Uma análise da configuração do teste de conetividade passa por uma série de estados de teste à medida que verifica a configuração de cada recurso num caminho de rede de uma origem designada para um destino designado. Google Cloud Use esta referência para interpretar estes estados.
Para mais informações acerca dos testes de conetividade, incluindo detalhes sobre a análise do plano de dados em direto, consulte a vista geral.
Estados de teste
Uma análise da configuração do teste de conetividade fornece dados para os seguintes estados de teste pela ordem apresentada:
- Estado inicial
- Estado da verificação da configuração
- Estado de encaminhamento
- Estado de transição
- Estado especial
- Estado final
- Resultado geral da acessibilidade
Alguns destes estados aparecem em todos os rastreios, enquanto outros só aparecem quando testa a configuração de um Google Cloud recurso específico ou quando realiza uma determinada tarefa.
O estado final e o resultado geral da acessibilidade fornecem o resultado do teste mais importante.
Além disso, o resultado do teste pode incluir metadados para Google Cloud recursos associados a um ou mais dos estados; por exemplo, informações sobre o nome e o endereço IP de uma instância de máquina virtual (VM).
Como a análise da configuração avalia a acessibilidade
A análise da configuração simula um pacote de teste através de um caminho de rede, verificando as configurações dos recursos nesse caminho. Google Cloud Alguns exemplos de configurações de rede inválidas são uma regra de encaminhamento do Cloud Load Balancing que não tem back-ends ou uma rota de rede que não existe.
Durante o estado de verificação da configuração, os testes de conectividade recolhem informações sobre as rotas de rede, como rotas configuradas pelo utilizador, rotas dinâmicas baseadas em anúncios BGP ou rotas baseadas em políticas. Em seguida, a análise da configuração escolhe uma rota de rede com base na aplicabilidade e na ordem.
Para o estado de verificação da configuração, verified significa que os testes de conetividade confirmam que uma configuração para o recursoGoogle Cloud testado é válida. A configuração permite que o pacote de teste simulado continue através do caminho de rede que está a ser testado.
Para regras de firewall de entrada e saída, verified
significa que a análise de configuração confirma que a regra de firewall é válida.
A regra de firewall permite a passagem do pacote de teste simulado.
Se os testes de conetividade determinarem que uma configuração é inválida, o pacote tem um estado final de Drop.
Resultado geral da acessibilidade
A análise da configuração fornece um resumo geral do estado de acessibilidade, também conhecido como resultado. Os resultados podem ter um de quatro valores:
Reachable, Unreachable, Ambiguous e Undetermined.
Tabela de valores
A tabela seguinte descreve o valor de cada tipo de resultado de acessibilidade geral.
| Resultado geral da acessibilidade | Descrição |
|---|---|
Reachable |
Existem dois cenários possíveis. Em ambos os cenários,
os testes de conetividade não encontram problemas de configuração.
Assim, ambos os cenários são considerados Reachable.
|
Unreachable |
Espera-se que o pacote originário da origem seja rejeitado antes de
atingir o destino. O estado final de todos os rastreios é
Drop. |
Ambiguous |
Este resultado é devolvido se os pontos finais de origem e destino não identificarem exclusivamente a localização do teste na rede e o resultado de acessibilidade geral contiver várias rastreios com estados Neste caso, os estados finais entre vários rastreios devolvem estados finais diferentes. O resultado |
Undetermined |
Não foi possível determinar a acessibilidade. O estado final de um rastreio
é Não é possível determinar a acessibilidade da origem ao destino por um dos seguintes motivos:
|
Vários rastreios
Cada análise de configuração pode conter vários rastreios e o estado final destes rastreios pode não ser o mesmo. Por exemplo, um pacote para o VIP de um balanceador de carga pode ter n rastreios se existirem n instâncias de VM de back-end configuradas para o balanceador de carga. Google Cloud Estes rastreios n podem não ter os mesmos estados finais.
Uma vez que uma análise pode produzir várias associações possíveis, o seguinte é verdadeiro:
- Se existir apenas um resultado de rastreio, o resultado geral da acessibilidade é o mesmo que o estado final do rastreio.
- Se existirem vários resultados de rastreio, o resultado geral da acessibilidade é calculado com base na distribuição dos estados finais contidos em todos os rastreios.
