L'analisi della configurazione di Connectivity Tests passa attraverso una serie di stati di test per verificare la configurazione di ogni risorsa Google Cloud in un percorso di rete da un'origine designata a una destinazione designata. Utilizza questo riferimento per interpretare questi stati.
Per ulteriori informazioni su Connectivity Tests, inclusi dettagli sull'analisi del piano dati in tempo reale, consulta la panoramica.
Stati di test
Un'analisi di configurazione di Connectivity Tests fornisce dati per i seguenti stati di test nell'ordine indicato:
- Stato iniziale
- Stato del controllo della configurazione
- Stato di inoltro
- Stato di transizione
- Stato speciale
- Stato finale
- Risultato complessivo relativa alla raggiungibilità
Alcuni di questi stati appaiono in ogni traccia, mentre altri vengono visualizzati solo durante il test della configurazione di una risorsa Google Cloud specifica o durante l'esecuzione di una determinata attività.
Lo stato finale e il risultato complessivo della raggiungibilità forniscono l'output di test più importante.
Inoltre, l'output di test può includere metadati per le risorse Google Cloud associate a uno o più stati, ad esempio informazioni sul nome e sull'indirizzo IP di un'istanza di macchina virtuale (VM).
In che modo l'analisi della configurazione valuta la raggiungibilità
L'analisi della configurazione simula un pacchetto di test attraverso un percorso di rete, verificando le configurazioni per le risorse Google Cloud in quel percorso. Alcuni esempi di configurazioni di rete non valide sono una regola di forwarding di Cloud Load Balancing senza backend o una route di rete che non esiste.
Durante il controllo della configurazione, Connectivity Tests raccoglie informazioni sulle route di rete come le route configurate dall'utente, quelle dinamiche o basate su annunci BGP o le route basate su criteri. L'analisi della configurazione sceglie quindi una route di rete in base ad applicabilità e ordine.
Per lo stato di controllo della configurazione, verified
significa che Connectivity Tests conferma che una configurazione per la risorsa Google Cloud testata è valida. La configurazione consente al pacchetto di test simulato di continuare attraverso il percorso di rete in fase di test.
Per le regole firewall in entrata e in uscita, verified
significa che l'analisi della configurazione conferma che la regola firewall è valida.
La regola firewall consente il passaggio del pacchetto di test simulato.
Se Connectivity Tests determina che una configurazione non è valida, lo stato finale del pacchetto è Drop
.
Risultato complessivo relativa alla raggiungibilità
L'analisi della configurazione fornisce un riepilogo generale dello
stato di raggiungibilità, anche noto come risultato. I risultati possono avere uno dei quattro valori:
Reachable
, Unreachable
, Ambiguous
e Undetermined
.
Tabella dei valori
La tabella seguente descrive il valore per ogni tipo di risultato complessivo di raggiungibilità.
Risultato complessivo relativa alla raggiungibilità | Descrizione |
---|---|
Reachable |
Gli scenari possibili sono due. In entrambi gli scenari, Connectivity Tests non ha rilevato problemi di configurazione.
Di conseguenza, entrambi gli scenari sono considerati Reachable .
|
Unreachable |
Il pacchetto proveniente dall'origine dovrebbe essere ignorato prima di raggiungere la destinazione. Lo stato finale di tutte le tracce è
Drop . |
Ambiguous |
Questo risultato viene restituito se gli endpoint di origine e di destinazione non identificano in modo univoco la località del test nella rete e il risultato complessivo della connettività contiene più tracce con stati In questo caso, gli stati finali di più tracce restituiscono stati finali diversi. Il risultato di |
Undetermined |
Impossibile determinare la raggiungibilità. Lo stato finale di una traccia
è La raggiungibilità dall'origine alla destinazione non può essere determinata per uno dei seguenti motivi:
|
Tracce multiple
Ogni analisi della configurazione può contenere più tracce e lo stato finale di queste tracce potrebbe essere diverso. Ad esempio, un pacchetto al VIP per un bilanciatore del carico Google Cloud potrebbe avere tracce n
se sono presenti n
istanze VM di backend configurate per il bilanciatore del carico. Queste tracce n
potrebbero non avere gli stessi stati finali.
