Analisis konfigurasi Uji Konektivitas melalui serangkaian status pengujian saat memeriksa konfigurasi setiap resource Google Cloud di jalur jaringan dari sumber yang ditetapkan ke tujuan yang ditetapkan. Gunakan referensi ini untuk menafsirkan status ini.
Untuk mengetahui informasi selengkapnya tentang Uji Konektivitas, termasuk detail tentang analisis data plane langsung, lihat ringkasan.
Status pengujian
Analisis konfigurasi Uji Konektivitas memberikan data untuk status pengujian berikut dalam urutan yang tercantum:
- Status awal
- Status pemeriksaan konfigurasi
- Status penerusan
- Status transisi
- Status khusus
- Status final
- Hasil jangkauan secara keseluruhan
Beberapa status ini muncul di setiap rekaman aktivitas, sementara status lainnya hanya muncul saat menguji konfigurasi resource Google Cloud tertentu atau saat melakukan tugas tertentu.
Status akhir dan hasil keterjangkauan secara keseluruhan memberikan output pengujian yang paling penting.
Selain itu, output pengujian dapat menyertakan metadata untuk resource Google Cloud yang dikaitkan dengan satu atau beberapa status; misalnya, informasi tentang nama dan alamat IP instance virtual machine (VM).
Cara analisis konfigurasi mengevaluasi keterjangkauan
Analisis konfigurasi menyimulasikan paket pengujian melalui jalur jaringan dengan memverifikasi konfigurasi untuk resource Google Cloud di jalur tersebut. Beberapa contoh konfigurasi jaringan yang tidak valid adalah aturan penerusan Cloud Load Balancing yang tidak memiliki backend atau rute jaringan yang tidak ada.
Selama status pemeriksaan konfigurasi, Uji Konektivitas mengumpulkan informasi tentang rute jaringan seperti rute yang dikonfigurasi pengguna, rute dinamis berdasarkan iklan BGP, atau rute berbasis kebijakan. Analisis konfigurasi kemudian memilih rute jaringan berdasarkan kemungkinan penerapan dan urutan.
Untuk status pemeriksaan konfigurasi, verified berarti Uji Konektivitas mengonfirmasi bahwa konfigurasi untuk resource Google Cloud yang diuji valid. Konfigurasi ini memungkinkan
paket pengujian simulasi untuk melanjutkan melalui jalur jaringan yang sedang diuji.
Untuk aturan firewall masuk dan keluar, verified
berarti analisis konfigurasi mengonfirmasi bahwa aturan firewall valid.
Aturan firewall mengizinkan paket pengujian simulasi untuk diteruskan.
Jika Pengujian Konektivitas menentukan bahwa konfigurasi tidak valid,
paket memiliki status akhir Drop.
Hasil jangkauan secara keseluruhan
Analisis konfigurasi memberikan ringkasan keseluruhan status keterjangkauan, juga dikenal sebagai hasil. Hasil dapat memiliki salah satu dari empat nilai:
Reachable, Unreachable, Ambiguous, dan Undetermined.
Tabel nilai
Tabel berikut menjelaskan nilai untuk setiap jenis hasil keterjangkauan keseluruhan.
| Hasil jangkauan secara keseluruhan | Deskripsi |
|---|---|
Reachable |
Ada dua kemungkinan skenario. Dalam kedua skenario tersebut,
Uji Konektivitas tidak menemukan masalah konfigurasi apa pun.
Dengan demikian, kedua skenario tersebut dianggap sebagai Reachable.
