Analisis konfigurasi Uji Konektivitas menjalani serangkaian status pengujian saat memeriksa konfigurasi setiap resource Google Cloud di jalur jaringan dari sumber yang ditetapkan ke tujuan yang ditetapkan. Gunakan referensi ini untuk menafsirkan status ini.
Untuk mengetahui informasi selengkapnya tentang Uji Konektivitas, termasuk detail tentang analisis bidang data langsung, lihat ringkasan.
Status pengujian
Analisis konfigurasi Uji Konektivitas menyediakan data untuk status pengujian berikut dalam urutan yang tercantum:
- Status awal
- Status pemeriksaan konfigurasi
- Status penerusan
- Status transisi
- Negara bagian khusus
- Status final
- Hasil keterjangkauan secara keseluruhan
Beberapa status ini muncul di setiap trace, sementara yang lain hanya muncul saat menguji konfigurasi resource Google Cloud tertentu atau saat melakukan tugas tertentu.
Status akhir dan hasil keterjangkauan secara keseluruhan memberikan output pengujian yang paling penting.
Selain itu, output pengujian dapat menyertakan metadata untuk resource Google Cloud yang terkait dengan satu atau beberapa status; misalnya, informasi tentang nama dan alamat IP instance virtual machine (VM).
Cara analisis konfigurasi mengevaluasi keterjangkauan
Analisis konfigurasi menyimulasikan paket pengujian melalui jalur jaringan dengan memverifikasi konfigurasi untuk resource Google Cloud di jalur tersebut. Beberapa contoh konfigurasi jaringan yang tidak valid adalah aturan penerusan Cloud Load Balancing yang tidak memiliki backend atau rute jaringan yang tidak ada.
Selama status pemeriksaan konfigurasi, Pengujian Konektivitas mengumpulkan informasi tentang rute jaringan seperti rute yang dikonfigurasi pengguna, rute dinamis berdasarkan iklan BGP, atau rute berbasis kebijakan. Analisis konfigurasi kemudian memilih rute jaringan berdasarkan penerapan dan urutan.
Untuk status pemeriksaan konfigurasi, verified
berarti
Pengujian Konektivitas mengonfirmasi bahwa konfigurasi untuk
resource Google Cloud yang diuji valid. Konfigurasi ini memungkinkan paket pengujian simulasi untuk melanjutkan jalur jaringan yang sedang diuji.
Untuk aturan firewall masuk dan keluar, verified
berarti analisis konfigurasi mengonfirmasi bahwa aturan firewall valid.
Aturan {i>firewall<i} mengizinkan paket pengujian yang disimulasikan untuk lewat.
Jika Uji Konektivitas menentukan bahwa konfigurasi tidak valid, paket memiliki status akhir Drop
.
Hasil keterjangkauan secara keseluruhan
Analisis konfigurasi memberikan ringkasan keseluruhan status keterjangkauan, juga dikenal sebagai hasil. Hasil dapat memiliki salah satu dari empat nilai:
Reachable
, Unreachable
, Ambiguous
, dan Undetermined
.
Tabel nilai
Tabel berikut menjelaskan nilai untuk setiap jenis hasil keterjangkauan secara keseluruhan.
Hasil keterjangkauan secara keseluruhan | Deskripsi |
---|---|
Reachable |
Ada dua kemungkinan skenario. Dalam kedua skenario tersebut, Pengujian Konektivitas tidak menemukan masalah konfigurasi apa pun.