Poiché un'analisi può produrre più tracce possibili, si verifica quanto segue:
- Se viene visualizzato un solo risultato della traccia, il risultato della raggiungibilità complessivo corrisponde allo stato finale della traccia.
- Se sono disponibili più risultati di tracce, il risultato complessivo della connettività viene calcolato in base alla distribuzione degli stati finali contenuti in tutte le tracce.
Metadati dei risultati
Oltre al risultato complessivo della raggiungibilità per le tracce, ogni risultato del test contiene i seguenti metadati:
- L'ora in cui è stato verificato lo stato del test
- Dettagli dell'errore di un test non riuscito o annullamento
- Trace traccia per ogni traccia
I dettagli dell'errore di un test non riuscito o annullamento vengono mostrati sotto forma di codici e messaggi
visualizzati nel risultato complessivo della connettività. Ad esempio, un test con uno
stato finale pari a Abort
potrebbe mostrare un messaggio di errore come
Failed to pull initial config. An internal error occurred.
Stato iniziale
Durante lo stato iniziale, l'analisi della configurazione simula l'avvio da un endpoint di rete.
Messaggio | Descrizione |
---|---|
START_FROM_INSTANCE |
Il pacchetto ha avuto origine da un'istanza Compute Engine.
I metadati InstanceInfo sono stati
completati da Connectivity Tests. |
START_FROM_INTERNET |
Il pacchetto ha avuto origine da internet.
I metadati EndpointInfo sono stati
completati da Connectivity Tests. |
START_FROM_PRIVATE_NETWORK |
Il pacchetto ha avuto origine da una rete VPC o da una rete on-premise con un indirizzo IP di origine interno. Se l'origine era una rete VPC visibile all'utente, i metadati NetworkInfo sono stati completati con i dettagli della rete da Connectivity Tests. |
START_FROM_CLOUD_FUNCTION |
Il pacchetto ha avuto origine da una Cloud Function.
I metadati CloudFunctionInfo sono stati
completati da Connectivity Tests. |
START_FROM_CLOUD_RUN_REVISION |
Il pacchetto ha avuto origine da una revisione di un servizio Cloud Run.
I metadati CloudRunRevisionInfo sono stati
completati da Connectivity Tests. |
START_FROM_APP_ENGINE_VERSION |
Il pacchetto ha avuto origine da una versione di un servizio dell'ambiente standard di App Engine.
I metadati AppEngineVersionInfo sono stati compilati da Connectivity Tests. |
Stato finale
Gli stati finali sono quattro: Drop
, Abort
,
Forward
e Deliver
. Ognuna delle seguenti sezioni ha una tabella contenente messaggi e descrizioni per ogni stato.
Declina
Connectivity Tests ha ignorato il pacchetto di test simulato perché la destinazione del test non era raggiungibile per i seguenti motivi.
