Panoramica di Connectivity Tests

Connectivity Tests è uno strumento di diagnostica che consente di verificare la connettività tra endpoint di rete. Analizza la configurazione ed, in alcuni casi, esegue l'analisi del piano dati in tempo reale tra gli endpoint. Un endpoint è un'origine o una destinazione del traffico di rete, ad esempio una VM, un cluster Google Kubernetes Engine (GKE), una regola di forwarding del bilanciatore del carico o un indirizzo IP su internet.

Per analizzare le configurazioni di rete, Connectivity Tests simula il percorso di forwarding previsto di un pacchetto attraverso la rete Virtual Private Cloud (VPC), i tunnel Cloud VPN o i collegamenti VLAN. Connectivity Tests può anche simulare il percorso di forwarding in entrata previsto per le risorse nella tua rete VPC.

Per alcuni scenari di connettività, Connectivity Tests esegue anche l'analisi del piano dati in tempo reale. Questa funzionalità invia pacchetti sul piano dati per convalidare la connettività e fornisce una diagnostica di base della latenza e della perdita di pacchetti. Se la route è supportata per la funzionalità, ogni test che esegui includerà un risultato dell'analisi del piano dati in tempo reale.

Per informazioni su come creare ed eseguire test per vari scenari, consulta Creare ed eseguire test di connettività.

L'API per Connectivity Tests è l'API Network Management. Per ulteriori informazioni, consulta la documentazione dell'API.

Perché utilizzare Connectivity Tests?

Connectivity Tests possono aiutarti a risolvere i seguenti problemi di connettività di rete:

• Configurazioni incoerenti involontarie
• Configurazioni obsolete causate da modifiche o migrazioni della configurazione di rete
• Errori di configurazione per diversi servizi e funzioni di rete

Durante il test dei servizi gestiti da Google, Connectivity Tests può anche aiutarti a determinare se si è verificato un problema nella tua rete VPC o nella rete VPC di proprietà di Google utilizzata per le risorse di servizio.

In che modo Connectivity Tests analizza le configurazioni

Durante l'analisi delle configurazioni di rete, Connectivity Tests utilizza una macchina a stati astratta per modellare il modo in cui una rete VPC deve elaborare i pacchetti. Google Cloud elabora un pacchetto in diversi passaggi logici.

L'analisi può prendere molti percorsi possibili

A causa della varietà di funzionalità e servizi di rete VPC supportati dall'analisi della configurazione, un pacchetto di test che attraversa una configurazione di rete VPC può intraprendere molti percorsi possibili.

Il seguente diagramma mostra un modello per il modo in cui l'analisi della configurazione simula il traffico di traccia tra due istanze di macchine virtuali (VM) Compute Engine, una a sinistra e l'altra a destra.

L'analisi dipende dall'infrastruttura di rete

A seconda delle configurazioni della rete e delle risorse Google Cloud, questo traffico potrebbe passare attraverso un tunnel Cloud VPN, una rete VPC, un bilanciatore del carico Google Cloud o una rete VPC in peering prima di raggiungere l'istanza VM di destinazione.

L'analisi segue uno dei molti stati finiti

Il numero limitato di passaggi tra gli stati discreti fino alla consegna o all'eliminazione di un pacchetto viene modellato come macchina a stati finita. Questa macchina a stati finiti può trovarsi esattamente in uno dei molti stati finiti in qualsiasi momento e potrebbe avere più stati successori.

Ad esempio, quando Connectivity Tests corrisponde a più route in base alla precedenza delle route, Google Cloud può scegliere una route tra diverse route in base a una funzione di hashing non specificata nel piano dati. Se è configurata una route basata su criteri, Connectivity Test instrada il pacchetto all'hop successivo, che è un bilanciatore del carico interno.

Nel caso precedente, la traccia di Connectivity Tests restituisce tutte le possibili route, ma non può determinare il metodo utilizzato da Google Cloud per restituire le route. Questo perché il metodo è interno di Google Cloud ed è soggetto a modifiche.