Dengan demikian, kedua skenario dianggap sebagai Reachable .
|
Unreachable |
Paket yang berasal dari sumber diharapkan akan dihapus sebelum
mencapai tujuannya. Status akhir semua rekaman aktivitas adalah
Drop . |
Ambiguous |
Hasil ini ditampilkan jika endpoint sumber dan tujuan tidak
mengidentifikasi lokasi pengujian dalam jaringan secara unik, dan hasil
keterjangkauan secara keseluruhan berisi beberapa trace dengan campuran status
Dalam hal ini, status akhir di antara beberapa trace menampilkan status akhir yang berbeda. Hasil |
Undetermined |
Keterjangkauan tidak dapat ditentukan. Status akhir untuk satu rekaman aktivitas
adalah Keterjangkauan dari sumber ke tujuan tidak dapat ditentukan karena salah satu alasan berikut:
|
Beberapa trace
Setiap analisis konfigurasi dapat berisi beberapa trace, dan status akhir trace ini mungkin tidak sama. Misalnya, paket ke VIP untuk load balancer Google Cloud mungkin memiliki trace n
jika ada n
instance VM backend yang dikonfigurasi untuk load balancer. Trace n
ini mungkin tidak memiliki status akhir yang sama.
Karena analisis dapat menghasilkan beberapa kemungkinan rekaman aktivitas, hal berikut berlaku:
- Jika hanya ada satu hasil rekaman aktivitas, hasil keterjangkauan keseluruhan sama dengan status akhir rekaman aktivitas.
- Jika ada beberapa hasil rekaman aktivitas, hasil keterjangkauan keseluruhan dihitung berdasarkan distribusi status akhir yang terkandung dalam semua trace.
Metadata hasil
Selain hasil keterjangkauan secara keseluruhan untuk trace, setiap hasil pengujian berisi metadata berikut:
- Waktu status pengujian untuk pengujian diverifikasi
- Detail error kegagalan atau pembatalan pengujian
- Detail trace untuk setiap trace
Detail error kegagalan atau pembatalan uji ditampilkan sebagai kode dan pesan
yang ditampilkan dalam hasil keterjangkauan secara keseluruhan. Misalnya, pengujian dengan
status akhir Abort
mungkin menampilkan pesan error seperti
Failed to pull initial config. An internal error occurred.
Status awal
Selama status awal, analisis konfigurasi menyimulasikan mulai dari endpoint jaringan.
Pesan | Deskripsi |
---|---|
START_FROM_INSTANCE |
Paket berasal dari instance Compute Engine.
Metadata InstanceInfo diisi oleh Uji Konektivitas. |
START_FROM_INTERNET |
Paket tersebut berasal dari internet.
Metadata EndpointInfo diisi oleh Uji Konektivitas. |
START_FROM_PRIVATE_NETWORK |
Paket berasal dari jaringan VPC atau
jaringan lokal dengan alamat IP sumber internal. Jika sumbernya adalah jaringan VPC yang terlihat oleh pengguna, metadata NetworkInfo diisi dengan detail jaringan oleh Uji Konektivitas. |
START_FROM_CLOUD_FUNCTION |
Paket berasal dari Cloud Function.
Metadata CloudFunctionInfo diisi oleh Uji Konektivitas. |
START_FROM_CLOUD_RUN_REVISION |
Paket ini berasal dari revisi layanan Cloud Run.
Metadata CloudRunRevisionInfo diisi oleh Uji Konektivitas. |
START_FROM_APP_ENGINE_VERSION |
Paket berasal dari versi layanan lingkungan standar App Engine.
Metadata AppEngineVersionInfo diisi oleh Uji Konektivitas. |
Status final
Ada empat status akhir: Drop
, Abort
,
Forward
, dan Deliver
. Setiap bagian berikut memiliki tabel yang berisi pesan dan deskripsi untuk setiap status.
Lepaskan
Uji Konektivitas menghapus paket pengujian yang disimulasikan karena target pengujian tidak dapat dijangkau karena alasan berikut.