|
Unreachable |
Paket yang berasal dari sumber diperkirakan akan dihapus sebelum
mencapai tujuannya. Status akhir semua rekaman aktivitas adalah
Drop. |
Ambiguous |
Hasil ini ditampilkan jika endpoint sumber dan tujuan tidak
mengidentifikasi lokasi pengujian secara unik di jaringan, dan hasil
keterjangkauan secara keseluruhan berisi beberapa rekaman aktivitas dengan status
Dalam hal ini, status akhir di antara beberapa rekaman aktivitas menampilkan status akhir yang berbeda. Hasil |
Undetermined |
Jangkauan tidak dapat ditentukan. Status akhir untuk satu rekaman aktivitas
adalah Jangkauan dari sumber ke tujuan tidak dapat ditentukan karena salah satu alasan berikut:
|
Beberapa rekaman aktivitas
Setiap analisis konfigurasi dapat berisi beberapa rekaman aktivitas, dan
status akhir rekaman aktivitas ini mungkin tidak sama. Misalnya, paket ke VIP untuk load balancer Google Cloud mungkin memiliki n rekaman aktivitas jika ada n instance VM backend yang dikonfigurasi untuk load balancer. Rekaman aktivitas n ini
mungkin tidak memiliki status akhir yang sama.
Karena analisis dapat menghasilkan beberapa kemungkinan rekaman aktivitas, hal berikut berlaku:
- Jika hanya ada satu hasil rekaman aktivitas, hasil keterjangkauan keseluruhan akan sama dengan status akhir rekaman aktivitas.
- Jika ada beberapa hasil rekaman aktivitas, hasil keterjangkauan keseluruhan dihitung berdasarkan distribusi status akhir yang terdapat dalam semua rekaman aktivitas.
Metadata hasil
Selain hasil keterjangkauan keseluruhan untuk rekaman aktivitas, setiap hasil pengujian berisi metadata berikut:
- Waktu status pengujian untuk pengujian diverifikasi
- Detail error kegagalan atau pembatalan pengujian
- Detail trace untuk setiap trace
Detail error kegagalan atau pembatalan pengujian ditampilkan sebagai kode dan pesan
yang ditampilkan dalam keseluruhan hasil keterjangkauan. Misalnya, pengujian dengan
status akhir Abort mungkin menampilkan pesan error seperti
Failed to pull initial config. An internal error occurred.
Status awal
Selama status awal, analisis konfigurasi menyimulasikan dimulai dari endpoint jaringan.
| Pesan | Deskripsi |
|---|---|
START_FROM_INSTANCE |
Paket berasal dari instance Compute Engine.
Metadata InstanceInfo diisi oleh Uji Konektivitas. |
START_FROM_INTERNET |
Paket berasal dari internet.
Metadata EndpointInfo diisi oleh Uji Konektivitas. |
START_FROM_PRIVATE_NETWORK |
Paket berasal dari jaringan VPC atau jaringan lokal dengan alamat IP sumber internal. Jika sumbernya adalah jaringan VPC yang terlihat oleh pengguna, metadata NetworkInfo akan diisi dengan detail jaringan oleh Uji Konektivitas. |
START_FROM_CLOUD_FUNCTION |
Paket berasal dari fungsi Cloud Run.
Metadata CloudFunctionInfo diisi oleh Uji Konektivitas. |
START_FROM_CLOUD_RUN_REVISION |
Paket berasal dari revisi layanan Cloud Run.
Metadata CloudRunRevisionInfo diisi oleh Uji Konektivitas. |
START_FROM_APP_ENGINE_VERSION |
Paket berasal dari versi layanan lingkungan standar App Engine.
Metadata AppEngineVersionInfo
diisi oleh Uji Konektivitas. |
Status final
Ada empat status akhir: Drop, Abort,
Forward, dan Deliver. Setiap
bagian berikut memiliki tabel yang berisi pesan dan deskripsi untuk setiap
status.
Lepaskan
Uji Konektivitas menghapus paket pengujian simulasi karena target pengujian tidak dapat dijangkau karena alasan berikut.
