-	acs_physical_connection	VbrHealthyCheckLossPercent`,` VbrHealthyCheckLatency`,` PkgsRateLimitDropOutFromVpcToVbr`,` RateOutFromVpcToIDC

License

运行时依赖

版本

安装命令

本土化适配说明

技能文档

核心工作流程

步骤 1：正向路径分析

步骤 2：轮询正向结果

步骤 3：反向路径分析

步骤 4：轮询反向结果

步骤 5：结果解读

步骤 6：拓扑可视化（Mermaid）

步骤 7：途经资源监控诊断

清理

使用限制

最佳实践

参考文件

相关技能推荐

`最佳实践`