Pesan | Deskripsi |
---|---|
UNKNOWN_EXTERNAL_ADDRESS |
Alamat eksternal tujuan tidak dapat diselesaikan ke target yang diketahui. |
FOREIGN_IP_DISALLOWED |
Instance VM hanya dapat mengirim atau menerima paket
dengan alamat IP asing jika ip_forward diaktifkan. Dengan kata lain, alamat IP asing gagal dalam pemeriksaan spoof. |
FIREWALL_RULE |
Dihentikan karena aturan firewall, kecuali jika diizinkan karena pelacakan koneksi. Uji Konektivitas dapat menolak paket pengujian karena paket tersebut cocok dengan aturan firewall pemblokiran. Namun, bidang data yang sebenarnya mungkin mengizinkan paket masuk karena pelacakan koneksi pada aturan firewall. Pelacakan koneksi memungkinkan paket untuk koneksi yang ada kembali, terlepas dari aturan firewall. |
NO_ROUTE |
Dihentikan karena tidak ada rute. |
ROUTE_BLACKHOLE |
Dihentikan karena hop berikutnya dari rute yang cocok tidak ada. |
ROUTE_WRONG_NETWORK |
Paket dikirim ke jaringan yang salah (tidak diinginkan), seperti ditunjukkan dalam Mendeteksi konfigurasi yang tidak valid atau tidak konsisten. |
PRIVATE_TRAFFIC_TO_INTERNET |
Sebuah paket dengan alamat tujuan internal telah dikirim ke gateway internet. |
PRIVATE_GOOGLE_ACCESS_DISALLOWED |
Instance VM yang hanya memiliki alamat IP internal mencoba mengakses Google API atau layanan Google, tetapi Akses Google Pribadi tidak diaktifkan. |
NO_EXTERNAL_ADDRESS |
Instance VM yang hanya memiliki alamat IP internal mencoba mengakses host eksternal melalui rute yang next hop-nya adalah gateway internet default. Diharapkan saat Cloud NAT tidak diaktifkan di subnet atau saat tidak ada rute default lain yang menggunakan jenis next hop berbeda (seperti VM proxy). |
UNKNOWN_INTERNAL_ADDRESS |
Alamat internal tujuan tidak dapat diselesaikan ke target yang diketahui. |
FORWARDING_RULE_MISMATCH |
Protokol dan port aturan penerusan tidak cocok dengan header paket, atau paket tidak berasal dari atau tidak diarahkan ke region yang sama dengan load balancer regional. |
FORWARDING_RULE_NO_INSTANCES |
Backend aturan penerusan tidak dikonfigurasi. |
FIREWALL_BLOCKING_LOAD_BALANCER_BACKEND_HEALTH_CHECK |
Aturan firewall memblokir pemeriksaan health check ke backend dan menyebabkan backend tidak tersedia untuk traffic dari load balancer. Sebagai bagian dari urutan pengujian untuk Cloud Load Balancing, analisis konfigurasi memverifikasi bahwa aturan firewall yang ada telah dikonfigurasi untuk mengizinkan paket pemeriksaan health check dikirim ke backend Cloud Load Balancing. Pemeriksaan konfigurasi ini akan menghasilkan |
INSTANCE_NOT_RUNNING |
Sebuah paket dikirim dari atau ke instance VM yang tidak dalam status berjalan. |
TRAFFIC_TYPE_BLOCKED |
Jenis traffic diblokir dan pengguna tidak dapat mengonfigurasi aturan firewall untuk mengaktifkannya. Untuk mengetahui detailnya, lihat Traffic yang selalu diblokir. |
GKE_MASTER_UNAUTHORIZED_ACCESS |
Akses ke endpoint bidang kontrol Google Kubernetes Engine tidak diizinkan. Untuk mengetahui detailnya, lihat Akses ke endpoint cluster. |
DROPPED_INSIDE_GKE_SERVICE |
Sebuah paket dihapus di dalam layanan Google Kubernetes Engine. |
CLOUD_SQL_INSTANCE_UNAUTHORIZED_ACCESS |
Akses ke endpoint instance Cloud SQL tidak diizinkan. Untuk mengetahui detailnya, lihat Memberi otorisasi dengan jaringan yang diizinkan. |
DROPPED_INSIDE_CLOUD_SQL_SERVICE |
Sebuah paket dihapus di dalam layanan Cloud SQL. |
GOOGLE_MANAGED_SERVICE_NO_PEERING |
Sebuah paket dihapus karena tidak ada peering antara jaringan asal dan jaringan layanan yang dikelola Google. |
CLOUD_SQL_INSTANCE_NO_IP_ADDRESS |
Sebuah paket dihapus karena instance Cloud SQL tidak memiliki alamat IP pribadi maupun publik. |
PSC_CONNECTION_NOT_ACCEPTED |
Sebuah paket terputus karena koneksi ke layanan yang dipublikasikan yang menggunakan Private Service Connect tidak diterima. |
CLOUD_FUNCTION_NOT_ACTIVE |