| Pesan | Deskripsi |
|---|---|
UNKNOWN_EXTERNAL_ADDRESS |
Alamat eksternal tujuan tidak dapat diselesaikan menjadi target yang diketahui. |
FOREIGN_IP_DISALLOWED |
Instance VM hanya dapat mengirim atau menerima paket dengan alamat IP asing jika ip_forward diaktifkan. Dengan kata lain, alamat IP asing gagal dalam pemeriksaan spoof. |
FIREWALL_RULE |
Dihentikan karena aturan firewall, kecuali jika diizinkan karena pelacakan koneksi. Uji Konektivitas mungkin menolak paket pengujian karena paket tersebut cocok dengan aturan firewall pemblokir. Namun, paket data yang sebenarnya mungkin mengizinkan paket tersebut karena pelacakan koneksi pada aturan firewall. Pelacakan koneksi memungkinkan paket untuk koneksi yang ada ditampilkan meskipun ada aturan firewall. |
NO_ROUTE |
Dihentikan karena tidak ada rute. |
ROUTE_BLACKHOLE |
Dihapus karena next hop rute yang cocok tidak ada. |
ROUTE_WRONG_NETWORK |
Paket dikirim ke jaringan yang salah (tidak diinginkan), seperti yang ditunjukkan dalam Mendeteksi konfigurasi yang tidak valid atau tidak konsisten. |
PRIVATE_TRAFFIC_TO_INTERNET |
Paket dengan alamat tujuan internal dikirim ke gateway internet. |
PRIVATE_GOOGLE_ACCESS_DISALLOWED |
Instance VM yang hanya memiliki alamat IP internal mencoba mengakses Google API atau layanan Google, tetapi Akses Google Pribadi tidak diaktifkan. |
NO_EXTERNAL_ADDRESS |
Instance VM yang hanya memiliki alamat IP internal mencoba mengakses host eksternal melalui rute yang next hop-nya adalah gateway internet default. Diharapkan jika Cloud NAT tidak diaktifkan di subnet atau jika tidak ada rute default lain yang menggunakan jenis next hop yang berbeda (seperti VM proxy). |
UNKNOWN_INTERNAL_ADDRESS |
Alamat internal tujuan tidak dapat diselesaikan menjadi target yang diketahui. |
FORWARDING_RULE_MISMATCH |
Protokol dan port aturan penerusan tidak cocok dengan header paket, atau paket tidak berasal dari atau tidak diarahkan ke region yang sama dengan load balancer regional. |
FORWARDING_RULE_NO_INSTANCES |
Backend aturan penerusan belum dikonfigurasi. |
FIREWALL_BLOCKING_LOAD_BALANCER_BACKEND_HEALTH_CHECK |
Aturan firewall memblokir pemeriksaan health check ke backend dan menyebabkan backend tidak tersedia untuk traffic dari load balancer. Sebagai bagian dari urutan pengujiannya untuk Cloud Load Balancing, analisis konfigurasi memverifikasi bahwa aturan firewall yang ada telah dikonfigurasi untuk mengizinkan paket pemeriksaan health check dikirim ke backend Cloud Load Balancing. Pemeriksaan konfigurasi ini menghasilkan |
INSTANCE_NOT_RUNNING |
Paket dikirim dari atau ke instance VM yang tidak dalam status berjalan. |
TRAFFIC_TYPE_BLOCKED |
Jenis traffic diblokir dan pengguna tidak dapat mengonfigurasi aturan firewall untuk mengaktifkannya. Untuk mengetahui detailnya, lihat Traffic yang selalu diblokir. |
GKE_MASTER_UNAUTHORIZED_ACCESS |
Akses ke endpoint bidang kontrol Google Kubernetes Engine tidak diizinkan. Untuk mengetahui detailnya, lihat Akses ke endpoint cluster. |
DROPPED_INSIDE_GKE_SERVICE |
Paket dihentikan di dalam layanan Google Kubernetes Engine. |
CLOUD_SQL_INSTANCE_UNAUTHORIZED_ACCESS |
Akses ke endpoint instance Cloud SQL tidak diizinkan. Untuk mengetahui detailnya, lihat Memberikan otorisasi dengan jaringan resmi. |
DROPPED_INSIDE_CLOUD_SQL_SERVICE |
Paket dihentikan di dalam layanan Cloud SQL. |
GOOGLE_MANAGED_SERVICE_NO_PEERING |
Paket dihapus karena tidak ada peering antara jaringan asal dan jaringan layanan terkelola Google. |
CLOUD_SQL_INSTANCE_NO_IP_ADDRESS |
Paket dihapus karena instance Cloud SQL tidak memiliki alamat IP pribadi maupun publik. |
PSC_CONNECTION_NOT_ACCEPTED |
Paket dihapus karena koneksi ke layanan yang dipublikasikan yang menggunakan Private Service Connect tidak diterima. |
CLOUD_FUNCTION_NOT_ACTIVE |