Servizi gestiti da Google

I servizi gestiti da Google, come Cloud SQL e Google Kubernetes Engine (GKE), assegnano risorse per i clienti nei progetti e nelle reti VPC di proprietà e gestita da Google. I clienti non hanno l'autorizzazione per accedere a queste risorse.

L'analisi della configurazione di Connectivity Tests può comunque eseguire un test e fornire un risultato complessivo di connettività per i servizi gestiti da Google, ma non fornisce dettagli per le risorse testate nel progetto di proprietà di Google.

Il seguente diagramma mostra un modello per il modo in cui l'analisi della configurazione simula il traffico di traccia da un'istanza VM in una rete VPC del cliente a un'istanza Cloud SQL nella rete VPC di proprietà di Google. In questo esempio, le reti sono connesse tramite peering di rete VPC.

Analogamente a un test standard tra due VM, i passaggi logici includono il controllo delle regole firewall in uscita pertinenti e la corrispondenza della route. Quando esegui un test, l'analisi della configurazione di Connectivity Tests fornisce dettagli su questi passaggi. Tuttavia, come passaggio logico finale dell'analisi della configurazione nella rete VPC di proprietà di Google, l'analisi fornisce solo un risultato complessivo di raggiungibilità. Connectivity Tests non fornisce dettagli sulle risorse nel progetto di proprietà di Google perché non hai l'autorizzazione per visualizzarle.

Per maggiori informazioni, consulta gli esempi di test in Verificare la connettività da e verso servizi gestiti da Google.

Configurazioni supportate

L'analisi della configurazione di Connectivity Tests supporta il test delle configurazioni di rete descritte nelle sezioni seguenti.

Flussi di traffico

• Istanze VM da e verso internet
• Da istanza VM a istanza VM
• Da Google Cloud da e verso le reti on-premise
• Tra due reti on-premise collegate tramite Network Connectivity Center
• Tra due spoke VPC di Network Connectivity Center

Funzionalità di networking VPC

Puoi testare la connettività tra risorse che usano le seguenti funzionalità (sia IPv4 che IPv6 sono supportati, ove applicabile):

• Reti VPC
• Peering di rete VPC
• VPC condiviso
• Accesso privato Google
• Intervalli IP alias
• Indirizzi IP privati esterni all'intervallo di indirizzi RFC 1918
• Un'istanza VM di Compute Engine con più interfacce di rete
• Route personalizzate importate da reti VPC in peering
• Routing transitivo VPC
• Regole firewall VPC
• Criteri firewall di rete a livello di regione
• Criteri firewall gerarchici e criteri firewall di rete globali
• Tag di Resource Manager per firewall se collegati all'istanza di Compute Engine con un'unica interfaccia di rete.
• Route basate su criteri
• Private Service Connect
• Istanze a doppio stack con indirizzi IPv4 e IPv6, incluse istanze con più interfacce di rete

Soluzioni di networking ibrido Google Cloud

Le seguenti soluzioni di rete ibrida sono supportate sia per IPv4 che per IPv6:

• Cloud VPN
• Cloud Interconnect
• Router Cloud, incluse le route dinamiche che utilizzano le route BGP e statiche

Network Connectivity Center

Sono supportati gli spoke VPC e gli spoke ibridi per Network Connectivity Center.

Cloud NAT

Sono supportati i protocolli Public NAT e Private NAT.

Cloud Load Balancing

• Sono supportati i seguenti tipi di bilanciatori del carico Google Cloud: Application Load Balancer esterni, bilanciatori del carico di rete passthrough esterni, bilanciatori del carico di rete con proxy esterno, Application Load Balancer interni, bilanciatori del carico di rete passthrough interni e bilanciatori del carico di rete proxy interni.
• È supportato il test della connettività agli indirizzi IP del bilanciatore del carico.
• È supportata la verifica della connettività dei controlli di integrità di Cloud Load Balancing ai backend.
• I bilanciatori del carico TCP/UDP interni possono essere utilizzati come hop successivi.

Per le funzionalità di Cloud Load Balancing non supportate, consulta la sezione Configurazioni non supportate.

