Connectivity Tests è uno strumento di diagnostica che consente di verificare la connettività tra gli endpoint di rete. Analizza la tua configurazione e, in alcuni casi, esegue l'analisi del piano dati in tempo reale tra gli endpoint. Un endpoint è una sorgente o una destinazione di traffico di rete, ad esempio una VM, un cluster Google Kubernetes Engine (GKE), una regola di inoltro del bilanciatore del carico o un indirizzo IP su internet.
Per analizzare le configurazioni di rete, Connectivity Tests simulano il percorso di inoltro previsto di un pacchetto attraverso la rete VPC (Virtual Private Cloud), i tunnel Cloud VPN o i collegamenti VLAN. Connectivity Tests può anche simulare il percorso di inoltro in entrata previsto per le risorse nella rete VPC.
Per alcuni scenari di connettività, Connectivity Tests esegue anche l'analisi del piano dati in tempo reale. Questa funzionalità invia pacchetti tramite il piano dati per verificare la connettività e fornisce una diagnostica di riferimento della latenza e della perdita di pacchetti. Se il percorso è supportato per la funzionalità, ogni test eseguito include un risultato dell'analisi del piano dati in tempo reale.
Per scoprire come creare ed eseguire test per vari scenari, consulta Creare ed eseguire test di connettività.
L'API per Connectivity Tests è l'API Network Management. Per ulteriori informazioni, consulta la documentazione dell'API.
Perché utilizzare Connectivity Tests?
Connectivity Tests può aiutarti a risolvere i seguenti problemi di connettività della rete:
- Configurazioni incoerenti non intenzionali
- Configurazioni obsolete causate da modifiche o migrazioni della configurazione di rete
- Errori di configurazione per una serie di servizi e funzioni di rete
Quando testi i servizi gestiti da Google, Connectivity Tests possono anche aiutarti a determinare se è presente un problema nella tua rete VPC o nella rete VPC di proprietà di Google utilizzata per le risorse del servizio.
In che modo Connectivity Tests analizza le configurazioni
Durante l'analisi delle configurazioni di rete, Connectivity Tests utilizzano una macchina astratta per modellare il modo in cui una rete VPC deve elaborare i pacchetti. Google Cloud elabora un pacchetto in diversi passaggi logici.
L'analisi può seguire molti percorsi possibili
A causa della varietà di servizi e funzionalità della rete VPC supportati dall'analisi della configurazione, un pacchetto di test che attraversa una configurazione di rete VPC può seguire molti percorsi possibili.
Il seguente diagramma mostra un modello di come l'analisi della configurazione simula il traffico delle tracce tra due istanze di macchine virtuali (VM) Compute Engine, una a sinistra e l'altra a destra.
L'analisi dipende dall'infrastruttura di rete
A seconda delle configurazioni della rete e delle risorse di Google Cloud, questo traffico potrebbe passare attraverso un tunnel Cloud VPN, una rete VPC, un bilanciatore del carico Google Cloud o una rete VPC in peering prima di raggiungere l'istanza VM di destinazione.
L'analisi segue uno dei molti stati finiti
Il numero limitato di passaggi tra stati discreti fino a quando un pacchetto non è stato fornito o eliminato è modellato come una macchina a stati finiti. Questa macchina a stati finiti può trovarsi contemporaneamente in uno di questi stati e può avere più stati successori.
Ad esempio, quando Connectivity Tests corrispondono a più route in base alla precedenza del route, Google Cloud può scegliere un route tra più route in base a una funzione di hashing non specificata nel piano dati. Se è configurata una route basata su criteri, il test di connettività inoltra il pacchetto all'hop successivo, che è un bilanciatore del carico interno.
Nel caso precedente, la traccia Connectivity Tests restituisce tutti i percorsi possibili, ma non è possibile determinare il metodo utilizzato da Google Cloud per restituirli. Questo perché il metodo è interno a Google Cloud ed è soggetto a modifiche.
Servizi gestiti da Google
I servizi gestiti da Google, come Cloud SQL e Google Kubernetes Engine (GKE), allocate le risorse per i clienti nei progetti e nelle reti VPC di proprietà e gestite da Google. I clienti non sono autorizzati ad accedere a queste risorse.
L'analisi della configurazione di Connectivity Tests può comunque eseguire un test e fornire un risultato di raggiungibilità complessivo per i servizi gestiti da Google, ma non fornisce dettagli sulle risorse testate nel progetto di proprietà di Google.
Il seguente diagramma mostra un modello di come l'analisi della configurazione simula il traffico delle tracce da un'istanza VM nella rete VPC di un cliente a un'istanza Cloud SQL nella rete VPC di proprietà di Google. In questo esempio, le reti sono connesse tramite il peering di rete VPC.