Messaggio | Descrizione |
---|---|
UNKNOWN_EXTERNAL_ADDRESS |
Impossibile risolvere l'indirizzo esterno di destinazione in una destinazione nota. |
FOREIGN_IP_DISALLOWED |
L'istanza VM può inviare o ricevere un pacchetto con un indirizzo IP esterno solo se ip_forward è abilitato. In altre parole, l'indirizzo IP esterno non ha superato il controllo di spoofing. |
FIREWALL_RULE |
Ignorato a causa di una regola firewall, a meno che non sia consentito a causa del monitoraggio della connessione. Connectivity Tests potrebbe rifiutare un pacchetto di test perché corrisponde a una regola firewall di blocco. Tuttavia, il piano dati effettivo potrebbe consentire il pacchetto a causa del monitoraggio delle connessioni nella regola firewall. Il monitoraggio delle connessioni consente di restituire i pacchetti per una connessione esistente nonostante la regola firewall. |
NO_ROUTE |
Ignorato per assenza di route. |
ROUTE_BLACKHOLE |
Ignorato perché l'hop successivo della route corrispondente non esiste. |
ROUTE_WRONG_NETWORK |
Il pacchetto è stato inviato alla rete errata (non intenzionale), come mostrato in Rilevare configurazioni non valide o incoerenti. |
PRIVATE_TRAFFIC_TO_INTERNET |
Un pacchetto con un indirizzo di destinazione interno è stato inviato a un gateway internet. |
PRIVATE_GOOGLE_ACCESS_DISALLOWED |
Un'istanza VM con solo un indirizzo IP interno ha tentato di accedere a un'API o a un servizio Google di Google, ma l'accesso privato Google non è stato abilitato. |
NO_EXTERNAL_ADDRESS |
Un'istanza VM con solo un indirizzo IP interno ha tentato di accedere a host esterni tramite una route il cui hop successivo è il gateway internet predefinito. Previsto quando Cloud NAT non è abilitato nella subnet o quando non sono presenti altre route predefinite che utilizzano un tipo di hop successivo diverso (ad esempio una VM proxy). |
UNKNOWN_INTERNAL_ADDRESS |
Non è stato possibile risolvere un indirizzo interno di destinazione in una destinazione nota. |
FORWARDING_RULE_MISMATCH |
Il protocollo e le porte di una regola di forwarding non corrispondono all'intestazione del pacchetto oppure il pacchetto non ha origine o destinazione nella stessa regione del bilanciatore del carico a livello di regione. |
FORWARDING_RULE_NO_INSTANCES |
Per una regola di forwarding non sono stati configurati backend. |
FIREWALL_BLOCKING_LOAD_BALANCER_BACKEND_HEALTH_CHECK |
Una regola firewall ha bloccato i probe del controllo di integrità verso i backend, rendendo non disponibili i backend per il traffico proveniente dal bilanciatore del carico. Nell'ambito della sequenza di test per Cloud Load Balancing, l'analisi della configurazione verifica che le regole firewall esistenti siano state configurate in modo da consentire l'invio di un pacchetto di probe per il controllo di integrità ai backend di Cloud Load Balancing. Questo
controllo della configurazione genera un errore |
INSTANCE_NOT_RUNNING |
È stato inviato un pacchetto da o verso un'istanza VM che non era in stato di esecuzione. |
TRAFFIC_TYPE_BLOCKED |
Il tipo di traffico è stato bloccato e l'utente non ha potuto configurare una regola firewall per abilitarlo. Per maggiori dettagli, consulta Traffico sempre bloccato. |
GKE_MASTER_UNAUTHORIZED_ACCESS |
L'accesso all'endpoint del piano di controllo Google Kubernetes Engine non è stato autorizzato. Per maggiori dettagli, consulta Accesso agli endpoint del cluster. |
DROPPED_INSIDE_GKE_SERVICE |
Un pacchetto è stato ignorato all'interno del servizio Google Kubernetes Engine. |
CLOUD_SQL_INSTANCE_UNAUTHORIZED_ACCESS |
L'accesso all'endpoint dell'istanza Cloud SQL non è autorizzato. Per maggiori dettagli, consulta Autorizzazione con reti autorizzate. |
DROPPED_INSIDE_CLOUD_SQL_SERVICE |
Un pacchetto è stato ignorato all'interno del servizio Cloud SQL. |
GOOGLE_MANAGED_SERVICE_NO_PEERING |
Un pacchetto è stato ignorato perché non esiste alcun peering tra la rete di origine e la rete di servizi gestiti da Google. |
CLOUD_SQL_INSTANCE_NO_IP_ADDRESS |
Un pacchetto è stato ignorato perché l'istanza Cloud SQL non ha un indirizzo IP privato o pubblico. |
PSC_CONNECTION_NOT_ACCEPTED |
Un pacchetto è stato ignorato perché la connessione al servizio pubblicato che utilizza Private Service Connect non è accettata. |
CLOUD_FUNCTION_NOT_ACTIVE |
Un pacchetto è stato ignorato perché la Cloud Function non è attiva. |
VPC_CONNECTOR_NOT_SET |
Un pacchetto è stato ignorato perché per il servizio di ambiente standard App Engine, la Cloud Function o la revisione di Cloud Run non è configurato un connettore di accesso VPC serverless. |
VPC_CONNECTOR_NOT_RUNNING |
Un pacchetto è stato ignorato perché il connettore di accesso VPC serverless non è in esecuzione. |
CLOUD_RUN_REVISION_NOT_READY |
Un pacchetto è stato ignorato perché la revisione di Cloud Run non è pronta e non può gestire il traffico. |
Interrompi
L'analisi della configurazione è stata interrotta a causa della mancanza di informazioni di base, come la mancanza di accesso alla configurazione di rete.