Google Kubernetes Engine (GKE)

• La connettività tra i nodi GKE e il piano di controllo GKE è supportata.
  • Durante il test dell'indirizzo IP privato di un piano di controllo GKE, l'analisi della configurazione di Connectivity Tests determina se il pacchetto può essere consegnato al piano di controllo. Ciò include l'analisi della configurazione all'interno della rete VPC di proprietà di Google.
  • Durante il test dell'indirizzo IP pubblico di un piano di controllo GKE, l'analisi della configurazione di Connectivity Tests determina se il pacchetto può essere inviato alla rete VPC di proprietà di Google su cui viene eseguito il piano di controllo. Non è inclusa l'analisi della configurazione all'interno della rete VPC di proprietà di Google.
• È supportata la connettività al servizio GKE tramite Cloud Load Balancing.
• È supportata la connettività a un pod GKE in un cluster nativo di VPC.

Per le funzionalità di GKE non supportate, consulta la sezione Configurazioni non supportate.

Altri prodotti e servizi Google Cloud

Sono supportati i seguenti prodotti o servizi Google Cloud aggiuntivi:

• Le istanze Cloud SQL sono supportate, tra cui connessione Private Service Connect, connessione di peering di rete VPC e repliche esterne.
  • Durante il test dell'indirizzo IP privato di un'istanza Cloud SQL, l'analisi della configurazione determina se il pacchetto può essere consegnato all'istanza. Ciò include l'analisi della configurazione all'interno della rete VPC di proprietà di Google.
  • Durante il test dell'indirizzo IP pubblico di un'istanza Cloud SQL, l'analisi della configurazione determina se il pacchetto può essere inviato alla rete VPC di proprietà di Google su cui viene eseguita l'istanza. Non è inclusa l'analisi della configurazione all'interno della rete VPC di proprietà di Google.
• È supportato Cloud Functions (1ª generazione.).
• Le revisioni di Cloud Run sono supportate.
• È supportato l'ambiente standard di App Engine.

Configurazioni non supportate

L'analisi della configurazione di Connectivity Tests non supporta il test delle seguenti configurazioni di rete:

• Le regole dei criteri firewall con gruppi di indirizzi, oggetti di geolocalizzazione, dati di intelligence sulle minacce o oggetti di nome di dominio completo non sono supportate.
• I tag di Resource Manager per i firewall non sono supportati se sono collegati a istanze di Compute Engine con più interfacce di rete.
• I backend di NEG serverless non sono supportati.
• I backend di NEG internet che hanno come target i nomi di dominio completi non sono supportati. Tuttavia, sono supportati i backend NEG internet che hanno come target gli indirizzi IP.
• I bilanciatori del carico di Traffic Director (con le regole di forwarding INTERNAL_SELF_MANAGED) non sono supportati.
• I criteri di Google Cloud Armor non vengono presi in considerazione o utilizzati durante il tracciamento della connettività a un indirizzo IP di un bilanciatore del carico delle applicazioni esterno.
• Le interfacce di Private Service Connect non sono supportate.
• I gateway VPN ad alta disponibilità connessi alle VM di Compute Engine non sono supportati.
• I criteri di rete GKE e le configurazioni di masquerading IP non vengono presi in considerazione o utilizzati per tracciare la connettività agli indirizzi IP all'interno dei cluster e dei nodi GKE.
• Le repliche del server esterno Cloud SQL definite dai nomi DNS non sono supportate. Tuttavia, sono supportate le repliche dei server esterni definite dagli indirizzi IP.
• Le funzioni Cloud Functions (2ª generazione) non sono supportate. Tuttavia, puoi testare la connettività da una Cloud Function (2ª generazione) creando un test di connettività per la revisione di Cloud Run sottostante. Ogni volta che viene eseguito il deployment di una Cloud Function, viene creata una revisione di Cloud Run.
• L'ambiente flessibile di App Engine non è supportato.
• I job Cloud Run non sono supportati. Per ulteriori informazioni, consulta Servizi e job: due modi per eseguire il codice.
• Il traffico VPC diretto in uscita di Cloud Run non è supportato.