Paket dihapus karena Cloud Function tidak aktif. |
VPC_CONNECTOR_NOT_SET |
Sebuah paket dihapus karena layanan lingkungan standar App Engine, Cloud Function, atau revisi Cloud Run tidak memiliki konektor Akses VPC Serverless yang dikonfigurasi. |
VPC_CONNECTOR_NOT_RUNNING |
Sebuah paket dihapus karena konektor Akses VPC Serverless tidak berjalan. |
CLOUD_RUN_REVISION_NOT_READY |
Sebuah paket dihapus karena revisi Cloud Run belum siap dan tidak dapat menyalurkan traffic. |
Batalkan
Analisis konfigurasi dihentikan karena kurangnya informasi dasar, seperti kurangnya akses ke konfigurasi jaringan.
Status ini biasanya terjadi saat Uji Konektivitas tidak memiliki izin yang benar untuk mendapatkan konfigurasi dari project host untuk project layanan, seperti yang ditunjukkan dalam tabel berikut.
Pesan | Deskripsi |
---|---|
UNKNOWN_NETWORK |
Dibatalkan karena jaringan tidak diketahui. Analisis tidak dapat dilanjutkan karena, di jaringan VPC Bersama, pengguna yang menjalankan pengujian tidak memiliki akses ke konfigurasi jaringan project host, termasuk aturan dan rute firewall. Menjalankan Uji Konektivitas mengharuskan pengguna yang menjalankan pengujian dapat membaca konfigurasi untuk resource seperti rute dalam project host. Hal ini terjadi karena resource jaringan dialokasikan di project host, tetapi resource sebenarnya ada di project layanan. |
UNKNOWN_IP |
Analisis dibatalkan karena alamat IP yang diperlukan untuk analisis tidak diketahui. Hal ini disebabkan oleh input pengguna yang salah, atau analisis konfigurasi tidak dapat menentukan endpoint yang valid berdasarkan parameter input yang diberikan. Dalam jaringan VPC Bersama, pengguna yang menjalankan pengujian tidak memiliki akses ke konfigurasi jaringan project host. Akses ini diperlukan untuk melakukan pengujian terhadap alamat IP dalam project layanan. |
UNKNOWN_PROJECT |
Analisis dibatalkan karena tidak ada informasi project yang dapat diambil dari input untuk Uji Konektivitas. Hal ini karena input pengguna yang salah atau, berdasarkan parameter input yang diberikan, analisis tidak dapat menentukan project yang valid. |
PERMISSION_DENIED |
Analisis dibatalkan karena pengguna tidak memiliki izin untuk mengakses semua atau sebagian konfigurasi jaringan yang diperlukan untuk menjalankan pengujian. |
NO_SOURCE_LOCATION |
Analisis dibatalkan karena tidak ada endpoint sumber yang valid yang dapat diambil dari input pengujian. Hal ini karena input pengguna yang salah atau, berdasarkan parameter input yang diberikan, analisis tidak dapat menentukan endpoint sumber yang valid. |
INVALID_ARGUMENT |
Analisis dibatalkan karena endpoint sumber dan/atau tujuan yang ditentukan dalam input pengujian tidak valid. Kemungkinan alasan untuk pesan ini adalah sebagai berikut:
|
NO_EXTERNAL_IP |
Analisis dibatalkan karena traffic dikirim dari alamat IP publik ke instance VM yang tidak memiliki alamat IP eksternal. |
UNINTENDED_DESTINATION |
Analisis dibatalkan karena tidak ada trace yang dapat cocok dengan informasi tujuan yang ditentukan dalam input pengujian. |
TRACE_TOO_LONG |
Analisis dibatalkan karena jumlah langkah dalam trace melampaui batas tertentu. Masalah ini mungkin disebabkan oleh loop perutean. |
INTERNAL_ERROR |
Dibatalkan karena terjadi error server internal. |
SOURCE_ENDPOINT_NOT_FOUND |
Dibatalkan karena endpoint sumber tidak dapat ditemukan. |
MISMATCHED_SOURCE_NETWORK |
Dibatalkan karena jaringan sumber tidak cocok dengan endpoint sumber. |
DESTINATION_ENDPOINT_NOT_FOUND |
Dibatalkan karena endpoint tujuan tidak dapat ditemukan. |
MISMATCHED_DESTINATION_NETWORK |
Dibatalkan karena jaringan tujuan tidak cocok dengan endpoint tujuan. |
Meneruskan
Analisis berhenti pada endpoint tertentu dan tidak bisa dilanjutkan:
- Analisis selesai sebagian berdasarkan konfigurasi yang diizinkan oleh pengguna.
