Mengukur jangkauan

Halaman ini menjelaskan cara Uji Konektivitas mengukur keterjangkauan. Artikel ini juga menjelaskan cara kerja analisis konfigurasi dan analisis bidang data live.

Apa yang dimaksud dengan keterjangkauan?

Resource dapat dijangkau dari endpoint lain jika konfigurasi jaringan seperti firewall dan rute mengizinkan traffic untuk berpindah dari satu ke endpoint lainnya. Misalnya, jika konfigurasi jaringan harus mengizinkan VM1 mengirim paket ke VM2, VM2 akan dianggap dapat dijangkau dari VM1.

Perhatikan aspek berikut tentang cara Uji Konektivitas mengukur jangkauan:

• Uji Konektivitas mengukur keterjangkauan dari sumber tertentu ke tujuan tertentu. Fakta bahwa VM1 dapat menjangkau VM2 tidak selalu berarti VM3 dapat menjangkau VM2.
• Uji Konektivitas mengukur jangkauan satu arah. Fakta bahwa VM1 dapat membuka koneksi ke VM2 tidak berarti VM2 dapat membuka koneksi dengan VM1. Aturan firewall mungkin mengizinkan traffic dalam satu arah, tetapi tidak mengizinkan arah lainnya.
• Uji Konektivitas mengukur keterjangkauan untuk protokol dan port tujuan tertentu. Fakta bahwa VM1 dapat menjangkau VM2 di tcp:443 tidak berarti VM1 dapat menjangkaunya di tcp:80.
• Uji Konektivitas hanya menguji Google Cloud konfigurasi jaringan VPC yang dapat memengaruhi pengiriman paket dari sumber ke tujuan. Pengujian ini tidak memeriksa apakah server yang valid berjalan di tujuan, apakah aturan firewall sistem operasi dapat memblokir traffic, atau apakah software keamanan memblokir paket yang membawa payload virus.

Konsep Keterjangkauan berasal dari teori grafik. Secara konseptual, seluruh grafik keterjangkauan jaringan berisi semua endpoint sebagai node, dan tepi terarah yang menunjukkan keterjangkauan dari node sumber ke node tujuan.

Analisis jangkauan adalah istilah yang lebih umum yang menjelaskan kumpulan analisis yang dapat dilakukan untuk menentukan jangkauan jaringan. Salah satu kasus penggunaan dari analisis keterjangkauan adalah uji konektivitas. Konektivitas, dalam hal ini, mengacu pada status koneksi jaringan.

Untuk setiap langkah di sepanjang jalur penerusan jaringan, analisis jangkauan akan menguji dan memberikan hasil untuk konfigurasi jaringan yang mendasarinya. Misalnya, Uji Konektivitas menganalisis Google Cloud aturan dan rute firewall yang diterapkan ke paket pengujian simulasi.

Cara kerja Uji Konektivitas

Uji Konektivitas mencakup dua komponen utama: analisis konfigurasi dan analisis bidang data live. Bagian ini menjelaskan cara kerja kedua jenis analisis ini.

Cara kerja analisis konfigurasi

Bagian ini menjelaskan cara kerja Pengujian Konektivitas dan komponennya.

Uji Konektivitas melakukan analisis keterjangkauan yang mengevaluasi Google Cloud resource di jalur pengujian Anda terhadap model konfigurasi yang ideal. Pengujian ini dilengkapi dengan fitur analisis data plane live, yang mengirimkan paket untuk memverifikasi status data plane dan memberikan informasi dasar pengukuran untuk konfigurasi yang didukung. Untuk mengetahui detail tentang cara kerja verifikasi dinamis, lihat Cara kerja analisis bidang data live.

Sebagai administrator jaringan, Anda memiliki kontrol atas banyak konfigurasi yang dapat memengaruhi hasil analisis, meskipun beberapa pengecualian berlaku. Misalnya, Anda tidak memiliki kontrol atas jaringan VPC yang menghosting layanan yang dikelola Google seperti instance Cloud SQL. Selain itu, karena batasan izin, Anda mungkin tidak memiliki kontrol atas aturan kebijakan firewall hierarkis yang memengaruhi jaringan Anda.

Saat menjalankan Pengujian Konektivitas, Anda memasukkan kumpulan parameter tertentu dan menerima hasil yang diformat dalam bentuk pelacakan jaringan, atau kueri. Uji Konektivitas menghasilkan lebih dari satu rekaman aktivitas jika pengujian memiliki beberapa kemungkinan jalur di jaringan (misalnya, saat endpoint tujuan adalah load balancer Google Cloud dengan beberapa backend).

• Kecocokan berarti Uji Konektivitas menemukan konfigurasi Google Cloud yang memungkinkan paket simulasi berlanjut melalui jalur pengujian.
• Tidak ada kecocokan berarti Uji Konektivitas tidak dapat menemukan kecocokan. Dengan demikian, konfigurasi tidak ada.
• Kecocokan yang ditolak berarti Uji Konektivitas menemukan konfigurasiGoogle Cloud tempat paket pengujian simulasi harus dihapus.

Komponen Uji Konektivitas

Uji Konektivitas adalah komponen tingkat atas yang berisi semua sub-komponen pengujian lainnya yang diperlukan untuk analisis konfigurasi. Komponen ini mencakup:

• Endpoint sumber dan tujuan
• Detail jangkauan untuk pengujian dan trace-nya, termasuk hasil jangkauan keseluruhan yang ditentukan oleh analisis konfigurasi
• Satu atau beberapa rekaman aktivitas yang masing-masing berisi satu atau beberapa langkah
• Status untuk setiap langkah

Setiap pengujian memiliki nama unik dan setiap langkah memiliki status dan metadata Info yang terkait dengannya. Misalnya, jika langkah memeriksa rute, metadata RouteInfo disertakan dalam langkah tersebut.

