Status analisis konfigurasi

Analisis konfigurasi Uji Konektivitas menjalani serangkaian status pengujian saat memeriksa konfigurasi setiap resource Google Cloud di jalur jaringan dari sumber yang ditetapkan ke tujuan yang ditetapkan. Gunakan referensi ini untuk menafsirkan status ini.

Untuk mengetahui informasi selengkapnya tentang Uji Konektivitas, termasuk detail tentang analisis bidang data langsung, lihat ringkasan.

Status pengujian

Analisis konfigurasi Uji Konektivitas menyediakan data untuk status pengujian berikut dalam urutan yang tercantum:

  • Status awal
  • Status pemeriksaan konfigurasi
  • Status penerusan
  • Status transisi
  • Negara bagian khusus
  • Status final
  • Hasil keterjangkauan secara keseluruhan

Beberapa status ini muncul di setiap trace, sementara yang lain hanya muncul saat menguji konfigurasi resource Google Cloud tertentu atau saat melakukan tugas tertentu.

Status akhir dan hasil keterjangkauan secara keseluruhan memberikan output pengujian yang paling penting.

Selain itu, output pengujian dapat menyertakan metadata untuk resource Google Cloud yang terkait dengan satu atau beberapa status; misalnya, informasi tentang nama dan alamat IP instance virtual machine (VM).

Cara analisis konfigurasi mengevaluasi keterjangkauan

Analisis konfigurasi menyimulasikan paket pengujian melalui jalur jaringan dengan memverifikasi konfigurasi untuk resource Google Cloud di jalur tersebut. Beberapa contoh konfigurasi jaringan yang tidak valid adalah aturan penerusan Cloud Load Balancing yang tidak memiliki backend atau rute jaringan yang tidak ada.

Selama status pemeriksaan konfigurasi, Pengujian Konektivitas mengumpulkan informasi tentang rute jaringan seperti rute yang dikonfigurasi pengguna, rute dinamis berdasarkan iklan BGP, atau rute berbasis kebijakan. Analisis konfigurasi kemudian memilih rute jaringan berdasarkan penerapan dan urutan.

Untuk status pemeriksaan konfigurasi, verified berarti Pengujian Konektivitas mengonfirmasi bahwa konfigurasi untuk resource Google Cloud yang diuji valid. Konfigurasi ini memungkinkan paket pengujian simulasi untuk melanjutkan jalur jaringan yang sedang diuji.

Untuk aturan firewall masuk dan keluar, verified berarti analisis konfigurasi mengonfirmasi bahwa aturan firewall valid. Aturan {i>firewall<i} mengizinkan paket pengujian yang disimulasikan untuk lewat.

Jika Uji Konektivitas menentukan bahwa konfigurasi tidak valid, paket memiliki status akhir Drop.

Hasil keterjangkauan secara keseluruhan

Analisis konfigurasi memberikan ringkasan keseluruhan status keterjangkauan, juga dikenal sebagai hasil. Hasil dapat memiliki salah satu dari empat nilai: Reachable, Unreachable, Ambiguous, dan Undetermined.

Tabel nilai

Tabel berikut menjelaskan nilai untuk setiap jenis hasil keterjangkauan secara keseluruhan.

Hasil keterjangkauan secara keseluruhan Deskripsi
Reachable Ada dua kemungkinan skenario. Dalam kedua skenario tersebut, Pengujian Konektivitas tidak menemukan masalah konfigurasi apa pun. Dengan demikian, kedua skenario dianggap sebagai Reachable.
  • Pada skenario pertama, paket yang berasal dari sumber diharapkan mencapai tujuannya. Status akhir dari satu atau beberapa trace adalah Deliver.
  • Pada skenario kedua, analisis selesai sebagian berdasarkan konfigurasi yang izinnya dimiliki pengguna. Status akhir dari satu atau beberapa trace adalah Forward.
Unreachable Paket yang berasal dari sumber diharapkan akan dihapus sebelum mencapai tujuannya. Status akhir semua rekaman aktivitas adalah Drop.
Ambiguous

Hasil ini ditampilkan jika endpoint sumber dan tujuan tidak mengidentifikasi lokasi pengujian dalam jaringan secara unik, dan hasil keterjangkauan secara keseluruhan berisi beberapa trace dengan campuran status Reachable dan Unreachable.

Dalam hal ini, status akhir di antara beberapa trace menampilkan status akhir yang berbeda. Hasil Ambiguous tidak berlaku untuk pengujian yang hanya berisi satu rekaman aktivitas.

