Descripción general de las pruebas de conectividad

Las pruebas de conectividad son una herramienta de diagnóstico que te permite verificar la conectividad entre los extremos de red. Analiza tu configuración y, en algunos casos, realiza un análisis del plano de datos en vivo entre los extremos. Un extremo es una fuente o un destino del tráfico de red, como una VM, un clúster de Google Kubernetes Engine (GKE), una regla de reenvío del balanceador de cargas o una dirección IP en Internet.

Para analizar las configuraciones de red, las pruebas de conectividad simulan la ruta de reenvío prevista para un paquete a través de tu red de nube privada virtual (VPC), túneles de Cloud VPN o adjuntos de VLAN. Las pruebas de conectividad también pueden simular la ruta de reenvío entrante esperada a los recursos en tu red de VPC.

En algunas situaciones de conectividad, las pruebas de conectividad también realizan análisis del plano de datos en vivo. Esta característica envía paquetes a través del plano de datos para validar la conectividad y proporciona un diagnóstico de referencia de la latencia y la pérdida de paquetes. Si la ruta es compatible con el componente, cada prueba que ejecutes incluirá un resultado del análisis del plano de datos en vivo.

Si quieres aprender a crear y ejecutar pruebas para varias situaciones, consulta Cómo crear y ejecutar pruebas de conectividad.

La API para las pruebas de conectividad es la API de administración de redes. Para obtener más información, consulta la documentación de la API.

¿Por qué usar las pruebas de conectividad?

Las pruebas de conectividad pueden ayudarte a solucionar los siguientes problemas de conectividad de red:

  • Opciones de configuración incoherentes no deseadas
  • Opciones de configuración obsoletas debido a cambios en la configuración de la red o migraciones
  • Errores de configuración para una variedad de servicios y funciones de red

Cuando pruebes los servicios administrados por Google, las pruebas de conectividad también pueden ayudarte a determinar si hay un problema en tu red de VPC o en la red de VPC de Google que se usa para los recursos de servicio.

Cómo las pruebas de conectividad analizan los parámetros de configuración

Cuando se analizan las configuraciones de red, las pruebas de conectividad usan una máquina de estado abstracto para modelar la forma en que una red de VPC debe procesar los paquetes. Google Cloud procesa un paquete en varios pasos lógicos.

El análisis puede tomar muchas rutas posibles

Debido a la variedad de servicios de red de VPC y funciones que admite el análisis de configuración, un paquete de prueba que atraviesa una configuración de red de VPC puede tomar muchas rutas posibles.

En el siguiente diagrama, se muestra un modelo de cómo el análisis de configuración simula el tráfico de seguimiento entre dos instancias de máquina virtual (VM) de Compute Engine: una a la izquierda y otra a la derecha.

El análisis depende de la infraestructura de tu red

Según la configuración de red y recursos de Google Cloud, este tráfico puede pasar a través de un túnel de Cloud VPN, una red de VPC, un balanceador de cargas de Google Cloud o una red de VPC con intercambio de tráfico antes de llegar a la instancia de VM de destino.

La máquina de estado abstracto de la red
La máquina de estado abstracto de la red

El análisis sigue uno de los muchos estados finitos

La cantidad limitada de pasos entre estados discretos hasta que un paquete se entregó o descartó se modela como una máquina de estado finito. Esta máquina de estado finito puede estar en exactamente uno de los numerosos estados finitos a la vez y podría tener varios estados de éxito.

Por ejemplo, cuando las pruebas de conectividad coinciden con varias rutas según la precedencia de ruta, Google Cloud puede elegir una ruta entre varias según una función de hash no especificada en el plano de datos. Si se configura una ruta basada en políticas, la prueba de conectividad enruta el paquete al siguiente salto, que es un balanceador de cargas interno.

En el caso anterior, el seguimiento de pruebas de conectividad muestra todas las rutas posibles, pero no puede determinar el método que Google Cloud utilizó para mostrar las rutas. Esto se debe a que ese método es interno de Google Cloud y está sujeto a cambios.

