Status analisis konfigurasi

Analisis konfigurasi Uji Konektivitas akan melalui serangkaian status pengujian saat memeriksa konfigurasi setiap resource Google Cloud di jalur jaringan dari sumber yang ditetapkan ke tujuan yang ditetapkan. Gunakan referensi ini untuk menafsirkan status ini.

Untuk mengetahui informasi selengkapnya tentang Uji Konektivitas, termasuk detail tentang analisis data plane langsung, lihat ringkasan.

Status pengujian

Analisis konfigurasi Uji Konektivitas memberikan data untuk status pengujian berikut dalam urutan yang tercantum:

  • Status awal
  • Status pemeriksaan konfigurasi
  • Status penerusan
  • Status transisi
  • Status khusus
  • Status final
  • Hasil jangkauan secara keseluruhan

Beberapa status ini muncul di setiap rekaman aktivitas, sementara status lainnya hanya muncul saat menguji konfigurasi resource Google Cloud tertentu atau saat melakukan tugas tertentu.

Status akhir dan hasil keterjangkauan secara keseluruhan memberikan output pengujian yang paling penting.

Selain itu, output pengujian dapat menyertakan metadata untuk resource Google Cloud yang dikaitkan dengan satu atau beberapa status; misalnya, informasi tentang nama dan alamat IP instance virtual machine (VM).

Cara analisis konfigurasi mengevaluasi keterjangkauan

Analisis konfigurasi menyimulasikan paket pengujian melalui jalur jaringan dengan memverifikasi konfigurasi untuk resource Google Cloud di jalur tersebut. Beberapa contoh konfigurasi jaringan yang tidak valid adalah aturan penerusan Cloud Load Balancing yang tidak memiliki backend atau rute jaringan yang tidak ada.

Selama status pemeriksaan konfigurasi, Uji Konektivitas mengumpulkan informasi tentang rute jaringan seperti rute yang dikonfigurasi pengguna, rute dinamis berdasarkan iklan BGP, atau rute berbasis kebijakan. Analisis konfigurasi kemudian memilih rute jaringan berdasarkan kemungkinan penerapan dan urutan.

Untuk status pemeriksaan konfigurasi, verified berarti Uji Konektivitas mengonfirmasi bahwa konfigurasi untuk resource Google Cloud yang diuji valid. Konfigurasi ini memungkinkan paket pengujian simulasi untuk melanjutkan melalui jalur jaringan yang sedang diuji.

Untuk aturan firewall masuk dan keluar, verified berarti analisis konfigurasi mengonfirmasi bahwa aturan firewall valid. Aturan firewall mengizinkan paket pengujian simulasi untuk diteruskan.

Jika Pengujian Konektivitas menentukan bahwa konfigurasi tidak valid, paket memiliki status akhir Drop.

Hasil jangkauan secara keseluruhan

Analisis konfigurasi memberikan ringkasan keseluruhan status keterjangkauan, juga dikenal sebagai hasil. Hasil dapat memiliki salah satu dari empat nilai: Reachable, Unreachable, Ambiguous, dan Undetermined.

Tabel nilai

Tabel berikut menjelaskan nilai untuk setiap jenis hasil keterjangkauan keseluruhan.

Hasil jangkauan secara keseluruhan Deskripsi
Reachable Ada dua kemungkinan skenario. Dalam kedua skenario tersebut, Uji Konektivitas tidak menemukan masalah konfigurasi apa pun. Dengan demikian, kedua skenario tersebut dianggap sebagai Reachable.
  • Dalam skenario pertama, paket yang berasal dari sumber diharapkan mencapai tujuannya. Status akhir dari satu atau beberapa rekaman aktivitas adalah Deliver.
  • Dalam skenario kedua, analisis sebagian selesai berdasarkan konfigurasi tempat pengguna memiliki izin. Status akhir dari satu atau beberapa rekaman aktivitas adalah Forward.
Unreachable Paket yang berasal dari sumber diperkirakan akan dihapus sebelum mencapai tujuannya. Status akhir semua rekaman aktivitas adalah Drop.
Ambiguous

Hasil ini ditampilkan jika endpoint sumber dan tujuan tidak mengidentifikasi lokasi pengujian secara unik di jaringan, dan hasil keterjangkauan secara keseluruhan berisi beberapa rekaman aktivitas dengan status Reachable dan Unreachable campuran.