Undetermined

Keterjangkauan tidak dapat ditentukan. Status akhir untuk satu rekaman aktivitas adalah Forward atau Abort. Untuk beberapa pelacakan, status akhir adalah kombinasi dari Forward atau Abort.

Keterjangkauan dari sumber ke tujuan tidak dapat ditentukan karena salah satu alasan berikut:

  • Analisis dibatalkan karena error izin. Pengguna tidak memiliki izin baca untuk project yang tercantum dalam pengujian.
  • Analisis dibatalkan karena terjadi error internal.

Beberapa trace

Setiap analisis konfigurasi dapat berisi beberapa trace, dan status akhir trace ini mungkin tidak sama. Misalnya, paket ke VIP untuk load balancer Google Cloud mungkin memiliki trace n jika ada n instance VM backend yang dikonfigurasi untuk load balancer. Trace n ini mungkin tidak memiliki status akhir yang sama.

Karena analisis dapat menghasilkan beberapa kemungkinan rekaman aktivitas, hal berikut berlaku:

  • Jika hanya ada satu hasil rekaman aktivitas, hasil keterjangkauan keseluruhan sama dengan status akhir rekaman aktivitas.
  • Jika ada beberapa hasil rekaman aktivitas, hasil keterjangkauan keseluruhan dihitung berdasarkan distribusi status akhir yang terkandung dalam semua trace.

Metadata hasil

Selain hasil keterjangkauan secara keseluruhan untuk trace, setiap hasil pengujian berisi metadata berikut:

  • Waktu status pengujian untuk pengujian diverifikasi
  • Detail error kegagalan atau pembatalan pengujian
  • Detail trace untuk setiap trace

Detail error kegagalan atau pembatalan uji ditampilkan sebagai kode dan pesan yang ditampilkan dalam hasil keterjangkauan secara keseluruhan. Misalnya, pengujian dengan status akhir Abort mungkin menampilkan pesan error seperti Failed to pull initial config. An internal error occurred.

Status awal

Selama status awal, analisis konfigurasi menyimulasikan mulai dari endpoint jaringan.

Pesan Deskripsi
START_FROM_INSTANCE Paket berasal dari instance Compute Engine. Metadata InstanceInfo diisi oleh Uji Konektivitas.
START_FROM_INTERNET Paket tersebut berasal dari internet. Metadata EndpointInfo diisi oleh Uji Konektivitas.
START_FROM_PRIVATE_NETWORK Paket berasal dari jaringan VPC atau jaringan lokal dengan alamat IP sumber internal. Jika sumbernya adalah jaringan VPC yang terlihat oleh pengguna, metadata NetworkInfo diisi dengan detail jaringan oleh Uji Konektivitas.
START_FROM_CLOUD_FUNCTION Paket berasal dari Cloud Function. Metadata CloudFunctionInfo diisi oleh Uji Konektivitas.
START_FROM_CLOUD_RUN_REVISION Paket ini berasal dari revisi layanan Cloud Run. Metadata CloudRunRevisionInfo diisi oleh Uji Konektivitas.
START_FROM_APP_ENGINE_VERSION Paket berasal dari versi layanan lingkungan standar App Engine. Metadata AppEngineVersionInfo diisi oleh Uji Konektivitas.

Status final

Ada empat status akhir: Drop, Abort, Forward, dan Deliver. Setiap bagian berikut memiliki tabel yang berisi pesan dan deskripsi untuk setiap status.

Lepaskan

Uji Konektivitas menghapus paket pengujian yang disimulasikan karena target pengujian tidak dapat dijangkau karena alasan berikut.

Pesan Deskripsi
UNKNOWN_EXTERNAL_ADDRESS Alamat eksternal tujuan tidak dapat diselesaikan ke target yang diketahui.
FOREIGN_IP_DISALLOWED Instance VM hanya dapat mengirim atau menerima paket dengan alamat IP asing jika ip_forward diaktifkan. Dengan kata lain, alamat IP asing gagal dalam pemeriksaan spoof.
FIREWALL_RULE

Dihentikan karena aturan firewall, kecuali jika diizinkan karena pelacakan koneksi.

Uji Konektivitas dapat menolak paket pengujian karena paket tersebut cocok dengan aturan firewall pemblokiran. Namun, bidang data yang sebenarnya mungkin mengizinkan paket masuk karena pelacakan koneksi pada aturan firewall. Pelacakan koneksi memungkinkan paket untuk koneksi yang ada kembali, terlepas dari aturan firewall.