Come per un test standard tra due VM, i passaggi logici includono il controllo delle regole del firewall in uscita pertinenti e la corrispondenza della route. Quando esegui un test, l'analisi della configurazione di Connectivity Tests fornisce dettagli su questi passaggi. Tuttavia, per il passaggio logico finale di analisi della configurazione nella rete VPC di proprietà di Google, l'analisi fornisce solo un risultato di raggiungibilità complessiva. Connectivity Tests non forniscono dettagli sulle risorse nel progetto di proprietà di Google perché non disponi dell'autorizzazione per visualizzarle.
Per ulteriori informazioni, consulta gli esempi di test in Testa la connettività da e verso servizi gestiti da Google.
Configurazioni supportate
L'analisi di configurazione di Connectivity Tests supporta il test delle configurazioni di rete descritte nelle sezioni seguenti.
Flussi di traffico
- Istanze VM verso e da internet
- Da istanza VM a istanza VM
- Da Google Cloud a e da reti on-premise
- Tra due reti on-premise connesse tramite Network Connectivity Center
- Tra due spoke VPC di Network Connectivity Center
Funzionalità di rete VPC
Puoi verificare la connettività tra le risorse che utilizzano le seguenti funzionalità (se applicabili, sono supportati sia IPv4 che IPv6):
- Reti VPC
- Peering di rete VPC
- VPC condiviso
- Accesso privato Google
- Intervalli IP alias
- Indirizzi IP privati esterni all'intervallo di indirizzi RFC 1918
- Un'istanza VM Compute Engine con più interfacce di rete
- Route personalizzate importate da reti VPC in peering
- Routing transitivo VPC
- Regole firewall VPC
- Criteri firewall di rete regionali
- Criteri firewall gerarchici e criteri firewall di rete globali
- Tag Resource Manager per le firewall se collegati all'istanza Compute Engine con una singola interfaccia di rete.
- Route basate su criteri
- Private Service Connect
- Istanze a doppio stack con indirizzi IPv4 e IPv6, incluse le istanze con più interfacce di rete
Soluzioni di networking ibrido di Google Cloud
Le seguenti soluzioni di reti ibride sono supportate sia per IPv4 che per IPv6:
- Cloud VPN
- Cloud Interconnect
- Cloud Router, incluse le route dinamiche che utilizzano BGP e le route statiche
Network Connectivity Center
Sono supportati gli spoke VPC e gli spoke ibride per Network Connectivity Center.
Cloud NAT
Sono supportati Public NAT e Private NAT.
Cloud Load Balancing
- Sono supportati i seguenti tipi di bilanciatori del carico Google Cloud: bilanciatori del carico delle applicazioni esterni, bilanciatori del carico di rete passthrough esterni, bilanciatori del carico di rete proxy esterni, bilanciatori del carico delle applicazioni interni, bilanciatori del carico di rete passthrough interni e bilanciatori del carico di rete proxy interni.
- È supportato il test della connettività agli indirizzi IP del bilanciatore del carico.
- È supportata la verifica della connettività dei controlli di integrità di Cloud Load Balancing ai backend.
- I bilanciatori del carico TCP/UDP interni possono essere utilizzati come hop successivi.
Per le funzionalità di Cloud Load Balancing non supportate, consulta la sezione Configurazioni non supportate.
Google Kubernetes Engine (GKE)
- È supportata la connettività ai e tra i nodi GKE e il piano di controllo GKE.
- È supportata la connettività al servizio GKE tramite Cloud Load Balancing.
- È supportata la connettività a un pod GKE in un cluster nativo VPC. Tuttavia, alcune funzionalità di rete di GKE come GKE NetworkPolicies non sono supportate.
Per le funzionalità di GKE non supportate, consulta la sezione Configurazioni non supportate.
Gli altri prodotti e servizi Google Cloud
Sono supportati i seguenti prodotti o servizi Google Cloud aggiuntivi:
- Sono supportate le istanze Cloud SQL, tra cui la connessione Private Service Connect, la connessione di peering di rete VPC e le repliche esterne.
- Sono supportate le istanze Memorystore for Redis.
- I cluster Memorystore for Redis sono supportati.
- Sono supportate le funzioni Cloud Run (1ª generazione.).
- Le revisioni di Cloud Run sono supportate.
- È supportato l'ambiente standard di App Engine.
Configurazioni non supportate
L'analisi della configurazione di Connectivity Tests non supporta il test delle seguenti configurazioni di rete:
- Le regole dei criteri firewall con oggetti di geolocalizzazione, dati di threat intelligence o oggetti FQDN non sono supportate. Se questi firewall possono potenzialmente influire su un determinato flusso di traffico, Connectivity Tests restituisce un avviso corrispondente.
- I tag di Resource Manager per i firewall non sono supportati se collegati a istanze Compute Engine con più interfacce di rete.
