Cómo depurar la conectividad
Ya configuraste la conectividad entre las bases de datos de origen y de destino, pero ¿cómo sabes que están conectadas? Cuando tus comunicaciones fallan entre ellos, ¿cómo puedes saber qué salió mal y dónde?
Las herramientas más básicas son ping y traceroute.
Ping
Ping realiza una prueba básica para determinar si el destino ("host remoto") está disponible en el origen. Ping envía un paquete ICMP Echo Request a un host remoto y espera un ICMP Echo Reply a cambio. Si ping no funciona, significa que no hay una ruta del origen al destino. Sin embargo, tener éxito no significa que tus paquetes puedan pasar, solo que, en general, se puede acceder al host remoto.
Si bien ping puede saber si un host está activo y responde, no se garantiza que sea confiable. Algunos proveedores de red bloquean ICMP como una precaución de seguridad, lo que puede dificultar la depuración de la conectividad.
Traceroute
Traceroute prueba la ruta completa que los paquetes de red toman de un host a otro. Muestra todos los pasos ("saltos") que el paquete realiza en el camino y cuánto tiempo lleva cada paso. Si el paquete no realiza el recorrido completo al destino, traceroute no se completa, pero termina con una serie de asteriscos. En este caso, busca la última dirección IP a la que se llegó con éxito durante el proceso. Aquí es donde se interrumpió la conectividad.
Traceroute puede agotar el tiempo de espera. También puede no completarse si una puerta de enlace en el camino no está configurada correctamente para pasar el paquete al siguiente salto.
Cuando traceroute no se completa, puedes saber dónde se detuvo. Busca la última dirección IP que aparece en el resultado traceroute y busca who owns [IP_ADDRESS] en el navegador. Los resultados pueden mostrar o no al propietario de la dirección, pero vale la pena intentarlo.
mtr
La herramienta mtr es una forma de traceroute que permanece activa y se actualiza continuamente, de forma similar a cómo funciona el comando top para los procesos locales.
Ubica tu dirección IP local
Si no conoces la dirección local del host, ejecuta el comando ip -br address show. En Linux, este muestra la interfaz de red, el estado de la interfaz, la IP local y las direcciones MAC. Por ejemplo: eth0 UP 10.128.0.7/32 fe80::4001:aff:fe80:7/64
Como alternativa, puedes ejecutar ipconfig o ifconfig para ver el estado de tus interfaces de red.
Cómo ubicar la dirección IP saliente
Si no conoces la dirección IP que usan las bases de datos de origen y destino para comunicarse entre sí (la dirección IP saliente), completa los siguientes pasos:
Ve a la página Instancias de SQL en la consola de Google Cloud.
Haz clic en el nombre de la instancia asociada con el trabajo de migración que estás depurando.
Desplázate hacia abajo hasta que aparezca el panel Conectarse a esta instancia. En este panel, aparece la dirección IP saliente.
Abre puertos locales
Para verificar que tu host esté escuchando en los puertos que crees que está, ejecuta el comando ss -tunlp4. Este te indica qué puertos están abiertos y escuchando.
Por ejemplo, si tienes una base de datos PostgreSQL en ejecución, el puerto 5432 debe estar activo y escuchando. Para SSH, deberías ver el puerto 22.
Toda la actividad del puerto local
Usa el comando netstat para ver toda la actividad del puerto local. Por ejemplo, netstat -lt muestra todos los puertos activos en el momento.
Conéctate al host remoto con telnet
Para verificar que puedes conectarte al host remoto con TCP, ejecuta el comando telnet. Telnet intenta conectarse a la dirección IP y al puerto que le proporcionas.
telnet 35.193.198.159 5432.
Si el proceso se completa correctamente, verás lo siguiente:
Trying 35.193.198.159...
Connected to 35.193.198.159.
Si se produce un error, verás que telnet deja de responder hasta que fuerces el cierre del intento:
Trying 35.193.198.159...
^C.
Autenticación de clientes
La autenticación del cliente se controla mediante un archivo de configuración, que se denomina pg_hba.conf (HBA significa autenticación basada en host).
Asegúrate de que la sección de conexiones de replicación del archivo pg_hba.conf en la base de datos de origen se actualice para aceptar conexiones del rango de direcciones IP de la VPC de Cloud SQL.
Cloud Logging
Database Migration Service y Cloud SQL usan Cloud Logging. Consulta la documentación de Cloud Logging para obtener información completa y revisa las consultas de muestra de Cloud SQL.Visualiza registros
Puedes ver los registros de las instancias de Cloud SQL y otros proyectos de Google Cloud, como instancias de Cloud VPN o de Compute Engine. Sigue estos pasos para ver los registros de las entradas de registro de una instancia de Cloud SQL:Console
- Ir al Explorador de registros.
- Selecciona un proyecto existente de Cloud SQL en la parte superior de la página.
- En el compilador de consultas, agrega lo siguiente:
- Recurso: Selecciona Base de datos de Cloud SQL. En el cuadro de diálogo, selecciona una instancia de Cloud SQL.
- Nombres de registros: Desplázate a la sección de Cloud SQL y selecciona los archivos de registro apropiados para la instancia. Ejemplos:
- cloudsql.googleapis.com/postgres.log
- Gravedad: Selecciona un nivel de registro.