Dalam hal ini, status akhir di antara beberapa rekaman aktivitas menampilkan status akhir yang berbeda. Hasil Ambiguous tidak berlaku untuk pengujian yang hanya berisi satu rekaman aktivitas.

Undetermined

Jangkauan tidak dapat ditentukan. Status akhir untuk satu rekaman aktivitas adalah Forward atau Abort. Untuk beberapa rekaman aktivitas, status akhir adalah kombinasi dari Forward atau Abort.

Jangkauan dari sumber ke tujuan tidak dapat ditentukan karena salah satu alasan berikut:

  • Analisis dibatalkan karena error izin. Pengguna tidak memiliki izin baca ke project yang tercantum dalam pengujian.
  • Analisis dibatalkan karena error internal.

Beberapa rekaman aktivitas

Setiap analisis konfigurasi dapat berisi beberapa rekaman aktivitas, dan status akhir rekaman aktivitas ini mungkin tidak sama. Misalnya, paket ke VIP untuk load balancer Google Cloud mungkin memiliki n rekaman aktivitas jika ada n instance VM backend yang dikonfigurasi untuk load balancer. Rekaman aktivitas n ini mungkin tidak memiliki status akhir yang sama.

Karena analisis dapat menghasilkan beberapa kemungkinan rekaman aktivitas, hal berikut berlaku:

  • Jika hanya ada satu hasil rekaman aktivitas, hasil keterjangkauan keseluruhan akan sama dengan status akhir rekaman aktivitas.
  • Jika ada beberapa hasil rekaman aktivitas, hasil keterjangkauan keseluruhan dihitung berdasarkan distribusi status akhir yang terdapat di semua rekaman aktivitas.

Metadata hasil

Selain hasil keterjangkauan keseluruhan untuk rekaman aktivitas, setiap hasil pengujian berisi metadata berikut:

  • Waktu status pengujian untuk pengujian diverifikasi
  • Detail error kegagalan atau pembatalan pengujian
  • Detail trace untuk setiap trace

Detail error kegagalan atau pembatalan pengujian ditampilkan sebagai kode dan pesan yang ditampilkan dalam keseluruhan hasil keterjangkauan. Misalnya, pengujian dengan status akhir Abort mungkin menampilkan pesan error seperti Failed to pull initial config. An internal error occurred.

Status awal

Selama status awal, analisis konfigurasi menyimulasikan dimulai dari endpoint jaringan.

Pesan Deskripsi
START_FROM_INSTANCE Paket berasal dari instance Compute Engine. Metadata InstanceInfo diisi oleh Uji Konektivitas.
START_FROM_INTERNET Paket berasal dari internet. Metadata EndpointInfo diisi oleh Uji Konektivitas.
START_FROM_PRIVATE_NETWORK Paket berasal dari jaringan VPC atau jaringan lokal dengan alamat IP sumber internal. Jika sumbernya adalah jaringan VPC yang terlihat oleh pengguna, metadata NetworkInfo akan diisi dengan detail jaringan oleh Uji Konektivitas.
START_FROM_CLOUD_FUNCTION Paket berasal dari fungsi Cloud Run. Metadata CloudFunctionInfo diisi oleh Uji Konektivitas.
START_FROM_CLOUD_RUN_REVISION Paket berasal dari revisi layanan Cloud Run. Metadata CloudRunRevisionInfo diisi oleh Uji Konektivitas.
START_FROM_APP_ENGINE_VERSION Paket berasal dari versi layanan lingkungan standar App Engine. Metadata AppEngineVersionInfo diisi oleh Uji Konektivitas.

Status final

Ada empat status akhir: Drop, Abort, Forward, dan Deliver. Setiap bagian berikut memiliki tabel yang berisi pesan dan deskripsi untuk setiap status.