- I backend NEG di internet che hanno come target FQDN non sono supportati. Tuttavia, i backend NEG internet che hanno come target gli indirizzi IP sono supportati.
- I bilanciatori del carico Cloud Service Mesh (con le
INTERNAL_SELF_MANAGEDregole di inoltro) non sono supportati. - I criteri di Google Cloud Armor non vengono considerati o utilizzati durante il monitoraggio della connettività a un indirizzo IP di un bilanciatore del carico delle applicazioni esterno.
- La mappatura delle porte Private Service Connect non è supportata.
- I gateway VPN ad alta disponibilità connessi alle VM Compute Engine non sono supportati.
- Le configurazioni NetworkPolicies e mascheramento IP di GKE non vengono considerate o utilizzate durante il monitoraggio della connettività agli indirizzi IP all'interno di cluster e nodi GKE.
- Le repliche del server esterno Cloud SQL definite dai nomi DNS non sono supportate. Tuttavia, sono supportate le repliche del server esterno definite dagli indirizzi IP.
- Le funzioni Cloud Run (2ª generazione.) non sono supportate. Tuttavia, puoi verificare la connettività da una funzione Cloud Run (2ª generazione.) creando un test di connettività per la revisione Cloud Run sottostante. Ogni volta che viene eseguito il deployment di una funzione Cloud Run, viene creata una revisione Cloud Run.
- L'ambiente flessibile di App Engine non è supportato.
- I job Cloud Run non sono supportati. Per ulteriori informazioni, consulta Servizi e job: due modi per eseguire il codice.
- L'uscita VPC diretta di Cloud Run non è supportata.
In che modo Connectivity Tests analizza il piano dati in tempo reale
La funzionalità di analisi del piano dati in tempo reale testa la connettività inviando più pacchetti di traccia dall'endpoint di origine alla destinazione. I risultati dell'analisi del piano dati in tempo reale mostrano il numero di sonde inviate, il numero di sonde che hanno raggiunto correttamente la destinazione e uno stato di raggiungibilità. Questo stato viene determinato in base al numero di controlli inviati correttamente, come descritto nella tabella seguente.
| Stato | Numero di probe che hanno raggiunto la destinazione |
|---|---|
| Raggiungibile | Almeno il 95% |
| Non raggiungibile | Nessuno |
| Parzialmente raggiungibile | Superiore a 0 e inferiore al 95% |
Oltre a mostrare il numero di pacchetti inviati correttamente, la verifica dinamica mostra anche informazioni sulla latenza unidirezionale mediana e del 95° percentile.
L'analisi del piano dati in tempo reale non dipende dall'analisi della configurazione. Piuttosto, l'analisi del piano dati in tempo reale fornisce una valutazione indipendente dello stato della connettività.
Se noti apparenti discrepanze tra i risultati dell'analisi della configurazione e dell'analisi del piano dati in tempo reale, consulta la sezione Risolvere i problemi relativi ai test di connettività.
Configurazioni supportate
L'analisi del piano dati in tempo reale supporta le seguenti configurazioni di rete.
Flussi di traffico
- Tra due istanze VM
- Tra un'istanza VM e un'istanza Cloud SQL
- Tra un'istanza VM e un endpoint del piano di controllo GKE
- Tra un'istanza VM e una posizione della rete perimetrale di Google
- Protocolli IP: TCP, UDP
Funzionalità di rete VPC
Puoi verificare dinamicamente la connettività tra le risorse che utilizzano le seguenti funzionalità:
- Peering di rete VPC
- VPC condiviso
- Intervalli IP alias
- Indirizzi IP esterni
- Indirizzi IP interni, indirizzi IP privati esterni all'intervallo di indirizzi RFC 1918
- Route personalizzate
- Bilanciatori del carico come destinazione. I backend supportati dei bilanciatori del carico sono gruppi di istanze, gruppi di endpoint di rete (NEG) zonali e backend Private Service Connect.
- Regole firewall in entrata, tra cui regole del criterio firewall gerarchico in entrata e regole firewall VPC in entrata
- Istanze a doppio stack con indirizzi IPv4 e IPv6, incluse le istanze con più interfacce di rete
- Endpoint Private Service Connect per i servizi pubblicati e le API di Google
Configurazioni non supportate
Tutte le configurazioni non elencate esplicitamente come supportate non sono supportate. Inoltre, le configurazioni in cui la connettività è bloccata dalle regole del firewall in uscita non sono supportate.
Per qualsiasi test, se la funzionalità di analisi del piano dati in tempo reale non viene eseguita, nel campo Risultato dell'ultima trasmissione di pacchetto viene visualizzato N/A o -.
Considerazioni e vincoli
Valuta le seguenti considerazioni quando decidi se utilizzare Connectivity Tests.