- Intervalo de tiempo: Selecciona un ajuste predeterminado o crea un intervalo personalizado.
gcloud
Usa el comando gcloud logging para ver las entradas del registro. En el siguiente ejemplo, reemplaza PROJECT_ID.
La marca limit es un parámetro opcional que indica la cantidad máxima de entradas que se mostrarán.
gcloud logging read "projects/[PROJECT_ID]/logs/cloudsql.googleapis.com/postgres.log" --limit=10
Direcciones IP privadas
Las conexiones a una instancia de Cloud SQL mediante una dirección IP privada se autorizan de forma automática para los rangos de direcciones RFC 1918. Los rangos de direcciones que no son RFC 1918 se deben configurar en Cloud SQL como redes autorizadas. También debes actualizar el intercambio de tráfico entre redes a Cloud SQL para exportar cualquier ruta que no sea RFC 1918. Por ejemplo: gcloud compute networks peerings update cloudsql-postgres-googleapis-com --network=NETWORK --export-subnet-routes-with-public-ip --project=PROJECT
El rango de IP 172.17.0.0/16 está reservado para la red de puente Docker. No se podrá acceder a las instancias de Cloud SQL que se crearon con una dirección IP de ese rango. Fallarán las conexiones desde cualquier dirección IP dentro de ese rango a instancias de Cloud SQL que usen una dirección IP privada.
Solución de problemas de VPN
Consulta la página Cómo solucionar problemas de VPN de Cloud deGoogle Cloud .
Soluciona problemas del túnel SSH inverso
El túnel SSH es un método para reenviar parte de la comunicación sobre una conexión SSH. El túnel SSH inverso permite configurar un túnel SSH, pero mantiene que la red de destino sea la que inicie la conexión del túnel. Esto es útil cuando no quieres abrir un puerto en tu propia red por motivos de seguridad.
Lo que intentas lograr es configurar lo siguiente: Cloud SQL DB ---> Compute Engine VM bastion ---> tunnel ---> source network bastion ---> source DB
Se da por sentado que:
Compute Engine VM bastion puede acceder a Cloud SQL DB.
source network bastion puede acceder a source DB (esto se logra vinculando la red de Cloud SQL a la red de VM de Compute Engine).
Luego, configuras un túnel SSH desde source network bastion hasta Compute Engine VM bastion, que enruta cualquier conexión entrante a algún puerto en Compute Engine VM bastion a través del túnel a source DB.
Cada vínculo de la situación anterior se puede configurar de forma incorrecta y evitar que funcione todo el flujo. Soluciona los problemas de cada vínculo, uno por uno:
source network bastion ---> source DB
- Conéctate a source network bastion con SSH o desde la terminal si se trata de la máquina local.
- Prueba la conectividad a la base de datos de origen con uno de los siguientes métodos:
telnet [source_db_host_or_ip] [source_db_port]: Espera ver las cadenas de conexión de telnet, que terminan conConnected to x.x.x.x.[db_client] -h[source_db_host_or_ip] -P[source_db_port]: Se espera ver el mensaje de acceso denegado.
Si esto falla, debes verificar que habilitaste el acceso desde este bastion a la base de datos de origen.
Compute Engine VM bastion ---> source DB
- Conéctate a Compute Engine VM bastion mediante SSH (con
gcloud compute ssh VM_INSTANCE_NAME) - Prueba la conectividad a la base de datos de origen con uno de los siguientes métodos:
telnet 127.0.0.1 [tunnel_port]: Espera ver las cadenas de conexión de telnet, que terminan conConnected to x.x.x.x.[db_client] -h127.0.0.1 -P[tunnel_port]: Se espera que se deniegue el acceso.
Si esto falla, debes verificar que el túnel esté en funcionamiento y funcionando correctamente.
Si ejecutas sudo netstat -tupln, se mostrarán todos los procesos de escucha en esta VM y deberías ver sshd listening on the tunnel_port.
Cloud SQL DB ---> source DB
La mejor manera de probar esto es con testing the migration job desde Database Migration Service.
Si esto falla, significa que hay un problema con el intercambio de tráfico entre redes de VPC o el enrutamiento entre la red de Cloud SQL y la red de Compute Engine VM bastion.
El firewall del servidor de la base de datos de origen debe configurarse para permitir todo el rango de IP interna asignado a la conexión de servicio privada de la red de VPC que la instancia de destino de Cloud SQL usará como el campo privateNetwork de su configuración de ipConfiguration.
Para encontrar el rango de IP interna en la consola, sigue estos pasos:
Ve a la página Redes de VPC en la consola de Google Cloud .
Selecciona la red de VPC que deseas usar.
Selecciona la pestaña CONEXIÓN PRIVADA A SERVICIOS.
También puedes ver el tráfico entre la instancia de Cloud SQL y la instancia de VM de Compute Engine en la consola de Cloud Logging del proyecto Cloud VPN gateway. En los registros de la VM de Compute Engine, busca el tráfico que proviene de la instancia de Cloud SQL. En los registros de la instancia de Cloud SQL, busca el tráfico de la VM de Compute Engine.