Paket dihapus karena fungsi Cloud Run tidak aktif. |
VPC_CONNECTOR_NOT_SET |
Paket dihapus karena layanan lingkungan standar App Engine, fungsi Cloud Run, atau revisi Cloud Run tidak memiliki konektor Akses VPC Serverless yang dikonfigurasi. |
VPC_CONNECTOR_NOT_RUNNING |
Paket dihapus karena konektor Akses VPC Serverless tidak berjalan. |
CLOUD_RUN_REVISION_NOT_READY |
Paket dihapus karena revisi Cloud Run belum siap dan tidak dapat menyalurkan traffic. |
Batalkan
Analisis konfigurasi dihentikan karena kurangnya informasi dasar, seperti kurangnya akses ke konfigurasi jaringan.
Status ini biasanya terjadi saat Uji Konektivitas tidak memiliki izin yang benar untuk mendapatkan konfigurasi dari project host untuk project layanan, seperti yang ditunjukkan dalam tabel berikut.
| Pesan | Deskripsi |
|---|---|
UNKNOWN_NETWORK |
Dibatalkan karena jaringan tidak diketahui. Analisis tidak dapat dilanjutkan karena, dalam jaringan VPC Bersama, pengguna yang menjalankan pengujian tidak memiliki akses ke konfigurasi jaringan project host, termasuk aturan dan rute firewall. Untuk menjalankan Pengujian Konektivitas, pengguna yang menjalankan pengujian harus dapat membaca konfigurasi untuk resource seperti rute di project host. Hal ini terjadi karena resource jaringan dialokasikan di project host, tetapi resource sebenarnya ada di project layanan. |
UNKNOWN_IP |
Analisis dibatalkan karena alamat IP yang diperlukan untuk analisis tidak diketahui. Hal ini disebabkan oleh input pengguna yang salah, atau analisis konfigurasi tidak dapat menentukan endpoint yang valid berdasarkan parameter input yang diberikan. Di jaringan VPC Bersama, pengguna yang menjalankan pengujian tidak memiliki akses ke konfigurasi jaringan project host. Akses ini diperlukan untuk pengujian terhadap alamat IP di project layanan. |
UNKNOWN_PROJECT |
Analisis dibatalkan karena tidak ada informasi project yang dapat diperoleh dari input ke Pengujian Konektivitas. Hal ini disebabkan oleh input pengguna yang salah atau, berdasarkan parameter input yang diberikan, analisis tidak dapat menentukan project yang valid. |
PERMISSION_DENIED |
Analisis dibatalkan karena pengguna tidak memiliki izin untuk mengakses semua atau sebagian konfigurasi jaringan yang diperlukan untuk menjalankan pengujian. |
NO_SOURCE_LOCATION |
Analisis dibatalkan karena tidak ada endpoint sumber yang valid yang dapat diperoleh dari input pengujian. Hal ini disebabkan oleh input pengguna yang salah atau, berdasarkan parameter input yang diberikan, analisis tidak dapat menentukan endpoint sumber yang valid. |
INVALID_ARGUMENT |
Analisis dibatalkan karena endpoint sumber dan/atau tujuan yang ditentukan dalam input pengujian tidak valid. Kemungkinan alasan pesan ini mencakup hal berikut:
|
NO_EXTERNAL_IP |
Analisis dibatalkan karena traffic dikirim dari alamat IP publik ke instance VM yang tidak memiliki alamat IP eksternal. |
UNINTENDED_DESTINATION |
Analisis dibatalkan karena tidak ada trace yang dapat cocok dengan informasi tujuan yang ditentukan dalam input pengujian. |
TRACE_TOO_LONG |
Analisis dibatalkan karena jumlah langkah dalam rekaman aktivitas melebihi batas tertentu. Masalah ini mungkin disebabkan oleh loop pemilihan rute. |
INTERNAL_ERROR |
Dibatalkan karena terjadi error server internal. |
SOURCE_ENDPOINT_NOT_FOUND |
Dibatalkan karena endpoint sumber tidak dapat ditemukan. |
MISMATCHED_SOURCE_NETWORK |
Dibatalkan karena jaringan sumber tidak cocok dengan endpoint sumber. |
DESTINATION_ENDPOINT_NOT_FOUND |
Dibatalkan karena endpoint tujuan tidak dapat ditemukan. |
MISMATCHED_DESTINATION_NETWORK |
Dibatalkan karena jaringan tujuan tidak cocok dengan endpoint tujuan. |
Meneruskan
Analisis berhenti di endpoint tertentu dan tidak dapat dilanjutkan:
- Analisis ini sebagian selesai berdasarkan konfigurasi tempat pengguna memiliki izin.