Servicios administrados por Google

Los servicios administrados por Google, como Cloud SQL y Google Kubernetes Engine (GKE), asignan recursos para clientes en proyectos y redes de VPC que Google posee y administra. Los clientes no tienen permiso para acceder a estos recursos.

Los análisis de configuración de pruebas de conectividad aún pueden ejecutar una prueba y proporcionar un resultado de accesibilidad general para los servicios administrados por Google, pero no proporcionan detalles para los recursos probados en el proyecto que es propiedad de Google.

En el siguiente diagrama, se muestra un modelo sobre cómo el análisis de configuración simula el tráfico de seguimiento desde una instancia de VM en una red de VPC de cliente hasta una instancia de Cloud SQL en la red de VPC de Google. En este ejemplo, las redes se conectan a través del intercambio de tráfico entre redes de VPC.

Al igual que en una prueba estándar entre dos VM, los pasos lógicos incluyen verificar las reglas de firewall de salida relevantes y hacer coincidir la ruta. Cuando ejecutas una prueba, el análisis de configuración de pruebas de conectividad proporciona detalles sobre estos pasos. Sin embargo, en el último paso lógico de analizar la configuración en la red de VPC de Google, el análisis proporciona solo un resultado general de accesibilidad. Las pruebas de conectividad no proporcionan detalles sobre los recursos del proyecto de Google porque no tienes permiso para verlos.

Para obtener más información, consulta los ejemplos de prueba en la sección Prueba la conectividad desde y hacia los servicios administrados por Google.

Máquina de estado abstracto de la red para los servicios administrados por Google
Máquina de estado abstracto de la red para los servicios administrados por Google

Configuraciones admitidas

El análisis de configuración de las pruebas de conectividad admite la prueba de las configuraciones de red descritas en las siguientes secciones.

Flujos de tráfico

  • Instancias de VM hacia y desde Internet
  • Instancia de VM a instancia de VM
  • Desde Google Cloud hacia y desde redes locales
  • Entre dos redes locales conectadas a través de Network Connectivity Center
  • Entre dos radios de VPC de Network Connectivity Center

Funciones de la red de VPC

Puedes probar la conectividad entre recursos que usan las siguientes funciones (se admiten IPv4 e IPv6 siempre que corresponda):

Soluciones de redes híbridas de Google Cloud

Las siguientes soluciones de redes híbridas son compatibles con IPv4 y también IPv6:

Network Connectivity Center

Se admiten los radios de VPC y radios híbridos para Network Connectivity Center.

Cloud NAT

Se admiten NAT pública y privada.

Cloud Load Balancing

  • Se admiten los siguientes tipos de balanceador de cargas de Google Cloud: balanceadores de cargas de aplicaciones externos, balanceadores de cargas de red de transferencia externos, balanceadores de cargas de red de proxy externos, balanceadores de cargas de aplicaciones internos, balanceadores de cargas de red de transferencia internos y balanceadores de cargas de red de proxy internos.
  • Se admite la prueba de conectividad a las direcciones IP del balanceador de cargas.
  • Se admite la verificación de la conectividad de las verificaciones de estado de Cloud Load Balancing con los backends.
  • Los balanceadores de cargas TCP/UDP internos se pueden usar como siguientes saltos.

Para las funciones de Cloud Load Balancing que no son compatibles, consulte la sección Configuraciones no compatibles.

Google Kubernetes Engine (GKE)

  • Se admite la conectividad entre los nodos de GKE y el plano de control de GKE.
    • Cuando se prueba la dirección IP privada de un plano de control de GKE, el análisis de configuración de las pruebas de conectividad determina si el paquete se puede entregar al plano de control. Esto incluye analizar la configuración dentro de la red de VPC de Google.
    • Cuando se prueba la dirección IP pública de un plano de control de GKE, el análisis de configuración de las pruebas de conectividad determina si el paquete se puede enviar a la red de VPC de Google en la que el plano de control se ejecuta. Esto no incluye el análisis de la configuración dentro de la red de VPC de Google.
  • Se admite la conectividad al servicio de GKE a través de Cloud Load Balancing.
  • Se admite la conectividad a un Pod de GKE en un clúster nativo de la VPC.