Metadados dos resultados
Além do resultado geral da acessibilidade para rastreios, cada resultado do teste contém os seguintes metadados:
- A hora em que o estado de teste do teste foi validado
- Detalhes do erro de uma falha ou cancelamento de teste
- Detalhes do rastreio para cada rastreio
Os detalhes dos erros de uma falha ou um cancelamento de teste são apresentados como códigos e mensagens
apresentados no resultado geral da acessibilidade. Por exemplo, um teste com um estado final de Abort pode apresentar uma mensagem de erro, como Failed to pull initial config. An internal error occurred.
Estado inicial
Durante o estado inicial, a análise da configuração simula o início a partir de um ponto final de rede.
| Mensagem | Descrição |
|---|---|
START_FROM_INSTANCE |
O pacote teve origem numa instância do Compute Engine.
Os metadados InstanceInfo foram
preenchidos pelos testes de conetividade. |
START_FROM_INTERNET |
O pacote teve origem na Internet.
Os metadados EndpointInfo foram
preenchidos pelos testes de conetividade. |
START_FROM_PRIVATE_NETWORK |
O pacote teve origem numa rede VPC ou numa rede local com um endereço IP de origem interno. Se a origem
era uma rede VPC visível para o utilizador, os metadados
NetworkInfo foram preenchidos com detalhes da rede pelos testes de conectividade. |
START_FROM_CLOUD_FUNCTION |
O pacote teve origem numa função do Cloud Run.
Os metadados CloudFunctionInfo foram
preenchidos pelos testes de conetividade. |
START_FROM_CLOUD_RUN_REVISION |
O pacote teve origem numa revisão de um serviço do Cloud Run.
Os metadados CloudRunRevisionInfo foram
preenchidos pelos testes de conetividade. |
START_FROM_APP_ENGINE_VERSION |
O pacote teve origem numa versão de um serviço do ambiente padrão do App Engine.
Os metadados AppEngineVersionInfo foram preenchidos pelos testes de conetividade. |
Estado final
Existem quatro estados finais: Drop, Abort,
Forward e Deliver. Cada uma das secções seguintes tem uma tabela que contém mensagens e descrições para cada estado.
Largar
Os testes de conetividade rejeitaram o pacote de teste simulado porque o destino de teste estava inacessível pelos seguintes motivos.
| Mensagem | Descrição |
|---|---|
UNKNOWN_EXTERNAL_ADDRESS |
Não é possível resolver o endereço externo de destino para um destino conhecido. |
FOREIGN_IP_DISALLOWED |
A instância de VM só pode enviar ou receber um pacote com um endereço IP estrangeiro se o ip_forward estiver ativado. Por outras palavras, o endereço IP estrangeiro falhou numa verificação de roubo de identidade. |
FIREWALL_RULE |
Descartado devido a uma regra de firewall, a menos que seja permitido devido ao registo de ligações. Os testes de conetividade podem recusar um pacote de teste porque o pacote corresponde a uma regra de firewall de bloqueio. No entanto, o plano de dados real pode permitir a passagem do pacote devido ao acompanhamento de ligações na regra da firewall. A monitorização de ligações permite que os pacotes de uma ligação existente sejam devolvidos apesar da regra da firewall. |
NO_ROUTE |
Ignorado devido à inexistência de trajetos. |
ROUTE_BLACKHOLE |
Descartado porque o próximo salto do trajeto correspondente não existe. |
ROUTE_WRONG_NETWORK |
O pacote foi enviado para a rede errada (não pretendida), conforme mostrado em Detetar configurações inválidas ou inconsistentes. |
PRIVATE_TRAFFIC_TO_INTERNET |
Foi enviado um pacote com um endereço de destino interno para um gateway de Internet. |
PRIVATE_GOOGLE_ACCESS_DISALLOWED |
Uma instância de VM com apenas um endereço IP interno tentou aceder a uma API Google ou a um serviço Google, mas o acesso privado à Google não estava ativado. |
