無効な構成または整合性のない構成を検出する

このページでは、接続テストを使用してネットワークのトラブルシューティングを行うときに検出される可能性がある、Google Cloud リソースの無効な構成や整合性のない構成の例を示します。

テストの実行方法については、接続テストを作成して実行するをご覧ください。

一般的なネットワークの送信元タイプと宛先タイプとの間のテストの説明については、一般的なユースケースをご覧ください。

無効な構成を検出する

無効な構成にはさまざまな種類があります。構成が正しくないか、更新されていて、現在は無効になっている構成などです。

無効な構成の一例として、NAT ゲートウェイとして構成されているものの、削除または移行された仮想マシン(VM)インスタンスが挙げられます。この場合、VM インスタンスへのルートはまだ存在しています。

次の図では、Network 1VM1 は、nat_vm_1 という名前の VM インスタンスを介して、Network 2VM2VM3VM4 のデータにアクセスできるはずです。しかし、nat_vm_1 は新しい VM nat_vm_2 に移行したため、存在しません。

VM1 から他の 3 つの VM インスタンスへと構成されたルートは、ネクストホップとして nat_vm_1 を指したままです。しかし、nat_vm_1 が存在せず、また nat_vm_2 へのルートがないため、VM1 は他の VM インスタンスと通信できません。

VM1 から VM2 までの接続テストを実施すると、他の VM へのルートに関する無効なネクストホップが原因で、VM1 と他の VM インスタンス間のトラフィックがドロップされていることがわかります。

Cloud NAT の無効なルート構成
Cloud NAT の無効なルート構成

一方、整合性のない構成のユースケースでは、VM3 でネットワーク タグが欠落しているため、ロードバランサのバックエンド全体でロードバランサの構成に整合性がなくなります。ただし、VM インスタンスの構成にはタグが必要ないため、VM3 自体の構成は有効です。

整合性のない構成を検出する

接続テストを使用して、整合性のない構成を定期的に検証することもできます。現段階で、整合性のない構成が接続の問題を引き起こしていない場合もありますが、今後、ネットワークの冗長性の意図しない低下を発生させたり、パフォーマンスの問題を引き起こしたりする可能性があります。

ロードバランサは、35.184.176.28 の外部 IP アドレスにトラフィックを送信するように構成されています。このアドレスへのトラフィックは、3 つのバックエンド(VM1VM2VM3)に分散されます。ただし、VM3 にネットワーク タグがないため、Virtual Private Cloud(VPC)ファイアウォールは外部 IP 範囲から VM1 および VM2 へのトラフィックを許可しますが、VM3 へのトラフィックを拒否します。

ロードバランサに構成された許可されたソース範囲からロードバランサの宛先外部 IP アドレスまでの以下のトレースは、意図された構成と非整合を示しています。VM1VM2 には到達できますが、VM3 には到達できません。VM3 がヘルスチェックに失敗したため、2 つのバックエンドのみに到達できます。

バックエンド構成に整合性のない外部アプリケーション ロードバランサ。
バックエンド構成に整合性のない外部アプリケーション ロードバランサ

次のステップ