In che modo Connectivity Tests analizza il piano dati in tempo reale

La funzionalità di analisi del piano dati in tempo reale verifica la connettività inviando più pacchetti di traccia dall'endpoint di origine alla destinazione. I risultati dell'analisi del piano dati in tempo reale mostrano il numero di probe inviati, il numero di probe che hanno raggiunto correttamente la destinazione e uno stato di raggiungibilità. Questo stato viene determinato in base al numero di probe che sono stati pubblicati correttamente, come descritto nella tabella seguente.

Stato	Numero di probe che hanno raggiunto la destinazione
Raggiungibile	Almeno il 95%
Non raggiungibile	Nessuna
Parzialmente raggiungibile	Più di 0 e meno del 95%

Oltre a mostrare il numero di pacchetti correttamente consegnati, la verifica dinamica mostra anche informazioni sulla latenza unidirezionale mediana e al 95° percentile.

L'analisi del piano dati in tempo reale non dipende dall'analisi della configurazione. Piuttosto, l'analisi del piano dati in tempo reale fornisce una valutazione indipendente dello stato della connettività.

Se noti discrepanze apparenti tra l'analisi della configurazione e i risultati dell'analisi del piano dati in tempo reale, consulta Risolvere i problemi relativi ai test di connettività.

Configurazioni supportate

L'analisi del piano dati in tempo reale supporta le seguenti configurazioni di rete.

Flussi di traffico

• Tra due istanze VM
• Tra un'istanza VM e un'istanza Cloud SQL
• Tra un'istanza VM e un endpoint del piano di controllo GKE
• Tra un'istanza VM e una località sul perimetro della rete Google
• Protocolli IP: TCP, UDP

Funzionalità di networking VPC

Puoi verificare dinamicamente la connettività tra risorse che utilizzano le seguenti funzionalità:

• Peering di rete VPC
• VPC condiviso
• Intervalli IP alias
• Indirizzi IP esterni
• Indirizzi IP interni, indirizzi IP privati al di fuori dell'intervallo di indirizzi RFC 1918
• Route personalizzate
• Bilanciatori del carico come destinazione. I backend supportati dei bilanciatori del carico sono gruppi di istanze, gruppi di endpoint di rete (NEG) a livello di zona e backend Private Service Connect
• Regole firewall in entrata, incluse le regole dei criteri firewall gerarchici in entrata e le regole firewall VPC in entrata
• Istanze a doppio stack con indirizzi IPv4 e IPv6, incluse istanze con più interfacce di rete
• Endpoint Private Service Connect per servizi pubblicati e API di Google

Configurazioni non supportate

Tutte le configurazioni non indicate esplicitamente come supportate non sono supportate. Inoltre, non sono supportate le configurazioni in cui la connettività è bloccata dalle regole firewall in uscita.

Per ogni test, se la funzionalità di analisi del piano dati in tempo reale non viene eseguita, nel campo Risultato dell'ultima trasmissione di pacchetti viene visualizzato un valore N/A o -.

Considerazioni e vincoli

Valuta i seguenti aspetti quando decidi se utilizzare Connectivity Tests.

• L'analisi della configurazione eseguita da Connectivity Tests si basa interamente sulle informazioni di configurazione delle risorse Google Cloud e potrebbe non rappresentare la condizione o lo stato effettivi del piano dati per una rete VPC.
• Sebbene Connectivity Tests acquisisca alcune informazioni di configurazione dinamiche, come lo stato del tunnel Cloud VPN e le route dinamiche sul router Cloud, non accede o mantiene lo stato di integrità dell'infrastruttura di produzione interna di Google e dei componenti del piano dati.
• Lo stato Packet could be delivered per un test di connettività non garantisce che il traffico possa passare attraverso il piano dati. Lo scopo del test è convalidare i problemi di configurazione che possono causare un calo del traffico.