NO_EXTERNAL_ADDRESS |
Uma instância de VM com apenas um endereço IP interno tentou aceder a anfitriões externos através de uma rota cujo próximo salto é a gateway de Internet predefinida. Esperado quando o Cloud NAT não está ativado na sub-rede ou quando não existe outra rota predefinida que use um tipo diferente de próximo salto (como uma VM de proxy). |
UNKNOWN_INTERNAL_ADDRESS |
Não foi possível resolver um endereço interno de destino para um destino conhecido. |
FORWARDING_RULE_MISMATCH |
O protocolo e as portas de uma regra de encaminhamento não correspondiam ao cabeçalho do pacote, ou o pacote não tem origem nem se destina à mesma região que o equilibrador de carga regional. |
FORWARDING_RULE_NO_INSTANCES |
Uma regra de encaminhamento não tinha back-ends configurados. |
FIREWALL_BLOCKING_LOAD_BALANCER_BACKEND_HEALTH_CHECK |
Uma regra de firewall bloqueou as sondas de verificação de funcionamento para os back-ends e fez com que os back-ends ficassem indisponíveis para o tráfego do balanceador de carga. Como parte da respetiva sequência de testes para o Cloud Load Balancing,
a análise da configuração verifica se as regras de firewall existentes foram configuradas para permitir que um pacote de sondagem de verificação de funcionamento seja enviado para os back-ends do Cloud Load Balancing. Esta verificação de configuração resulta num |
INSTANCE_NOT_RUNNING |
Foi enviado um pacote de ou para uma instância de VM que não estava num estado de execução. |
TRAFFIC_TYPE_BLOCKED |
O tipo de tráfego foi bloqueado e o utilizador não conseguiu configurar uma regra de firewall para o ativar. Para ver detalhes, consulte a secção Tráfego sempre bloqueado. |
GKE_MASTER_UNAUTHORIZED_ACCESS |
O acesso ao ponto final do plano de controlo do Google Kubernetes Engine não foi autorizado. Para ver detalhes, consulte a secção Aceder aos pontos finais do cluster. |
DROPPED_INSIDE_GKE_SERVICE |
Um pacote foi rejeitado no serviço Google Kubernetes Engine. |
CLOUD_SQL_INSTANCE_UNAUTHORIZED_ACCESS |
O acesso ao ponto final da instância do Cloud SQL não está autorizado. Para ver detalhes, consulte o artigo Autorizar com redes autorizadas. |
DROPPED_INSIDE_CLOUD_SQL_SERVICE |
Um pacote foi rejeitado no serviço Cloud SQL. |
GOOGLE_MANAGED_SERVICE_NO_PEERING |
Um pacote foi rejeitado porque não existe peering entre a rede de origem e a rede de serviços gerida pela Google. |
CLOUD_SQL_INSTANCE_NO_IP_ADDRESS |
Um pacote foi rejeitado porque a instância do Cloud SQL não tem um endereço IP privado nem público. |
PSC_CONNECTION_NOT_ACCEPTED |
Um pacote foi rejeitado porque a ligação ao serviço publicado que usa o Private Service Connect não é aceite. |
CLOUD_FUNCTION_NOT_ACTIVE |
Um pacote foi rejeitado porque a função do Cloud Run não está ativa. |
VPC_CONNECTOR_NOT_SET |
Um pacote foi rejeitado porque o serviço do ambiente padrão do App Engine, a função do Cloud Run ou a revisão do Cloud Run não têm um conector do acesso VPC sem servidor configurado. |
VPC_CONNECTOR_NOT_RUNNING |
Um pacote foi rejeitado porque o conetor do Acesso a VPC sem servidor não está em execução. |
CLOUD_RUN_REVISION_NOT_READY |
Um pacote foi rejeitado porque a revisão do Cloud Run não está pronta e não pode publicar tráfego. |
Interromper
A análise da configuração foi interrompida devido à falta de informações básicas, como a falta de acesso à configuração de rede.
Normalmente, este estado ocorre quando os testes de conetividade não têm as autorizações corretas para obter a configuração do projeto anfitrião para um projeto de serviço, conforme mostrado na tabela seguinte.