Lepaskan

Uji Konektivitas menghapus paket pengujian simulasi karena target pengujian tidak dapat dijangkau karena alasan berikut.

Pesan Deskripsi
UNKNOWN_EXTERNAL_ADDRESS Alamat eksternal tujuan tidak dapat diselesaikan menjadi target yang diketahui.
FOREIGN_IP_DISALLOWED Instance VM hanya dapat mengirim atau menerima paket dengan alamat IP asing jika ip_forward diaktifkan. Dengan kata lain, alamat IP asing gagal dalam pemeriksaan spoof.
FIREWALL_RULE

Dihentikan karena aturan firewall, kecuali jika diizinkan karena pelacakan koneksi.

Uji Konektivitas mungkin menolak paket pengujian karena paket cocok dengan aturan firewall pemblokir. Namun, paket data yang sebenarnya mungkin mengizinkan paket tersebut karena pelacakan koneksi pada aturan firewall. Pelacakan koneksi memungkinkan paket untuk koneksi yang ada ditampilkan meskipun ada aturan firewall.

NO_ROUTE Dihentikan karena tidak ada rute.
ROUTE_BLACKHOLE Dihapus karena next hop rute yang cocok tidak ada.
ROUTE_WRONG_NETWORK Paket dikirim ke jaringan yang salah (tidak diinginkan), seperti yang ditunjukkan dalam Mendeteksi konfigurasi yang tidak valid atau tidak konsisten.
PRIVATE_TRAFFIC_TO_INTERNET Paket dengan alamat tujuan internal dikirim ke gateway internet.
PRIVATE_GOOGLE_ACCESS_DISALLOWED Instance VM yang hanya memiliki alamat IP internal mencoba mengakses Google API atau layanan Google, tetapi Akses Google Pribadi tidak diaktifkan.
NO_EXTERNAL_ADDRESS Instance VM yang hanya memiliki alamat IP internal mencoba mengakses host eksternal melalui rute yang next hop-nya adalah gateway internet default. Diharapkan jika Cloud NAT tidak diaktifkan di subnet atau jika tidak ada rute default lain yang menggunakan jenis next hop yang berbeda (seperti VM proxy).
UNKNOWN_INTERNAL_ADDRESS Alamat internal tujuan tidak dapat diselesaikan menjadi target yang diketahui.
FORWARDING_RULE_MISMATCH Protokol dan port aturan penerusan tidak cocok dengan header paket, atau paket tidak berasal dari atau tidak diarahkan ke region yang sama dengan load balancer regional.
FORWARDING_RULE_NO_INSTANCES Aturan penerusan tidak memiliki konfigurasi backend.
FIREWALL_BLOCKING_LOAD_BALANCER_BACKEND_HEALTH_CHECK

Aturan firewall memblokir pemeriksaan health check ke backend dan menyebabkan backend tidak tersedia untuk traffic dari load balancer.

Sebagai bagian dari urutan pengujiannya untuk Cloud Load Balancing, analisis konfigurasi memverifikasi bahwa aturan firewall yang ada telah dikonfigurasi untuk mengizinkan paket pemeriksaan health check dikirim ke backend Cloud Load Balancing. Pemeriksaan konfigurasi ini menghasilkan healthCheckFirewallState. Untuk mengetahui detailnya, lihat Aturan firewall health check.