Questo stato si verifica in genere quando Connectivity Tests non dispone delle autorizzazioni corrette per ottenere la configurazione dal progetto host per un progetto di servizio, come mostrato nella tabella seguente.
Messaggio | Descrizione |
---|---|
UNKNOWN_NETWORK |
Interrotta a causa di una rete sconosciuta. L'analisi non può procedere perché, in una rete VPC condiviso, l'utente che esegue il test non ha accesso alle configurazioni di rete del progetto host, incluse le route e le regole firewall. L'esecuzione di un test di connettività richiede che l'utente che lo esegue possa leggere le configurazioni delle risorse, ad esempio le route nel progetto host. Questo accade perché le risorse di rete sono allocate nel progetto host, ma le risorse effettive esistono nel progetto di servizio. |
UNKNOWN_IP |
L'analisi è stata interrotta perché gli indirizzi IP richiesti per l'analisi non erano noti. Ciò è dovuto a un input utente errato o all'analisi della configurazione non è stato possibile determinare un endpoint valido in base ai parametri di input forniti. In una rete VPC condiviso, l'utente che esegue il test non aveva accesso alle configurazioni di rete del progetto host. Questo accesso è richiesto per i test sugli indirizzi IP nel progetto di servizio. |
UNKNOWN_PROJECT |
L'analisi è stata interrotta perché non è stato possibile ricavare informazioni sul progetto dall'input del Connectivity Tests. Ciò è dovuto a un input utente errato o, in base ai parametri di input forniti, l'analisi non ha potuto determinare un progetto valido. |
PERMISSION_DENIED |
L'analisi è stata interrotta perché l'utente non disponeva dell'autorizzazione per accedere a tutte o parte delle configurazioni di rete necessarie per eseguire il test. |
NO_SOURCE_LOCATION |
L'analisi è stata interrotta perché non è stato possibile derivare un endpoint di origine valido dall'input di test. Ciò è dovuto a un input utente errato o, in base ai parametri di input forniti, l'analisi non ha potuto determinare un endpoint di origine valido. |
INVALID_ARGUMENT |
L'analisi è stata interrotta perché gli endpoint di origine e/o di destinazione specificati nell'input di test non erano validi. Di seguito sono riportati i possibili motivi di questo messaggio:
|
NO_EXTERNAL_IP |
L'analisi è stata interrotta perché il traffico è stato inviato da un indirizzo IP pubblico a un'istanza VM priva di indirizzo IP esterno. |
UNINTENDED_DESTINATION |
L'analisi è stata interrotta perché nessuna delle tracce è riuscita a trovare una corrispondenza con le informazioni sulla destinazione specificate nell'input di test. |
TRACE_TOO_LONG |
L'analisi è stata interrotta perché il numero di passaggi nella traccia ha superato un determinato limite. Questo problema potrebbe essere causato da un loop di routing. |
INTERNAL_ERROR |
Interrotta a causa di un errore interno del server. |
SOURCE_ENDPOINT_NOT_FOUND |
Interrotta perché non è stato possibile trovare l'endpoint di origine. |
MISMATCHED_SOURCE_NETWORK |
Interrotta perché la rete di origine non corrisponde all'endpoint di origine. |
DESTINATION_ENDPOINT_NOT_FOUND |
Operazione interrotta perché non è stato possibile trovare l'endpoint di destinazione. |
MISMATCHED_DESTINATION_NETWORK |
Interrotta perché la rete di destinazione non corrisponde all'endpoint di destinazione. |
Avanti
L'analisi si è arrestata in corrispondenza di un endpoint specifico e non può andare oltre:
- L'analisi è parzialmente completata in base alle configurazioni per cui l'utente dispone dell'autorizzazione.
