Mengukur keterjangkauan

Halaman ini menjelaskan cara Uji Konektivitas mengukur keterjangkauan. Bagian ini juga menjelaskan cara kerja analisis konfigurasi dan analisis bidang data live.

Apa yang dimaksud dengan keterjangkauan?

Resource dapat dijangkau dari endpoint lain jika konfigurasi jaringan, seperti firewall dan rute, memungkinkan traffic untuk berpindah dari satu resource ke endpoint lainnya. Misalnya, jika konfigurasi jaringan harus mengizinkan VM1 untuk mengirim paket ke VM2, VM2 dapat dikatakan dapat dijangkau dari VM1.

Perhatikan aspek berikut tentang cara Uji Konektivitas mengukur keterjangkauan:

• Uji Konektivitas mengukur keterjangkauan dari sumber tertentu ke tujuan tertentu. Fakta bahwa VM1 dapat menjangkau VM2 tidak selalu berarti bahwa VM3 dapat menjangkau VM2.
• Uji Konektivitas mengukur keterjangkauan searah. Fakta bahwa VM1 dapat membuka koneksi ke VM2, bukan berarti VM2 dapat membuka koneksi dengan VM1. Aturan firewall mungkin mengizinkan traffic satu arah, tetapi tidak ke arah yang lain.
• Uji Konektivitas mengukur keterjangkauan untuk protokol dan port tujuan tertentu. Fakta bahwa VM1 dapat menjangkau VM2 di tcp:443 bukan berarti VM1 dapat menjangkaunya di tcp:80.
• Uji Konektivitas hanya menguji konfigurasi jaringan VPC Google Cloud yang mungkin memengaruhi pengiriman paket dari sumber ke tujuan. Metode ini tidak memeriksa untuk mengetahui apakah server yang valid berjalan di tujuan, apakah aturan firewall sistem operasi mungkin memblokir traffic, atau apakah software keamanan memblokir paket yang membawa payload virus.

Konsep Jangkauan berasal dari teori grafik. Secara konseptual, seluruh grafik keterjangkauan jaringan berisi semua endpoint sebagai node, dan tepi terarah yang menunjukkan keterjangkauan dari node sumber ke node tujuan.

Analisis keterjangkauan adalah istilah lebih umum yang menjelaskan isi analisis yang dapat dilakukan untuk menentukan keterjangkauan jaringan. Salah satu kasus penggunaan dari analisis keterjangkauan adalah uji konektivitas. Konektivitas, dalam hal ini, mengacu pada status koneksi jaringan.

Untuk setiap langkah di sepanjang jalur penerusan jaringan, analisis keterjangkauan akan menguji dan memberikan hasil untuk konfigurasi jaringan yang mendasarinya. Misalnya, Uji Konektivitas menganalisis aturan dan rute firewall Google Cloud yang diterapkan ke paket pengujian yang disimulasikan.

Cara kerja Uji Konektivitas

Uji Konektivitas mencakup dua komponen utama: analisis konfigurasi dan analisis bidang data langsung. Bagian ini menjelaskan cara kerja kedua jenis analisis ini.

Cara kerja analisis konfigurasi

Bagian ini menjelaskan cara kerja Uji Konektivitas dan komponennya.

Uji Konektivitas melakukan analisis jangkauan yang mengevaluasi resource Google Cloud di jalur pengujian Anda terhadap model konfigurasi yang ideal. Hal ini ditambah dengan fitur analisis bidang data live, yang mengirimkan paket untuk memverifikasi status bidang data dan memberikan informasi dasar pengukuran untuk konfigurasi yang didukung. Untuk mengetahui detail tentang cara kerja verifikasi dinamis, lihat Cara kerja analisis bidang data live.

Sebagai administrator jaringan, Anda memiliki kontrol atas banyak konfigurasi yang dapat memengaruhi hasil analisis, meskipun beberapa pengecualian berlaku. Misalnya, Anda tidak memiliki kontrol atas jaringan VPC yang menghosting layanan yang dikelola Google seperti instance Cloud SQL. Selain itu, karena pembatasan izin, Anda mungkin tidak memiliki kontrol atas aturan kebijakan firewall hierarkis yang memengaruhi jaringan Anda.

Saat menjalankan Uji Konektivitas, Anda memasukkan serangkaian parameter tertentu dan menerima hasil berformat dalam bentuk pelacakan jaringan atau kueri. Uji Konektivitas menghasilkan lebih dari satu rekaman aktivitas jika pengujian memiliki beberapa kemungkinan jalur di jaringan (misalnya, saat endpoint tujuan adalah load balancer Google Cloud dengan beberapa backend).

• Kecocokan berarti Pengujian Konektivitas menemukan konfigurasi Google Cloud yang memungkinkan paket yang disimulasikan untuk berlanjut melalui jalur pengujian.
• Tidak ada kecocokan berarti Uji Konektivitas tidak dapat menemukan kecocokan. Dengan demikian, konfigurasi tersebut tidak ada.
• Kecocokan yang ditolak berarti Pengujian Konektivitas menemukan konfigurasi Google Cloud tempat paket pengujian yang disimulasikan harus dibatalkan.

Komponen Uji Konektivitas

Uji Konektivitas adalah komponen level atas yang berisi semua sub-komponen pengujian lainnya yang diperlukan untuk analisis konfigurasi. Komponen ini mencakup:

• Endpoint sumber dan tujuan
• Detail keterjangkauan untuk pengujian dan trace-nya, termasuk hasil keterjangkauan keseluruhan yang ditentukan oleh analisis konfigurasi
• Satu atau beberapa trace yang masing-masing berisi satu atau beberapa langkah
• Status untuk setiap langkah

Setiap pengujian memiliki nama unik dan setiap langkah memiliki status dan metadata Info yang terkait dengannya. Misalnya, jika sebuah langkah memeriksa rute, metadata RouteInfo akan disertakan dalam langkah tersebut.