- Paket pengujian diteruskan ke jaringan dengan konfigurasi yang tidak diketahui.
- Target pengujian belum dihapus sesuai dengan konfigurasi yang diketahui, dan paket pengujian telah diteruskan ke jaringan tempat Uji Konektivitas tidak memiliki visibilitas.
Pesan | Diteruskan |
---|---|
PEERING_VPC |
Ke jaringan VPC peer |
VPN_GATEWAY |
Ke gateway Cloud VPN |
INTERCONNECT |
Ke koneksi Cloud Interconnect |
GKE_MASTER |
Ke bidang kontrol GKE |
IMPORTED_CUSTOM_ROUTE_NEXT_HOP |
Ke hop berikutnya dari rute kustom yang diimpor dari jaringan VPC yang di-peering |
CLOUD_SQL_INSTANCE |
Ke instance Cloud SQL |
Sampaikan
Analisis ini mampu mencapai target dan mengirimkan paket uji yang disimulasikan.
Status akhir Deliver
tidak menjamin bahwa traffic dapat melewati
bidang data. Tujuan analisis ini adalah untuk memvalidasi masalah konfigurasi
yang mungkin menyebabkan penurunan traffic.
Pesan | Target |
---|---|
INSTANCE |
Instance VM Compute Engine |
INTERNET |
Internet |
GOOGLE_API |
Google API |
GKE_MASTER |
Bidang kontrol GKE |
CLOUD_SQL_INSTANCE |
Instance Cloud SQL |
PSC_GOOGLE_API |
Semua Google API dan layanan Google yang menggunakan Private Service Connect |
PSC_VPC_SC |
Kontrol Layanan VPC yang menggunakan Private Service Connect |
PSC_PUBLISHED_SERVICE |
Layanan dipublikasikan yang menggunakan Private Service Connect |
Metadata
Analisis konfigurasi menunjukkan metadata berikut untuk status akhir.
Nama metadata | Deskripsi |
---|---|
AbortInfo |
Penyebab status akhir Abort dan URI resource yang
menyebabkan status tersebut. |
DropInfo |
Penyebab status akhir Drop dan URI resource yang
menyebabkan status tersebut. |
ForwardInfo |
Jenis target dan URI resource target yang menjadi tujuan penerusan paket pengujian (status akhir Forward ). |
Negara bagian lain
Sebelum paket pengujian mencapai salah satu status akhir, paket tersebut akan melalui status perantara berikut: status pemeriksaan konfigurasi, status penerusan, status transisi, dan status khusus.
Status pemeriksaan konfigurasi
Selama status pemeriksaan konfigurasi, Pengujian Konektivitas akan memeriksa konfigurasi resource Google Cloud di jalur jaringan yang disimulasikan, memverifikasi bahwa konfigurasi resource valid, dan memverifikasi bahwa konfigurasi tersebut mengizinkan paket uji yang disimulasikan untuk dilanjutkan melalui jalur jaringan.