- Il pacchetto di test è stato inoltrato a una rete con una configurazione sconosciuta.
- La destinazione del test non è stata eliminata in base alla configurazione nota e il pacchetto di test è stato inoltrato a una rete in cui Connectivity Tests non ha visibilità.
Messaggio | Inoltrata |
---|---|
PEERING_VPC |
A una rete VPC peer |
VPN_GATEWAY |
A un gateway Cloud VPN |
INTERCONNECT |
A una connessione Cloud Interconnect |
GKE_MASTER |
A un piano di controllo GKE |
IMPORTED_CUSTOM_ROUTE_NEXT_HOP |
All'hop successivo di una route personalizzata importata da una rete VPC in peering |
CLOUD_SQL_INSTANCE |
A un'istanza Cloud SQL |
Distribuisci
L'analisi è riuscita a raggiungere il target e a consegnare il pacchetto di test simulato.
Lo stato finale Deliver
non garantisce che il traffico possa passare attraverso il piano dati. Lo scopo dell'analisi è convalidare i problemi
di configurazione che potrebbero causare un calo del traffico.
Messaggio | Destinazione |
---|---|
INSTANCE |
Un'istanza VM di Compute Engine |
INTERNET |
Internet |
GOOGLE_API |
Un'API di Google |
GKE_MASTER |
Un piano di controllo GKE |
CLOUD_SQL_INSTANCE |
Un'istanza Cloud SQL |
PSC_GOOGLE_API |
Tutte le API e i servizi Google che utilizzano Private Service Connect |
PSC_VPC_SC |
Controlli di servizio VPC che utilizzano Private Service Connect |
PSC_PUBLISHED_SERVICE |
Un servizio pubblicato che utilizza Private Service Connect |
Metadati
L'analisi della configurazione mostra i seguenti metadati per lo stato finale.
Nome metadati | Descrizione |
---|---|
AbortInfo |
Causa di uno stato finale Abort e dell'URI della risorsa che ha causato questo stato. |
DropInfo |
Causa di uno stato finale Drop e dell'URI della risorsa che ha causato questo stato. |
ForwardInfo |
Il tipo di destinazione e l'URI della risorsa di destinazione a cui è stato finalmente inoltrato un pacchetto di test (stato finale Forward ). |
Altri stati
Prima che il pacchetto di test raggiunga uno degli stati finali, passa attraverso i seguenti stati intermedi: stato di controllo della configurazione, stato di inoltro, stato di transizione e stato speciale.
Stato del controllo della configurazione
Durante il controllo della configurazione, Connectivity Tests controlla la configurazione delle risorse Google Cloud nel percorso di rete simulato, verifica che la configurazione della risorsa sia valida e che la configurazione consenta al pacchetto di test simulato di proseguire lungo il percorso di rete.
Se necessario, l'analisi della configurazione esegue un controllo dello spoofing.