- Paket pengujian diteruskan ke jaringan dengan konfigurasi yang tidak diketahui.
- Target pengujian belum dihapus sesuai dengan konfigurasi yang diketahui, dan paket pengujian telah diteruskan ke jaringan tempat Uji Konektivitas tidak memiliki visibilitas.
| Pesan | Diteruskan |
|---|---|
PEERING_VPC |
Ke jaringan VPC peer |
VPN_GATEWAY |
Ke gateway Cloud VPN |
INTERCONNECT |
Ke koneksi Cloud Interconnect |
GKE_MASTER |
Ke bidang kontrol GKE |
IMPORTED_CUSTOM_ROUTE_NEXT_HOP |
Ke next hop rute kustom yang diimpor dari jaringan VPC yang di-peering |
CLOUD_SQL_INSTANCE |
Ke instance Cloud SQL |
Sampaikan
Analisis dapat mencapai target dan mengirimkan paket pengujian simulasi.
Status akhir Deliver tidak menjamin bahwa traffic dapat melewati
data plane. Tujuan analisis ini adalah untuk memvalidasi masalah konfigurasi
yang mungkin menyebabkan penurunan traffic.
| Pesan | Target |
|---|---|
INSTANCE |
Instance VM Compute Engine |
INTERNET |
Internet |
GOOGLE_API |
Google API |
GKE_MASTER |
Bidang kontrol GKE |
CLOUD_SQL_INSTANCE |
Instance Cloud SQL |
PSC_GOOGLE_API |
Semua Google API dan layanan yang menggunakan Private Service Connect |
PSC_VPC_SC |
Kontrol Layanan VPC yang menggunakan Private Service Connect |
PSC_PUBLISHED_SERVICE |
Layanan yang dipublikasikan yang menggunakan Private Service Connect |
Metadata
Analisis konfigurasi menampilkan metadata berikut untuk status akhir.
| Nama metadata | Deskripsi |
|---|---|
AbortInfo |
Penyebab status akhir Abort dan URI resource yang
menyebabkan status tersebut. |
DropInfo |
Penyebab status akhir Drop dan URI resource yang
menyebabkan status tersebut. |
ForwardInfo |
Jenis target dan URI resource target yang akhirnya menjadi tujuan
penerusan paket pengujian (status akhir Forward). |
Negara bagian lainnya
Sebelum mencapai salah satu status akhir, paket pengujian akan melalui status perantara berikut: status pemeriksaan konfigurasi, status penerusan, status transisi, dan status khusus.
Status pemeriksaan konfigurasi
Selama status pemeriksaan konfigurasi, Uji Konektivitas memeriksa konfigurasi resource Google Cloud di jalur jaringan yang disimulasikan, memverifikasi bahwa konfigurasi resource valid, dan memverifikasi bahwa konfigurasi memungkinkan paket pengujian simulasi untuk melanjutkan melalui jalur jaringan.