| Mensagem | Descrição |
|---|---|
UNKNOWN_NETWORK |
Interrompido devido a uma rede desconhecida. Não é possível continuar com a análise porque, numa rede de VPC partilhada, o utilizador que executa o teste não tem acesso às configurações de rede do projeto anfitrião, incluindo regras de firewall e rotas. A execução de um teste de conetividade requer que o utilizador que executa o teste possa ler as configurações de recursos, como trajetos no projeto anfitrião. Isto acontece porque os recursos de rede são atribuídos no projeto anfitrião, mas os recursos reais existem no projeto de serviço. |
UNKNOWN_IP |
A análise foi interrompida porque os endereços IP necessários para a análise eram desconhecidos. Isto deve-se a uma entrada incorreta do utilizador ou a análise de configuração não conseguiu determinar um ponto final válido com base nos parâmetros de entrada fornecidos. Numa rede de VPC partilhada, o utilizador que executou o teste não tinha acesso às configurações de rede do projeto anfitrião. Este acesso é necessário para testar em relação a endereços IP no projeto de serviço. |
UNKNOWN_PROJECT |
A análise foi anulada porque não foi possível obter informações do projeto a partir da entrada para o teste de conetividade. Isto deve-se a uma entrada do utilizador incorreta ou, com base nos parâmetros de entrada fornecidos, a análise não conseguiu determinar um projeto válido. |
PERMISSION_DENIED |
A análise foi anulada porque o utilizador não tinha autorização para aceder a todas ou a parte das configurações de rede necessárias para executar o teste. |
NO_SOURCE_LOCATION |
A análise foi anulada porque não foi possível obter um ponto final de origem válido a partir da entrada de teste. Isto deve-se à introdução incorreta de dados pelo utilizador ou, com base nos parâmetros de entrada fornecidos, a análise não conseguiu determinar um ponto final de origem válido. |
INVALID_ARGUMENT |
A análise foi anulada porque o ponto final de origem e/ou destino especificado na entrada de teste era inválido. Os possíveis motivos para esta mensagem incluem o seguinte:
|
NO_EXTERNAL_IP |
A análise foi anulada porque foi enviado tráfego de um endereço IP público para uma instância de VM que não tinha um endereço IP externo. |
UNINTENDED_DESTINATION |
A análise foi anulada porque nenhum dos rastreios conseguiu corresponder às informações de destino especificadas na entrada de teste. |
TRACE_TOO_LONG |
A análise foi anulada porque o número de passos no rastreio excedeu um determinado limite. Este problema pode ser causado por um ciclo de encaminhamento. |
INTERNAL_ERROR |
Abortado devido a um erro interno do servidor. |
SOURCE_ENDPOINT_NOT_FOUND |
Abortado porque não foi possível encontrar o ponto final de origem. |
MISMATCHED_SOURCE_NETWORK |
Anulado porque a rede de origem não corresponde ao ponto final de origem. |
DESTINATION_ENDPOINT_NOT_FOUND |
Anulado porque não foi possível encontrar o ponto final de destino. |
MISMATCHED_DESTINATION_NETWORK |
Anulado porque a rede de destino não corresponde ao ponto final de destino. |
Encaminhar
A análise parou num ponto final específico e não foi possível avançar mais:
- A análise está parcialmente concluída com base nas configurações em que o utilizador tem autorização.
- O pacote de teste foi encaminhado para uma rede com uma configuração desconhecida.
- O destino do teste não foi eliminado de acordo com a configuração conhecida e o pacote de teste foi encaminhado para uma rede onde os testes de conetividade não têm visibilidade.
| Mensagem | Encaminhada |
|---|---|
PEERING_VPC |
A uma rede da VPC de intercâmbio |
VPN_GATEWAY |
A um gateway do Cloud VPN |
INTERCONNECT |
A uma ligação do Cloud Interconnect |
GKE_MASTER |
Para um plano de controlo do GKE |
IMPORTED_CUSTOM_ROUTE_NEXT_HOP |
Para o próximo salto de um trajeto personalizado importado de uma rede VPC com peering |
CLOUD_SQL_INSTANCE |
Para uma instância do Cloud SQL |
Entregar
A análise conseguiu alcançar o alvo e fornecer o pacote de teste simulado.
Um estado final de Deliver não garante que o tráfego possa passar pelo
plano de dados. O objetivo da análise é validar problemas de configuração que possam causar uma queda no tráfego.
| Mensagem | Destino |
|---|---|
INSTANCE |
Uma instância de VM do Compute Engine |
INTERNET |
A Internet |
GOOGLE_API |
Uma API Google |
GKE_MASTER |
Um plano de controlo do GKE |
CLOUD_SQL_INSTANCE |
Uma instância do Cloud SQL |
PSC_GOOGLE_API |
Todas as APIs e serviços Google que usam o Private Service Connect |
PSC_VPC_SC |
VPC Service Controls que usam o Private Service Connect |
PSC_PUBLISHED_SERVICE |
Um serviço publicado que usa o Private Service Connect |
Metadados
A análise da configuração mostra os seguintes metadados para o estado final.
| Nome dos metadados | Descrição |
|---|---|
AbortInfo |
Causa de um estado final Abort e o URI do recurso que
causou esse estado. |
DropInfo |
Causa de um estado final Drop e o URI do recurso que
causou esse estado. |
ForwardInfo |
O tipo de destino e o URI do recurso de destino para o qual um pacote de teste foi finalmente encaminhado (Forwardestado final). |
Outros estados
Antes de o pacote de teste atingir um dos estados finais, passa pelos seguintes estados intermédios: estado de verificação da configuração, estado de encaminhamento, estado de transição e estado especial.