Diagram berikut menunjukkan pengujian dari satu instance VM Compute Engine ke instance VM Compute Engine lainnya. Untuk deskripsi komponen pengujian, lihat bagian berikut.

Endpoint sumber dan tujuan

Analisis konfigurasi Uji Konektivitas mendukung header paket 5-tuple tanpa port sumber. Hal ini karena port sumber tidak digunakan untuk memvalidasi resource dalam konfigurasi jaringan Google Cloud. Dengan demikian, Anda tidak perlu menyediakannya saat menjalankan pengujian.

Header paket berisi komponen berikut:

• Protokol jaringan
• Endpoint sumber, yang terdiri dari salah satu hal berikut:
  • Nama instance VM
  • Alamat IP sumber
  • Layanan App Engine sumber
  • Lingkungan Cloud Function (generasi ke-1)
  • Layanan Cloud Run
  • Nama instance Cloud SQL
  • Nama cluster untuk bidang kontrol GKE
• Endpoint tujuan, yang terdiri dari salah satu hal berikut dan nomor port:
  • Nama instance VM
  • Alamat IP tujuan
  • Nama instance Cloud SQL
  • Nama cluster untuk bidang kontrol GKE
  • Endpoint Private Service Connect

Anda juga dapat menentukan jenis jaringan Google Cloud atau non-Google Cloud, atau kombinasi jenis jaringan dan alamat IP atau nama instance VM untuk mengidentifikasi lokasi jaringan secara unik.

Protokol jaringan berikut didukung untuk VM, alamat IP, dan layanan yang dikelola Google:

• TCP
• UDP
• ICMP
• ESP
• AH
• SCTP
• IPIP (IPIP)

Protokol jaringan berikut didukung oleh konektor Akses VPC Serverless:

• TCP
• UDP

Porta tujuan untuk protokol TCP atau UDP didukung. Jika Anda tidak menentukan port, setelan defaultnya adalah port 80.

Rekaman aktivitas, langkah, dan status

Analisis konfigurasi berisi satu atau beberapa trace. Setiap rekaman aktivitas mewakili satu jalur penerusan paket yang disimulasikan dan unik dalam pengujian.

• Setiap pelacakan berisi beberapa langkah yang diurutkan.
• Setiap langkah berisi state terkait konfigurasi Google Cloud yang diperiksa oleh Uji Konektivitas untuk langkah tersebut.
• Status dikategorikan ke dalam status non-final dan final.

Negara bagian tidak final

Status non-final menunjukkan pemeriksaan konfigurasi untuk setiap resource Google Cloud di jalur pengujian, seperti instance VM, endpoint, aturan firewall, rute, atau load balancer Google Cloud.

Ada empat status non-final:

• Inisial
• Pemeriksaan konfigurasi
• Penerusan
• Transisi

Untuk mengetahui informasi selengkapnya, lihat Status analisis konfigurasi.

Status final

Setiap rekaman aktivitas harus diakhiri dengan status akhir, yang merupakan langkah terakhir dalam rekaman aktivitas tersebut.

Ada empat kemungkinan status akhir:

• Drop
• Abort
• Forward
• Deliver

Setiap status memiliki alasan yang terkait dengannya. Untuk informasi selengkapnya, lihat detail untuk setiap status akhir.

Hasil keterjangkauan secara keseluruhan

Analisis konfigurasi juga memberikan hasil keterjangkauan keseluruhan yang dapat mengambil salah satu dari empat nilai: Reachable, Unreachable, Ambiguous, atau Undetermined.

Mengetahui hasil keterjangkauan secara keseluruhan dapat membantu untuk menyiapkan pemantauan atau otomatisasi.

Untuk mengetahui informasi selengkapnya, lihat Hasil keterjangkauan secara keseluruhan.

Pemeriksaan spoof

Uji Konektivitas melakukan pemeriksaan spoof saat paket yang disimulasikan ke atau dari instance VM menggunakan alamat IP yang tidak dimiliki oleh instance tersebut. Alamat IP yang dimiliki oleh VM mencakup semua alamat IP internal dan alamat IP sekunder VM.

Jika alamat tersebut adalah alamat yang tampaknya berasal dari traffic eksternal, yang juga disebut sebagai alamat asing, maka alamat IP tersebut akan gagal dalam pemeriksaan spoof.

Metadata

Setiap status dapat memiliki metadata yang terkait dengannya dalam bentuk kolom Info. Misalnya, InstanceInfo berisi detail untuk instance VM, termasuk nama dan alamat IP.

Analisis konfigurasi menyediakan metadata untuk pengujian itu sendiri dan metadata untuk setiap langkah dalam pengujian.

Cara kerja analisis bidang data secara live

Mekanisme pemeriksaan untuk analisis bidang data live tidak melibatkan OS tamu dan sepenuhnya transparan kepada pengguna. Probe dimasukkan atas nama endpoint sumber ke jaringan dan dilepaskan tepat sebelum dikirim ke endpoint tujuan. Probe dikecualikan dari penagihan jaringan reguler, metrik telemetri, dan log aliran.

Langkah selanjutnya

• Peran dan izin

• Membuat dan menjalankan Uji Konektivitas

• Menggunakan Uji Konektivitas untuk berbagai kasus penggunaan konektivitas

• Mendeteksi konfigurasi yang tidak valid atau tidak konsisten

• Mengidentifikasi dan memperbaiki masalah ICMP (tutorial)

• Memecahkan Masalah Uji Konektivitas