- L'analisi di configurazione eseguita dai Connectivity Tests si basa interamente sulle informazioni di configurazione per le risorse Google Cloud e potrebbe non rappresentare la condizione o lo stato effettivi del piano dati per una rete VPC.
- Sebbene i test di connettività acquisiscano alcune informazioni di configurazione dinamica, ad esempio lo stato del tunnel Cloud VPN e le route dinamiche sul router Cloud, non accedono o gestiscono lo stato di salute dell'infrastruttura di produzione interna di Google e dei componenti del piano dati.
- Uno stato
Packet could be deliveredper un test di connettività non garantisce che il traffico possa passare attraverso il piano dati. Lo scopo del test è convalidare i problemi di configurazione che possono causare un calo del traffico.
Per i percorsi supportati, i risultati dell'analisi del piano dati in tempo reale completano i risultati dell'analisi della configurazione verificando se i pacchetti trasmessi arrivano alla destinazione.
Connectivity Tests non conosce le reti esterne a Google Cloud
Le reti esterne sono definite come segue:
- Le reti on-premise che si trovano nel tuo data center o in un'altra struttura dove utilizzi i tuoi dispositivi hardware e le tue applicazioni software.
- Altri cloud provider in cui esegui risorse.
- Un host su internet che invia traffico alla tua rete VPC.
Connectivity Tests non esegue il monitoraggio delle connessioni del firewall
Il monitoraggio delle connessioni per i firewall VPC memorizza informazioni sulle connessioni nuove e stabilite e consente di consentire o limitare il traffico successivo in base a queste informazioni.
L'analisi della configurazione di Connectivity Tests non supporta il monitoraggio delle connessioni del firewall perché la tabella delle connessioni del firewall si trova nel data plane di un'istanza VM ed è inaccessibile. Tuttavia, l'analisi della configurazione può simulare il monitoraggio delle connessioni consentendo una connessione di ritorno che normalmente verrebbe negata da una regola del firewall in entrata, a condizione che Connectivity Tests avviino la connessione in uscita.
L'analisi del piano dati in tempo reale non supporta il test del monitoraggio delle connessioni del firewall.
Connectivity Tests non può testare le istanze VM configurate per modificare il comportamento di inoltro
Connectivity Tests non possono testare le istanze VM che sono state configurate per agire nel piano dati come router, firewall, gateway NAT, VPN e così via. Questo tipo di configurazione rende difficile valutare l'ambiente in esecuzione sull'istanza VM. Inoltre, l'analisi del piano dati in tempo reale non supporta questo scenario di test.
I tempi di elaborazione dei risultati Connectivity Tests possono variare
L'ottenimento dei risultati dei test di connettività può richiedere da 30 secondi a 10 minuti. Il tempo necessario per un test dipende dalle dimensioni della configurazione della rete VPC e dal numero di risorse Google Cloud che utilizzi.
La seguente tabella mostra i tempi di risposta previsti per tutti gli utenti che eseguono un test su una configurazione di esempio in una query. Questa configurazione contiene istanze VM, un tunnel Cloud VPN e bilanciatori del carico Google Cloud.
| Dimensione del progetto | Numero di risorse Google Cloud | Latenza di risposta |
|---|---|---|
| Piccolo progetto | Meno di 50 | 60 secondi per il 95% delle query di tutti gli utenti |
| Progetto medio | Maggiore di 50, ma inferiore a 5000 | 120 secondi per il 95% delle query di tutti gli utenti |
| Progetto di grandi dimensioni | Maggiore di 5000 | 600 secondi per il 95% delle query di tutti gli utenti |
L'analisi del piano dati in tempo reale non è destinata al monitoraggio continuo
L'analisi del piano dati in tempo reale esegue una verifica una tantum della connettività di rete per scopi diagnostici. Per il monitoraggio continuo della connettività e della perdita di pacchetti, utilizza la dashboard Rendimento.
L'analisi del piano dati in tempo reale non testa più tracce
L'analisi del piano dati in tempo reale non è supportata nei casi in cui il percorso non sia deterministico.
Supporto dei Controlli di servizio VPC
I Controlli di servizio VPC possono fornire ulteriore sicurezza per Connectivity Tests per contribuire a mitigare il rischio di esfiltrazione di dati. Con Controlli di servizio VPC, puoi aggiungere progetti ai perimetri di servizio che proteggono le risorse e i servizi dalle richieste provenienti dall'esterno del perimetro.
Per scoprire di più sui perimetri di servizio, consulta la pagina Dettagli e configurazione dei perimetri di servizio della documentazione dei Controlli di servizio VPC.
Passaggi successivi
Utilizzare i test di connettività per diversi casi d'uso della connettività
Identificare e risolvere i problemi ICMP (tutorial)