このページでは、接続テストを使用してネットワークのトラブルシューティングを行うときに検出される可能性がある、Google Cloud リソースの無効な構成や整合性のない構成の例を示します。
テストの実行方法については、接続テストを作成して実行するをご覧ください。
一般的なネットワークの送信元タイプと宛先タイプとの間のテストの説明については、一般的なユースケースをご覧ください。
無効な構成を検出する
無効な構成にはさまざまな種類があります。構成が正しくないか、更新されていて、現在は無効になっている構成などです。
無効な構成の一例として、NAT ゲートウェイとして構成されているものの、削除または移行された仮想マシン(VM)インスタンスが挙げられます。この場合、VM インスタンスへのルートはまだ存在しています。
次の図では、Network 1
の VM1
は、nat_vm_1
という名前の VM インスタンスを介して、Network 2
の VM2
、VM3
、VM4
のデータにアクセスできるはずです。しかし、nat_vm_1
は新しい VM nat_vm_2
に移行したため、存在しません。
VM1
から他の 3 つの VM インスタンスへと構成されたルートは、ネクストホップとして nat_vm_1
を指したままです。しかし、nat_vm_1
が存在せず、また nat_vm_2
へのルートがないため、VM1
は他の VM インスタンスと通信できません。
VM1
から VM2
までの接続テストを実施すると、他の VM へのルートに関する無効なネクストホップが原因で、VM1
と他の VM インスタンス間のトラフィックがドロップされていることがわかります。
一方、整合性のない構成のユースケースでは、VM3
でネットワーク タグが欠落しているため、ロードバランサのバックエンド全体でロードバランサの構成に整合性がなくなります。ただし、VM インスタンスの構成にはタグが必要ないため、VM3
自体の構成は有効です。
整合性のない構成を検出する
接続テストを使用して、整合性のない構成を定期的に検証することもできます。現段階で、整合性のない構成が接続の問題を引き起こしていない場合もありますが、今後、ネットワークの冗長性の意図しない低下を発生させたり、パフォーマンスの問題を引き起こしたりする可能性があります。
ロードバランサは、35.184.176.28
の外部 IP アドレスにトラフィックを送信するように構成されています。このアドレスへのトラフィックは、3 つのバックエンド(VM1
、VM2
、VM3
)に分散されます。ただし、VM3
にネットワーク タグがないため、Virtual Private Cloud(VPC)ファイアウォールは外部 IP 範囲から VM1
および VM2
へのトラフィックを許可しますが、VM3
へのトラフィックを拒否します。
ロードバランサに構成された許可されたソース範囲からロードバランサの宛先外部 IP アドレスまでの以下のトレースは、意図された構成と非整合を示しています。VM1
と VM2
には到達できますが、VM3
には到達できません。VM3
がヘルスチェックに失敗したため、2 つのバックエンドのみに到達できます。