INSTANCE_NOT_RUNNING Paket dikirim dari atau ke instance VM yang tidak dalam status berjalan.
TRAFFIC_TYPE_BLOCKED Jenis traffic diblokir dan pengguna tidak dapat mengonfigurasi aturan firewall untuk mengaktifkannya. Untuk mengetahui detailnya, lihat Traffic yang selalu diblokir.
GKE_MASTER_UNAUTHORIZED_ACCESS Akses ke endpoint bidang kontrol Google Kubernetes Engine tidak diizinkan. Untuk mengetahui detailnya, lihat Akses ke endpoint cluster.
DROPPED_INSIDE_GKE_SERVICE Paket dihentikan di dalam layanan Google Kubernetes Engine.
CLOUD_SQL_INSTANCE_UNAUTHORIZED_ACCESS Akses ke endpoint instance Cloud SQL tidak diizinkan. Untuk mengetahui detailnya, lihat Memberikan otorisasi dengan jaringan resmi.
DROPPED_INSIDE_CLOUD_SQL_SERVICE Paket dihentikan di dalam layanan Cloud SQL.
GOOGLE_MANAGED_SERVICE_NO_PEERING Paket dihapus karena tidak ada peering antara jaringan asal dan jaringan layanan terkelola Google.
CLOUD_SQL_INSTANCE_NO_IP_ADDRESS Paket dihapus karena instance Cloud SQL tidak memiliki alamat IP pribadi maupun publik.
PSC_CONNECTION_NOT_ACCEPTED Paket dihapus karena koneksi ke layanan yang dipublikasikan yang menggunakan Private Service Connect tidak diterima.
CLOUD_FUNCTION_NOT_ACTIVE Paket dihapus karena fungsi Cloud Run tidak aktif.
VPC_CONNECTOR_NOT_SET Paket dihapus karena layanan lingkungan standar App Engine, fungsi Cloud Run, atau revisi Cloud Run tidak memiliki konektor Akses VPC Serverless yang dikonfigurasi.
VPC_CONNECTOR_NOT_RUNNING Paket dihapus karena konektor Akses VPC Serverless tidak berjalan.
CLOUD_RUN_REVISION_NOT_READY Paket dihapus karena revisi Cloud Run belum siap dan tidak dapat menyalurkan traffic.

Batalkan

Analisis konfigurasi dihentikan karena kurangnya informasi dasar, seperti kurangnya akses ke konfigurasi jaringan.

Status ini biasanya terjadi saat Uji Konektivitas tidak memiliki izin yang benar untuk mendapatkan konfigurasi dari project host untuk project layanan, seperti yang ditunjukkan dalam tabel berikut.

Pesan Deskripsi
UNKNOWN_NETWORK

Dibatalkan karena jaringan tidak diketahui. Analisis tidak dapat dilanjutkan karena, dalam jaringan VPC Bersama, pengguna yang menjalankan pengujian tidak memiliki akses ke konfigurasi jaringan project host, termasuk aturan dan rute firewall.

Untuk menjalankan Pengujian Konektivitas, pengguna yang menjalankan pengujian harus dapat membaca konfigurasi untuk resource seperti rute di project host. Hal ini terjadi karena resource jaringan dialokasikan di project host, tetapi resource sebenarnya ada di project layanan.

UNKNOWN_IP

Analisis dibatalkan karena alamat IP yang diperlukan untuk analisis tidak diketahui. Hal ini disebabkan oleh input pengguna yang salah, atau analisis konfigurasi tidak dapat menentukan endpoint yang valid berdasarkan parameter input yang diberikan.

Di jaringan VPC Bersama, pengguna yang menjalankan pengujian tidak memiliki akses ke konfigurasi jaringan project host. Akses ini diperlukan untuk pengujian terhadap alamat IP di project layanan.

UNKNOWN_PROJECT Analisis dibatalkan karena tidak ada informasi project yang dapat diperoleh dari input ke Pengujian Konektivitas. Hal ini disebabkan oleh input pengguna yang salah atau, berdasarkan parameter input yang diberikan, analisis tidak dapat menentukan project yang valid.
PERMISSION_DENIED Analisis dibatalkan karena pengguna tidak memiliki izin untuk mengakses semua atau sebagian konfigurasi jaringan yang diperlukan untuk menjalankan pengujian.
NO_SOURCE_LOCATION Analisis dibatalkan karena tidak ada endpoint sumber yang valid yang dapat diperoleh dari input pengujian. Hal ini disebabkan oleh input pengguna yang salah atau, berdasarkan parameter input yang diberikan, analisis tidak dapat menentukan endpoint sumber yang valid.
INVALID_ARGUMENT

Analisis dibatalkan karena endpoint sumber dan/atau tujuan yang ditentukan dalam input pengujian tidak valid. Kemungkinan alasan pesan ini mencakup hal berikut:

  • Alamat IP yang salah formatnya
  • Instance VM atau URI jaringan yang tidak ada
  • Alamat IP yang tidak berada dalam rentang URI jaringan yang ditentukan
  • Instance VM yang tidak memiliki antarmuka jaringan di jaringan yang ditentukan
NO_EXTERNAL_IP Analisis dibatalkan karena traffic dikirim dari alamat IP publik ke instance VM yang tidak memiliki alamat IP eksternal.
UNINTENDED_DESTINATION Analisis dibatalkan karena tidak ada trace yang dapat cocok dengan informasi tujuan yang ditentukan dalam input pengujian.
TRACE_TOO_LONG Analisis dibatalkan karena jumlah langkah dalam rekaman aktivitas melebihi batas tertentu. Masalah ini mungkin disebabkan oleh loop pemilihan rute.
INTERNAL_ERROR Dibatalkan karena terjadi error server internal.
SOURCE_ENDPOINT_NOT_FOUND Dibatalkan karena endpoint sumber tidak dapat ditemukan.
MISMATCHED_SOURCE_NETWORK Dibatalkan karena jaringan sumber tidak cocok dengan endpoint sumber.
DESTINATION_ENDPOINT_NOT_FOUND Dibatalkan karena endpoint tujuan tidak dapat ditemukan.
MISMATCHED_DESTINATION_NETWORK Dibatalkan karena jaringan tujuan tidak cocok dengan endpoint tujuan.

Meneruskan

Analisis berhenti di endpoint tertentu dan tidak dapat dilanjutkan:

  • Analisis ini sebagian selesai berdasarkan konfigurasi tempat pengguna memiliki izin.
  • Paket pengujian diteruskan ke jaringan dengan konfigurasi yang tidak diketahui.
  • Target pengujian belum dihapus sesuai dengan konfigurasi yang diketahui, dan paket pengujian telah diteruskan ke jaringan tempat Uji Konektivitas tidak memiliki visibilitas.
Pesan Diteruskan
PEERING_VPC Ke jaringan VPC peer
VPN_GATEWAY Ke gateway Cloud VPN
INTERCONNECT Ke koneksi Cloud Interconnect
GKE_MASTER Ke bidang kontrol GKE
IMPORTED_CUSTOM_ROUTE_NEXT_HOP Ke next hop rute kustom yang diimpor dari jaringan VPC yang di-peering
CLOUD_SQL_INSTANCE Ke instance Cloud SQL

Sampaikan

Analisis dapat mencapai target dan mengirimkan paket pengujian simulasi.

Status akhir Deliver tidak menjamin bahwa traffic dapat melewati data plane. Tujuan analisis ini adalah untuk memvalidasi masalah konfigurasi yang mungkin menyebabkan penurunan traffic.

Pesan Target
INSTANCE Instance VM Compute Engine
INTERNET Internet
GOOGLE_API Google API
GKE_MASTER Bidang kontrol GKE
CLOUD_SQL_INSTANCE Instance Cloud SQL
PSC_GOOGLE_API Semua Google API dan layanan yang menggunakan Private Service Connect
PSC_VPC_SC Kontrol Layanan VPC yang menggunakan Private Service Connect
PSC_PUBLISHED_SERVICE Layanan yang dipublikasikan yang menggunakan Private Service Connect

Metadata

Analisis konfigurasi menampilkan metadata berikut untuk status akhir.

Nama metadata Deskripsi
AbortInfo Penyebab status akhir Abort dan URI resource yang menyebabkan status tersebut.
DropInfo Penyebab status akhir Drop dan URI resource yang menyebabkan status tersebut.
ForwardInfo Jenis target dan URI resource target yang akhirnya menjadi tujuan penerusan paket pengujian (status akhir Forward).

Negara bagian lainnya

Sebelum mencapai salah satu status akhir, paket pengujian akan melalui status perantara berikut: status pemeriksaan konfigurasi, status penerusan, status transisi, dan status khusus.