NO_ROUTE Dihentikan karena tidak ada rute.
ROUTE_BLACKHOLE Dihentikan karena hop berikutnya dari rute yang cocok tidak ada.
ROUTE_WRONG_NETWORK Paket dikirim ke jaringan yang salah (tidak diinginkan), seperti ditunjukkan dalam Mendeteksi konfigurasi yang tidak valid atau tidak konsisten.
PRIVATE_TRAFFIC_TO_INTERNET Sebuah paket dengan alamat tujuan internal telah dikirim ke gateway internet.
PRIVATE_GOOGLE_ACCESS_DISALLOWED Instance VM yang hanya memiliki alamat IP internal mencoba mengakses Google API atau layanan Google, tetapi Akses Google Pribadi tidak diaktifkan.
NO_EXTERNAL_ADDRESS Instance VM yang hanya memiliki alamat IP internal mencoba mengakses host eksternal melalui rute yang next hop-nya adalah gateway internet default. Diharapkan saat Cloud NAT tidak diaktifkan di subnet atau saat tidak ada rute default lain yang menggunakan jenis next hop berbeda (seperti VM proxy).
UNKNOWN_INTERNAL_ADDRESS Alamat internal tujuan tidak dapat diselesaikan ke target yang diketahui.
FORWARDING_RULE_MISMATCH Protokol dan port aturan penerusan tidak cocok dengan header paket, atau paket tidak berasal dari atau tidak diarahkan ke region yang sama dengan load balancer regional.
FORWARDING_RULE_NO_INSTANCES Backend aturan penerusan tidak dikonfigurasi.
FIREWALL_BLOCKING_LOAD_BALANCER_BACKEND_HEALTH_CHECK

Aturan firewall memblokir pemeriksaan health check ke backend dan menyebabkan backend tidak tersedia untuk traffic dari load balancer.

Sebagai bagian dari urutan pengujian untuk Cloud Load Balancing, analisis konfigurasi memverifikasi bahwa aturan firewall yang ada telah dikonfigurasi untuk mengizinkan paket pemeriksaan health check dikirim ke backend Cloud Load Balancing. Pemeriksaan konfigurasi ini akan menghasilkan healthCheckFirewallState. Untuk mengetahui detailnya, lihat Aturan firewall health check.

INSTANCE_NOT_RUNNING Sebuah paket dikirim dari atau ke instance VM yang tidak dalam status berjalan.
TRAFFIC_TYPE_BLOCKED Jenis traffic diblokir dan pengguna tidak dapat mengonfigurasi aturan firewall untuk mengaktifkannya. Untuk mengetahui detailnya, lihat Traffic yang selalu diblokir.
GKE_MASTER_UNAUTHORIZED_ACCESS Akses ke endpoint bidang kontrol Google Kubernetes Engine tidak diizinkan. Untuk mengetahui detailnya, lihat Akses ke endpoint cluster.
DROPPED_INSIDE_GKE_SERVICE Sebuah paket dihapus di dalam layanan Google Kubernetes Engine.
CLOUD_SQL_INSTANCE_UNAUTHORIZED_ACCESS Akses ke endpoint instance Cloud SQL tidak diizinkan. Untuk mengetahui detailnya, lihat Memberi otorisasi dengan jaringan yang diizinkan.
DROPPED_INSIDE_CLOUD_SQL_SERVICE Sebuah paket dihapus di dalam layanan Cloud SQL.
GOOGLE_MANAGED_SERVICE_NO_PEERING Sebuah paket dihapus karena tidak ada peering antara jaringan asal dan jaringan layanan yang dikelola Google.
CLOUD_SQL_INSTANCE_NO_IP_ADDRESS Sebuah paket dihapus karena instance Cloud SQL tidak memiliki alamat IP pribadi maupun publik.
PSC_CONNECTION_NOT_ACCEPTED Sebuah paket terputus karena koneksi ke layanan yang dipublikasikan yang menggunakan Private Service Connect tidak diterima.
CLOUD_FUNCTION_NOT_ACTIVE Paket dihapus karena Cloud Function tidak aktif.
VPC_CONNECTOR_NOT_SET Sebuah paket dihapus karena layanan lingkungan standar App Engine, Cloud Function, atau revisi Cloud Run tidak memiliki konektor Akses VPC Serverless yang dikonfigurasi.
VPC_CONNECTOR_NOT_RUNNING Sebuah paket dihapus karena konektor Akses VPC Serverless tidak berjalan.
CLOUD_RUN_REVISION_NOT_READY Sebuah paket dihapus karena revisi Cloud Run belum siap dan tidak dapat menyalurkan traffic.