Per le route supportate, i risultati dell'analisi del piano dati in tempo reale integrano i risultati dell'analisi della configurazione verificando se i pacchetti trasmessi arrivano alla destinazione.

Connectivity Tests non ha informazioni su reti esterne a Google Cloud

Le reti esterne sono definite come segue:

• Reti on-premise che risiedono nel tuo data center o in altra struttura in cui utilizzi i dispositivi hardware e le applicazioni software.
• Altri cloud provider dove esegui le risorse.
• Un host su internet che invia il traffico alla tua rete VPC.

Connectivity Tests non esegue il monitoraggio della connessione al firewall

Il monitoraggio delle connessioni per i firewall VPC archivia le informazioni sulle connessioni nuove e stabilite e consente di consentire o limitare il traffico successivo in base a queste informazioni.

L'analisi della configurazione di Connectivity Tests non supporta il monitoraggio della connessione firewall perché la tabella di connessione firewall si trova nel piano dati per un'istanza VM ed è inaccessibile. Tuttavia, l'analisi della configurazione può simulare il monitoraggio delle connessioni consentendo una connessione di ritorno che normalmente verrebbe negata da una regola firewall in entrata, a condizione che Connectivity Tests avvii la connessione in uscita.

L'analisi del piano dati in tempo reale non supporta il test del monitoraggio delle connessioni del firewall.

Connectivity Tests non può testare le istanze VM configurate per modificare il comportamento di forwarding

Connectivity Tests non può testare le istanze VM che sono state configurate per agire nel piano dati come router, firewall, gateway NAT, VPN e così via. Questo tipo di configurazione rende difficile valutare l'ambiente in esecuzione sull'istanza VM. Inoltre, l'analisi del piano dati in tempo reale non supporta questo scenario di test.

I tempi per i risultati Connectivity Tests possono variare

La generazione dei risultati dei test di connettività può richiedere da 30 secondi a 10 minuti. Il tempo necessario per un test si basa sulle dimensioni della configurazione di rete VPC e sul numero di risorse Google Cloud utilizzate.

La tabella seguente mostra i tempi di risposta previsti per tutti gli utenti che eseguono un test rispetto a una configurazione di esempio in una query. Questa configurazione contiene istanze VM, un tunnel Cloud VPN e bilanciatori del carico Google Cloud.

Tempi di risposta per query

Dimensioni progetto	Numero di risorse Google Cloud	Latenza di risposta
Progetto piccolo	Meno di 50	60 secondi per il 95% delle query di tutti gli utenti
Progetto medio	Maggiore di 50 ma meno di 5000	120 secondi per il 95% delle query di tutti gli utenti
Progetto di grandi dimensioni	Più di 5000	600 secondi per il 95% delle query di tutti gli utenti

L'analisi del piano dati in tempo reale non è destinata al monitoraggio continuo

L'analisi del piano dati in tempo reale esegue una verifica una tantum della connettività di rete a scopo diagnostico. Per il monitoraggio continuo della connettività e della perdita di pacchetti, utilizza Performance Dashboard.

L'analisi del piano dati in tempo reale non verifica più tracce

L'analisi del piano dati in tempo reale non è supportata nei casi in cui la route non sia deterministica.

Supporto dei Controlli di servizio VPC

I Controlli di servizio VPC possono fornire una sicurezza aggiuntiva per Connectivity Tests, riducendo così il rischio di esfiltrazione di dati. Utilizzando i Controlli di servizio VPC, puoi aggiungere progetti ai perimetri di servizio per proteggere risorse e servizi da richieste che hanno origine al di fuori del perimetro.

Per saperne di più sui perimetri di servizio, consulta la pagina Dettagli e configurazione dei perimetri di servizio della documentazione dei Controlli di servizio VPC.

Passaggi successivi

• Ruoli e autorizzazioni

• Creare ed eseguire test di connettività

• Usare Connectivity Tests per diversi casi d'uso sulla connettività

• Rileva configurazioni non valide o incoerenti

• Identificare e risolvere i problemi relativi alle ICMP (tutorial)

• Risolvere i problemi relativi ai test di connettività