Jika diperlukan, analisis konfigurasi akan melakukan pemeriksaan spoof.
| Pesan | Deskripsi |
|---|---|
APPLY_INGRESS_FIREWALL_RULE |
Aturan firewall masuk yang diverifikasi. |
APPLY_EGRESS_FIREWALL_RULE |
Aturan firewall keluar yang diverifikasi. |
APPLY_ROUTE |
Rute terverifikasi. |
APPLY_FORWARDING_RULE |
Aturan penerusan yang cocok. |
SPOOFING_APPROVED |
Paket dikirim atau diterima berdasarkan alamat IP asing, tetapi diizinkan. Untuk mengetahui detailnya, lihat pemeriksaan spoofing. |
Status penerusan
Selama status penerusan, Uji Konektivitas menyimulasikan paket yang tiba di resource Google Cloud perantara di jalur pengujian (misalnya, paket yang tiba di gateway Cloud VPN atau load balancer Google Cloud).
| Pesan | Deskripsi |
|---|---|
ARRIVE_AT_INSTANCE |
Tiba di instance VM Compute Engine. |
ARRIVE_AT_INTERNAL_LOAD_BALANCER |
Tiba di load balancer Google Cloud yang menggunakan alamat IP pribadi sebagai VIP. |
ARRIVE_AT_EXTERNAL_LOAD_BALANCER |
Tiba di alamat IP publik load balancer Google Cloud. |
ARRIVE_AT_VPN_GATEWAY |
Tiba di gateway Cloud VPN. |
ARRIVE_AT_VPN_TUNNEL |
Tiba di tunnel Cloud VPN. |
ARRIVE_AT_VPC_CONNECTOR |
Telah sampai di konektor Akses VPC Serverless. |
Status transisi
Selama status transisi, Uji Konektivitas memverifikasi konfigurasi simulasi tempat paket diubah (misalnya, saat Cloud NAT menerjemahkan header paket, atau saat proxy load balancing Google Cloud menghentikan dan memulai ulang sesi TCP masuk ke instance VM).
| Pesan | Deskripsi |
|---|---|
NAT |
Header paket diterjemahkan. |
PROXY_CONNECTION |
Koneksi asli dihentikan, dan koneksi proxy baru dimulai. |
Status khusus
Dalam status ini, penampil pengujian tidak memiliki izin untuk melihat satu atau beberapa resource Google Cloud. Untuk mengetahui informasi selengkapnya, lihat Menguji izin.
| Nama metadata | Deskripsi |
|---|---|
VIEWER_PERMISSION_MISSING |
Pelihat hasil pengujian tidak memiliki izin untuk melihat konfigurasi untuk resource Google Cloud pada langkah ini. |
Metadata resource
Uji Konektivitas menampilkan metadata berikut untuk konfigurasi resource Google Cloud yang diperiksa.
| Nama metadata | Deskripsi |
|---|---|
EndpointInfo |
Endpoint yang digunakan untuk pengujian. Uji Konektivitas
mendapatkan EndpointInfo dari endpoint sumber dan tujuan
serta memvalidasi informasi menggunakan model untuk bidang data. |
FirewallInfo |
Metadata yang terkait dengan aturan firewall. |
ForwardingRuleInfo |
Metadata yang terkait dengan aturan penerusan VPC. |
InstanceInfo |
Metadata yang terkait dengan instance VM Compute Engine. |
LoadBalancerInfo |
Metadata yang terkait dengan load balancer Google Cloud. |
NetworkInfo |
Metadata yang terkait dengan jaringan VPC. |
RouteInfo |
Metadata yang terkait dengan rute jaringan VPC. |
AppEngineVersionInfo |
Metadata yang terkait dengan versi layanan lingkungan standar App Engine. |
CloudRunRevisionInfo |
Metadata yang terkait dengan revisi Cloud Run. |
CloudFunctionInfo |
Metadata yang terkait dengan fungsi Cloud Run. |
VpcConnectorInfo |
Metadata yang terkait dengan konektor Akses VPC Serverless. |