Status pemeriksaan konfigurasi

Selama status pemeriksaan konfigurasi, Uji Konektivitas memeriksa konfigurasi resource Google Cloud di jalur jaringan yang disimulasikan, memverifikasi bahwa konfigurasi resource valid, dan memverifikasi bahwa konfigurasi memungkinkan paket pengujian simulasi untuk melanjutkan melalui jalur jaringan.

Jika diperlukan, analisis konfigurasi akan melakukan pemeriksaan spoof.

Pesan Deskripsi
APPLY_INGRESS_FIREWALL_RULE Aturan firewall masuk yang diverifikasi.
APPLY_EGRESS_FIREWALL_RULE Aturan firewall keluar yang diverifikasi.
APPLY_ROUTE Rute terverifikasi.
APPLY_FORWARDING_RULE Aturan penerusan yang cocok.
SPOOFING_APPROVED Paket dikirim atau diterima berdasarkan alamat IP asing, tetapi diizinkan. Untuk mengetahui detailnya, lihat pemeriksaan spoofing.

Status penerusan

Selama status penerusan, Uji Konektivitas menyimulasikan paket yang tiba di resource Google Cloud perantara di jalur pengujian (misalnya, paket yang tiba di gateway Cloud VPN atau load balancer Google Cloud).

Pesan Deskripsi
ARRIVE_AT_INSTANCE Tiba di instance VM Compute Engine.
ARRIVE_AT_INTERNAL_LOAD_BALANCER Tiba di load balancer Google Cloud yang menggunakan alamat IP pribadi sebagai VIP.
ARRIVE_AT_EXTERNAL_LOAD_BALANCER Tiba di alamat IP publik load balancer Google Cloud.
ARRIVE_AT_VPN_GATEWAY Tiba di gateway Cloud VPN.
ARRIVE_AT_VPN_TUNNEL Tiba di tunnel Cloud VPN.
ARRIVE_AT_VPC_CONNECTOR Telah sampai di konektor Akses VPC Serverless.

Status transisi

Selama status transisi, Uji Konektivitas memverifikasi konfigurasi simulasi tempat paket diubah (misalnya, saat Cloud NAT menerjemahkan header paket, atau saat proxy load balancing Google Cloud menghentikan dan memulai ulang sesi TCP masuk ke instance VM).

Pesan Deskripsi
NAT Header paket diterjemahkan.
PROXY_CONNECTION Koneksi asli dihentikan, dan koneksi proxy baru dimulai.

Status khusus

Dalam status ini, penampil pengujian tidak memiliki izin untuk melihat satu atau beberapa resource Google Cloud. Untuk mengetahui informasi selengkapnya, lihat Menguji izin.

Nama metadata Deskripsi
VIEWER_PERMISSION_MISSING Pelihat hasil pengujian tidak memiliki izin untuk melihat konfigurasi untuk resource Google Cloud pada langkah ini.

Metadata resource

Uji Konektivitas menampilkan metadata berikut untuk konfigurasi resource Google Cloud yang diperiksa.

Nama metadata Deskripsi
EndpointInfo Endpoint yang digunakan untuk pengujian. Uji Konektivitas mendapatkan EndpointInfo dari endpoint sumber dan tujuan serta memvalidasi informasi menggunakan model untuk bidang data.
FirewallInfo Metadata yang terkait dengan aturan firewall.
ForwardingRuleInfo Metadata yang terkait dengan aturan penerusan VPC.
InstanceInfo Metadata yang terkait dengan instance VM Compute Engine.
LoadBalancerInfo Metadata yang terkait dengan load balancer Google Cloud.
NetworkInfo Metadata yang terkait dengan jaringan VPC.
RouteInfo Metadata yang terkait dengan rute jaringan VPC.
AppEngineVersionInfo Metadata yang terkait dengan versi layanan lingkungan standar App Engine.
CloudRunRevisionInfo Metadata yang terkait dengan revisi Cloud Run.
CloudFunctionInfo Metadata yang terkait dengan fungsi Cloud Run.
VpcConnectorInfo Metadata yang terkait dengan konektor Akses VPC Serverless.

Langkah selanjutnya