Para las funciones de GKE que no son compatibles, consulte la sección Opciones de configuración no compatibles.

Otros productos y servicios de Google Cloud

Se admiten los siguientes productos o servicios adicionales de Google Cloud:

  • Se admiten instancias de Cloud SQL, incluidas la conexión Private Service Connect, la conexión de intercambio de tráfico entre redes de VPC y las réplicas externas.
    • Cuando se prueba la dirección IP privada de una instancia de Cloud SQL, el análisis de configuración determina si el paquete se puede entregar a la instancia. Esto incluye analizar la configuración dentro de la red de VPC de Google.
    • Cuando se prueba la dirección IP pública de una instancia de Cloud SQL, el análisis de configuración determina si el paquete se puede enviar a la red de VPC de Google donde se ejecuta la instancia. Esto no incluye el análisis de la configuración dentro de la red de VPC de Google.
  • Es compatible con Cloud Functions (1a gen.).
  • Se admiten las revisiones de Cloud Run.
  • Se admite el entorno estándar de App Engine.

Opciones de configuración no compatibles

El análisis de configuración de pruebas de conectividad no admite las pruebas de las siguientes configuraciones de red:

De qué forma las pruebas de conectividad analizan el plano de datos en vivo

La función de análisis del plano de datos en vivo prueba la conectividad mediante el envío de varios paquetes de seguimiento desde el extremo de origen al destino. Los resultados del análisis del plano de datos en tiempo real muestran la cantidad de sondeos enviados, la cantidad de sondeos que alcanzaron el destino de forma correcta y un estado de accesibilidad. Este estado se determina en función de la cantidad de sondeos que se entregaron correctamente, como se describe en la siguiente tabla.

Estado Cantidad de sondeos que alcanzaron su destino
Accesible Por lo menos 95%
No se puede acceder Ninguna
Parcialmente accesible Más de 0 y menos de 95%

Además de mostrar cuántos paquetes se enviaron correctamente, la verificación dinámica también muestra información sobre la latencia unidireccional de 95% y la mediana.

El análisis del plano de datos en tiempo real no depende del análisis de configuración. En cambio, el análisis del plano de datos en vivo proporciona una evaluación independiente del estado de conectividad.

Si ves discrepancias aparentes entre los resultados del análisis de configuración y del análisis del plano de datos en vivo, consulta Soluciona problemas en las pruebas de conectividad.

Configuraciones admitidas

El análisis del plano de datos en tiempo real admite los siguientes parámetros de configuración de red.

Flujos de tráfico

  • Entre dos instancias de VM
  • Entre una instancia de VM y una instancia de Cloud SQL
  • Entre una instancia de VM y un extremo del plano de control de GKE
  • Entre una instancia de VM y una ubicación perimetral de la red de Google
  • Protocolos IP: TCP, UDP

Funciones de la red de VPC

Puedes verificar la conectividad de forma dinámica entre los recursos que usan las siguientes funciones:

Opciones de configuración no compatibles

Toda configuración que no se mencione de forma explícita como compatible no se admite. Además, no se admiten las configuraciones en las que la conectividad está bloqueada por reglas de firewall de salida.

Para cualquier prueba determinada, si no se ejecuta la función de análisis del plano de datos en vivo, aparecerá un N/A o - en el campo Resultado de la última transmisión de paquetes.

Consideraciones y restricciones

Evalúe las siguientes consideraciones al decidir si usar pruebas de conectividad.

  • El análisis de configuración que realizan las pruebas de conectividad se basa completamente en la información de configuración de los recursos de Google Cloud y es posible que no represente la condición o el estado real del plano de datos de una red de VPC.
  • Si bien las pruebas de conectividad adquieren información de configuración dinámica, como el estado del túnel de Cloud VPN y las rutas dinámicas en Cloud Router, no acceden ni mantienen el estado de los componentes del plano de datos ni de la infraestructura de producción interna de Google.
  • Un estado de Packet could be delivered para una prueba de conectividad no garantiza que el tráfico pueda pasar a través del plano de datos. El propósito de la prueba es validar los problemas de configuración que pueden causar la disminución del tráfico.