Jika diperlukan, analisis konfigurasi melakukan pemeriksaan {i>spoof<i}.
Pesan | Deskripsi |
---|---|
APPLY_INGRESS_FIREWALL_RULE |
Aturan firewall masuk yang diverifikasi. |
APPLY_EGRESS_FIREWALL_RULE |
Aturan firewall keluar yang terverifikasi. |
APPLY_ROUTE |
Rute terverifikasi. |
APPLY_FORWARDING_RULE |
Aturan penerusan yang cocok. |
SPOOFING_APPROVED |
Paket dikirim atau diterima dengan alamat IP asing, tetapi diizinkan. Untuk mengetahui detailnya, lihat pemeriksaan spoof. |
Status penerusan
Selama status penerusan, Uji Konektivitas menyimulasikan paket yang tiba di resource Google Cloud perantara dalam jalur pengujian (misalnya, paket yang tiba di gateway Cloud VPN atau load balancer Google Cloud).
Pesan | Deskripsi |
---|---|
ARRIVE_AT_INSTANCE |
Tiba di instance VM Compute Engine. |
ARRIVE_AT_INTERNAL_LOAD_BALANCER |
Mencapai load balancer Google Cloud yang menggunakan alamat IP pribadi sebagai VIP. |
ARRIVE_AT_EXTERNAL_LOAD_BALANCER |
Tiba di alamat IP publik load balancer Google Cloud. |
ARRIVE_AT_VPN_GATEWAY |
Tiba di gateway VPN Cloud. |
ARRIVE_AT_VPN_TUNNEL |
Tiba di tunnel Cloud VPN. |
ARRIVE_AT_VPC_CONNECTOR |
Memperoleh konektor Akses VPC Serverless. |
Status transisi
Selama status transisi, Uji Konektivitas memverifikasi konfigurasi yang disimulasikan saat paket diubah (misalnya, saat Cloud NAT menerjemahkan header paket, atau saat proxy load balancing Google Cloud menghentikan dan memulai ulang sesi TCP masuk ke instance VM).
Pesan | Deskripsi |
---|---|
NAT |
Header paket telah diterjemahkan. |
PROXY_CONNECTION |
Koneksi asli dihentikan, dan koneksi melalui proxy yang baru dimulai. |
Negara bagian khusus
Dalam status ini, penampil uji tidak memiliki izin untuk melihat satu atau beberapa resource Google Cloud. Untuk informasi selengkapnya, lihat Izin pengujian.
Nama metadata | Deskripsi |
---|---|
VIEWER_PERMISSION_MISSING |
Audiens hasil pengujian tidak memiliki izin untuk melihat konfigurasi resource Google Cloud dalam langkah ini. |
Metadata resource
Uji Konektivitas menampilkan metadata berikut untuk konfigurasi resource Google Cloud yang diperiksa.
Nama metadata | Deskripsi |
---|---|
EndpointInfo |
Endpoint yang digunakan untuk pengujian. Uji Konektivitas mendapatkan EndpointInfo dari endpoint sumber dan tujuan serta memvalidasi informasi dengan menggunakan model untuk bidang data. |
FirewallInfo |
Metadata yang terkait dengan aturan firewall. |
ForwardingRuleInfo |
Metadata yang terkait dengan aturan penerusan VPC. |
InstanceInfo |
Metadata yang terkait dengan instance VM Compute Engine. |
LoadBalancerInfo |
Metadata yang terkait dengan load balancer Google Cloud. |
NetworkInfo |
Metadata yang terkait dengan jaringan VPC. |
RouteInfo |
Metadata yang terkait dengan rute jaringan VPC. |
AppEngineVersionInfo |
Metadata yang terkait dengan versi layanan lingkungan standar App Engine. |
CloudRunRevisionInfo |
Metadata yang terkait dengan revisi Cloud Run. |
CloudFunctionInfo |
Metadata yang terkait dengan Cloud Function. |
VpcConnectorInfo |
Metadata yang terkait dengan konektor Akses VPC Serverless. |