Messaggio | Descrizione |
---|---|
APPLY_INGRESS_FIREWALL_RULE |
Regola firewall in entrata verificata. |
APPLY_EGRESS_FIREWALL_RULE |
Regola firewall in uscita verificata. |
APPLY_ROUTE |
Percorso verificato. |
APPLY_FORWARDING_RULE |
Regola di forwarding con corrispondenza. |
SPOOFING_APPROVED |
Il pacchetto è stato inviato o ricevuto con un indirizzo IP straniero, ma è consentito. Per maggiori dettagli, consulta la sezione sul controllo dello spoofing. |
Stato di inoltro
Durante lo stato di forwarding, Connectivity Tests simula un pacchetto in arrivo a una risorsa Google Cloud intermedia nel percorso di test, ad esempio un pacchetto in arrivo a un gateway Cloud VPN o a un bilanciatore del carico Google Cloud.
Messaggio | Descrizione |
---|---|
ARRIVE_AT_INSTANCE |
Arrivato in un'istanza VM di Compute Engine. |
ARRIVE_AT_INTERNAL_LOAD_BALANCER |
Sono arrivati a un bilanciatore del carico Google Cloud che utilizza un indirizzo IP privato come VIP. |
ARRIVE_AT_EXTERNAL_LOAD_BALANCER |
Messaggio ricevuto all'indirizzo IP pubblico di un bilanciatore del carico Google Cloud. |
ARRIVE_AT_VPN_GATEWAY |
Messaggio ricevuto al gateway Cloud VPN. |
ARRIVE_AT_VPN_TUNNEL |
È stato raggiunto un tunnel Cloud VPN. |
ARRIVE_AT_VPC_CONNECTOR |
Messaggio ricevuto a un connettore di accesso VPC serverless. |
Stato di transizione
Durante lo stato di transizione, Connectivity Tests verifica le configurazioni simulate in cui un pacchetto viene modificato (ad esempio, dove Cloud NAT traduce l'intestazione di un pacchetto o quando un proxy di bilanciamento del carico di Google Cloud termina e avvia nuovamente una sessione TCP in entrata nelle istanze VM).
Messaggio | Descrizione |
---|---|
NAT |
L'intestazione del pacchetto è stata tradotta. |
PROXY_CONNECTION |
La connessione originale è stata interrotta ed è stata avviata una nuova connessione inviata tramite proxy. |
Stato speciale
In questo stato, un visualizzatore test non ha l'autorizzazione per visualizzare una o più risorse Google Cloud. Per maggiori informazioni, consulta Testare le autorizzazioni.
Nome metadati | Descrizione |
---|---|
VIEWER_PERMISSION_MISSING |
Il visualizzatore del risultato del test non dispone dell'autorizzazione per visualizzare la configurazione della risorsa Google Cloud in questo passaggio. |
Metadati delle risorse
Connectivity Tests mostra i seguenti metadati per le configurazioni delle risorse Google Cloud che verifica.
Nome metadati | Descrizione |
---|---|
EndpointInfo |
Endpoint utilizzati per il test. Connectivity Tests ottiene EndpointInfo dagli endpoint di origine e di destinazione e convalida le informazioni utilizzando il modello per il piano dati. |
FirewallInfo |
Metadati associati a una regola firewall. |
ForwardingRuleInfo |
Metadati associati a una regola di forwarding VPC. |
InstanceInfo |
Metadati associati a un'istanza VM di Compute Engine. |
LoadBalancerInfo |
Metadati associati a un bilanciatore del carico Google Cloud. |
NetworkInfo |
Metadati associati a una rete VPC. |
RouteInfo |
Metadati associati a una route di rete VPC. |
AppEngineVersionInfo |
Metadati associati a una versione di un servizio dell'ambiente standard di App Engine. |
CloudRunRevisionInfo |
Metadati associati a una revisione di Cloud Run. |
CloudFunctionInfo |
Metadati associati a una Cloud Function. |
VpcConnectorInfo |
Metadati associati a un connettore di accesso VPC serverless. |