Para las rutas compatibles, los resultados del análisis del plano de datos en vivo complementan los resultados del análisis de configuración mediante la prueba de si los paquetes transmitidos llegan al destino.

Las pruebas de conectividad no tienen conocimiento de redes fuera de Google Cloud

Las redes externas se definen de la siguiente manera:

  • Redes locales que residen en su centro de datos o en otra instalación donde opera sus dispositivos de hardware y aplicaciones de software.
  • Otros proveedores de servicios en la nube en los que ejecuta recursos.
  • Un host en Internet que envía tráfico a su red de VPC.

Las pruebas de conectividad no realizan el seguimiento de la conexión de firewall.

El seguimiento de conexión para los firewalls de VPC almacena información sobre conexiones nuevas y establecidas y permite permitir o restringir el tráfico posterior en función de esa información.

El análisis de configuración de pruebas de conectividad no admite el seguimiento de la conexión de firewall porque la tabla de conexión de firewall se encuentra en el plano de datos para una instancia de VM y no se puede acceder a ella. Sin embargo, el análisis de configuración puede simular el seguimiento de la conexión, ya que permite una conexión de retorno que una regla de firewall de entrada normalmente negaría, siempre que las pruebas de conectividad inicien la conexión saliente.

El análisis del plano de datos en tiempo real no admite la prueba del seguimiento de conexiones de firewall.

Las pruebas de conectividad no pueden probar las instancias de VM configuradas para modificar el comportamiento de reenvío

Las pruebas de conectividad no pueden probar las instancias de VM que se configuraron para actuar en el plano de datos como routers, firewalls, puertas de enlace NAT, VPN, etcétera. Este tipo de configuración dificulta la evaluación del entorno que se ejecuta en la instancia de VM. Además, el análisis del plano de datos en vivo no es compatible con esta situación de prueba.

Los tiempos de resultados de las pruebas de conectividad pueden variar

Obtener los resultados de las pruebas de conectividad puede llevar desde 30 segundos hasta 10 minutos. El tiempo que se realiza una prueba se basa en el tamaño de la configuración de tu red de VPC y la cantidad de recursos de Google Cloud que usas.

En la siguiente tabla, se muestran los tiempos de respuesta que puede esperar para todos los usuarios que ejecutan una prueba en una configuración de muestra en una consulta. Esta configuración contiene instancias de VM, un túnel de Cloud VPN y balanceadores de cargas de Google Cloud.

Tiempos de respuesta por consulta
Tamaño del proyecto Cantidad de recursos de Google Cloud Latencia de respuesta
Proyecto pequeño Menos de 50 60 segundos para el 95% de las consultas de todos los usuarios
Proyecto medio Superior a 50, pero menos de 5,000 120 segundos para el 95% de las consultas de todos los usuarios
Proyecto grande Mayor que 5,000 600 segundos para el 95% de las consultas de todos los usuarios

El análisis del plano de datos en vivo no está diseñado para la supervisión continua

El análisis del plano de datos en tiempo real realiza una verificación única de la conectividad de red con fines de diagnóstico. Para supervisar continuamente la conectividad y la pérdida de paquetes, usa el Panel de rendimiento.

El análisis del plano de datos en tiempo real no prueba varios seguimientos

El análisis del plano de datos en tiempo real no es compatible en los casos en los que la ruta no es determinista.

Compatibilidad con los Controles del servicio de VPC

Los Controles del servicio de VPC pueden proporcionar seguridad adicional para las pruebas de conectividad a fin de mitigar el riesgo de robo de datos. Con los Controles del servicio de VPC, puedes agregar proyectos a perímetros de servicio que protejan los recursos y servicios de las solicitudes que se originan fuera del perímetro.

Para obtener más información sobre los perímetros de servicio, consulta la página Configuración y detalles del perímetro de servicio de la documentación de Controles del servicio de VPC.

¿Qué sigue?