Diagram berikut menunjukkan pengujian dari satu instance VM Compute Engine ke instance VM Compute Engine lainnya. Untuk deskripsi komponen pengujian, lihat bagian berikut.

Endpoint sumber dan tujuan

Analisis konfigurasi Uji Konektivitas mendukung header paket 5-tuple tanpa port sumber. Hal ini karena port sumber tidak digunakan untuk memvalidasi resource dalam Google Cloud konfigurasi jaringan. Dengan demikian, Anda tidak perlu menyediakannya saat menjalankan pengujian.

Header paket berisi komponen berikut:

• Protokol jaringan
• Endpoint sumber, yang terdiri dari salah satu hal berikut:
  • Nama instance VM
  • Alamat IP sumber
  • Layanan App Engine sumber
  • Lingkungan fungsi Cloud Run (generasi ke-1)
  • Layanan Cloud Run
  • Nama instance Cloud SQL
  • Nama cluster untuk bidang kontrol GKE
• Endpoint tujuan, yang terdiri dari salah satu hal berikut dan nomor port:
  • Nama instance VM
  • Alamat IP tujuan
  • Nama instance Cloud SQL
  • Nama cluster untuk bidang kontrol GKE
  • Endpoint Private Service Connect

Anda juga dapat menentukan jenis jaringan Google Cloud atau non-Google Cloud , atau kombinasi jenis jaringan dan alamat IP atau nama instance VM untuk mengidentifikasi lokasi jaringan secara unik.

Protokol jaringan berikut didukung untuk VM, alamat IP, dan layanan yang dikelola Google:

• TCP
• UDP
• ICMP
• ESP
• AH
• SCTP
• IPIP

Protokol jaringan berikut didukung oleh konektor Akses VPC Serverless:

• TCP
• UDP

Port tujuan untuk protokol TCP atau UDP didukung. Jika Anda tidak menentukan port, setelan defaultnya adalah port 80.

Trace, langkah, dan status

Analisis konfigurasi berisi satu atau beberapa rekaman aktivitas. Setiap rekaman aktivitas mewakili satu jalur penerusan paket simulasi yang unik dalam pengujian.

• Setiap rekaman aktivitas berisi beberapa langkah yang diurutkan.
• Setiap langkah berisi status yang terkait dengan Google Cloud konfigurasi yang diperiksa Uji Konektivitas untuk langkah tersebut.
• Status dikategorikan menjadi status non-final dan final.

Status non-final

Status non-final mewakili pemeriksaan konfigurasi untuk setiap resource Google Cloud di jalur pengujian, seperti instance VM, endpoint, aturan firewall, rute, atau Google Cloud load balancer.

Ada empat status non-final:

• Inisial
• Pemeriksaan konfigurasi
• Penerusan
• Transisi

Untuk mengetahui informasi selengkapnya, lihat Status analisis konfigurasi.

Status final

Setiap rekaman aktivitas harus diakhiri dengan status akhir, yang merupakan langkah terakhir dalam rekaman aktivitas.

Ada empat kemungkinan status akhir:

• Drop
• Abort
• Forward
• Deliver

Setiap status memiliki alasan yang terkait dengannya. Untuk informasi selengkapnya, lihat detail untuk setiap status akhir.

Hasil jangkauan secara keseluruhan

Analisis konfigurasi juga memberikan hasil keterjangkauan secara keseluruhan yang dapat mengambil salah satu dari empat nilai: Reachable, Unreachable, Ambiguous, atau Undetermined.

Mengetahui hasil keterjangkauan secara keseluruhan dapat membantu menyiapkan pemantauan atau otomatisasi.

Untuk informasi selengkapnya, lihat Hasil keterjangkauan secara keseluruhan.

Pemeriksaan spoofing

Uji Konektivitas melakukan pemeriksaan spoofing saat paket simulasi ke atau dari instance VM menggunakan alamat IP yang tidak dimiliki oleh instance tersebut. Alamat IP yang dimiliki VM mencakup semua alamat IP internal VM dan alamat IP sekunder.

Jika alamat tersebut adalah alamat yang tampaknya berasal dari traffic eksternal, yang juga disebut alamat asing, alamat IP akan gagal dalam pemeriksaan spoof.

Metadata

Setiap status dapat memiliki metadata yang terkait dalam bentuk kolom Info. Misalnya, InstanceInfo berisi detail untuk instance VM, termasuk nama dan alamat IP.

Analisis konfigurasi memberikan metadata untuk pengujian itu sendiri dan metadata untuk setiap langkah dalam pengujian.

Cara kerja analisis bidang data live

Mekanisme pemeriksaan untuk analisis bidang data live tidak melibatkan OS tamu dan sepenuhnya transparan bagi pengguna. Probe dimasukkan atas nama endpoint sumber ke jaringan dan dihapus tepat sebelum dikirim ke endpoint tujuan. Probe dikecualikan dari penagihan jaringan reguler, metrik telemetri, dan log flow.

Langkah berikutnya

• Peran dan izin

• Membuat dan menjalankan Uji Konektivitas

• Menggunakan Uji Konektivitas untuk berbagai kasus penggunaan konektivitas

• Mendeteksi konfigurasi yang tidak valid atau tidak konsisten

• Mengidentifikasi dan memperbaiki masalah ICMP (tutorial)

• Memecahkan Masalah Uji Konektivitas