Estado da verificação da configuração
Durante o estado de verificação da configuração, os testes de conetividade verificam a configuração dos recursos no caminho da rede simulado, validam se a configuração dos recursos é válida e verificam se a configuração permite que o pacote de teste simulado continue pelo caminho da rede. Google Cloud
Se necessário, a análise da configuração faz uma verificação de spoofing.
| Mensagem | Descrição |
|---|---|
APPLY_INGRESS_FIREWALL_RULE |
Regra de firewall de entrada validada. |
APPLY_EGRESS_FIREWALL_RULE |
Regra de firewall de saída validada. |
APPLY_ROUTE |
Trajeto validado. |
APPLY_FORWARDING_RULE |
Regra de encaminhamento com correspondência. |
SPOOFING_APPROVED |
O pacote foi enviado ou recebido através de um endereço IP estrangeiro, mas foi permitido. Para obter detalhes, consulte a secção Verificação de roubo de identidade. |
Estado de encaminhamento
Durante o estado de encaminhamento, os testes de conetividade simulam um pacote a chegar a um recurso Google Cloud intermédio no caminho de testeGoogle Cloud (por exemplo, um pacote a chegar a um gateway da Cloud VPN ou a um balanceador de carga).
| Mensagem | Descrição |
|---|---|
ARRIVE_AT_INSTANCE |
Chegou a uma instância de VM do Compute Engine. |
ARRIVE_AT_INTERNAL_LOAD_BALANCER |
Chegou a um Google Cloud balanceador de carga que usa um endereço IP privado como um VIP. |
ARRIVE_AT_EXTERNAL_LOAD_BALANCER |
Chegou ao endereço IP público de um Google Cloud equilibrador de carga. |
ARRIVE_AT_VPN_GATEWAY |
Chegou a um gateway do Cloud VPN. |
ARRIVE_AT_VPN_TUNNEL |
Chegou a um túnel do Cloud VPN. |
ARRIVE_AT_VPC_CONNECTOR |
Chegou a um conetor do Acesso a VPC sem servidor. |
Estado de transição
Durante o estado de transição, os testes de conetividade validam as configurações simuladas em que um pacote é alterado (por exemplo, quando o Cloud NAT traduz um cabeçalho de pacote ou quando um Google Cloud proxy de balanceamento de carga termina e reinicia uma sessão TCP de entrada para instâncias de VM).
| Mensagem | Descrição |
|---|---|
NAT |
O cabeçalho do pacote foi traduzido. |
PROXY_CONNECTION |
A ligação original foi terminada e foi iniciada uma nova ligação com proxy. |
Estado especial
Neste estado, um visitante de teste não tem autorização para ver um ou mais Google Cloud recursos. Para mais informações, consulte o artigo Autorizações de teste.
| Nome dos metadados | Descrição |
|---|---|
VIEWER_PERMISSION_MISSING |
O visualizador do resultado do teste não tem autorização para ver a configuração do Google Cloud recurso neste passo. |
Metadados do recurso
Os testes de conetividade mostram os seguintes metadados para as Google Cloud configurações de recursos que verifica.
| Nome dos metadados | Descrição |
|---|---|
EndpointInfo |
Pontos finais usados para o teste. Os testes de conetividade
obtêm EndpointInfo dos pontos finais de origem e destino
e validam as informações através do modelo para o plano de dados. |
FirewallInfo |
Metadados associados a uma regra de firewall. |
ForwardingRuleInfo |
Metadados associados a uma regra de encaminhamento da VPC. |
InstanceInfo |
Metadados associados a uma instância de VM do Compute Engine. |
LoadBalancerInfo |
Metadados associados a um Google Cloud balanceador de carga. |
NetworkInfo |
Metadados associados a uma rede de VPC. |
RouteInfo |
Metadados associados a uma rota de rede da VPC. |
AppEngineVersionInfo |
Metadados associados a uma versão de um serviço do ambiente padrão do App Engine. |
CloudRunRevisionInfo |
Metadados associados a uma revisão do Cloud Run. |
CloudFunctionInfo |
Metadados associados a uma função do Cloud Run. |
VpcConnectorInfo |
Metadados associados a um conetor do Acesso a VPC sem servidor. |