Batalkan

Analisis konfigurasi dihentikan karena kurangnya informasi dasar, seperti kurangnya akses ke konfigurasi jaringan.

Status ini biasanya terjadi saat Uji Konektivitas tidak memiliki izin yang benar untuk mendapatkan konfigurasi dari project host untuk project layanan, seperti yang ditunjukkan dalam tabel berikut.

Pesan Deskripsi
UNKNOWN_NETWORK

Dibatalkan karena jaringan tidak diketahui. Analisis tidak dapat dilanjutkan karena, di jaringan VPC Bersama, pengguna yang menjalankan pengujian tidak memiliki akses ke konfigurasi jaringan project host, termasuk aturan dan rute firewall.

Menjalankan Uji Konektivitas mengharuskan pengguna yang menjalankan pengujian dapat membaca konfigurasi untuk resource seperti rute dalam project host. Hal ini terjadi karena resource jaringan dialokasikan di project host, tetapi resource sebenarnya ada di project layanan.

UNKNOWN_IP

Analisis dibatalkan karena alamat IP yang diperlukan untuk analisis tidak diketahui. Hal ini disebabkan oleh input pengguna yang salah, atau analisis konfigurasi tidak dapat menentukan endpoint yang valid berdasarkan parameter input yang diberikan.

Dalam jaringan VPC Bersama, pengguna yang menjalankan pengujian tidak memiliki akses ke konfigurasi jaringan project host. Akses ini diperlukan untuk melakukan pengujian terhadap alamat IP dalam project layanan.

UNKNOWN_PROJECT Analisis dibatalkan karena tidak ada informasi project yang dapat diambil dari input untuk Uji Konektivitas. Hal ini karena input pengguna yang salah atau, berdasarkan parameter input yang diberikan, analisis tidak dapat menentukan project yang valid.
PERMISSION_DENIED Analisis dibatalkan karena pengguna tidak memiliki izin untuk mengakses semua atau sebagian konfigurasi jaringan yang diperlukan untuk menjalankan pengujian.
NO_SOURCE_LOCATION Analisis dibatalkan karena tidak ada endpoint sumber yang valid yang dapat diambil dari input pengujian. Hal ini karena input pengguna yang salah atau, berdasarkan parameter input yang diberikan, analisis tidak dapat menentukan endpoint sumber yang valid.
INVALID_ARGUMENT

Analisis dibatalkan karena endpoint sumber dan/atau tujuan yang ditentukan dalam input pengujian tidak valid. Kemungkinan alasan untuk pesan ini adalah sebagai berikut:

  • Alamat IP yang salah format
  • Instance VM atau URI jaringan yang tidak ada
  • Alamat IP yang tidak berada dalam rentang URI jaringan yang ditentukan
  • Instance VM yang tidak memiliki antarmuka jaringan di jaringan yang ditentukan
NO_EXTERNAL_IP Analisis dibatalkan karena traffic dikirim dari alamat IP publik ke instance VM yang tidak memiliki alamat IP eksternal.
UNINTENDED_DESTINATION Analisis dibatalkan karena tidak ada trace yang dapat cocok dengan informasi tujuan yang ditentukan dalam input pengujian.
TRACE_TOO_LONG Analisis dibatalkan karena jumlah langkah dalam trace melampaui batas tertentu. Masalah ini mungkin disebabkan oleh loop perutean.
INTERNAL_ERROR Dibatalkan karena terjadi error server internal.
SOURCE_ENDPOINT_NOT_FOUND Dibatalkan karena endpoint sumber tidak dapat ditemukan.
MISMATCHED_SOURCE_NETWORK Dibatalkan karena jaringan sumber tidak cocok dengan endpoint sumber.
DESTINATION_ENDPOINT_NOT_FOUND Dibatalkan karena endpoint tujuan tidak dapat ditemukan.
MISMATCHED_DESTINATION_NETWORK Dibatalkan karena jaringan tujuan tidak cocok dengan endpoint tujuan.

Meneruskan

Analisis berhenti pada endpoint tertentu dan tidak bisa dilanjutkan:

  • Analisis selesai sebagian berdasarkan konfigurasi yang diizinkan oleh pengguna.
  • Paket pengujian diteruskan ke jaringan dengan konfigurasi yang tidak diketahui.
  • Target pengujian belum dihapus sesuai dengan konfigurasi yang diketahui, dan paket pengujian telah diteruskan ke jaringan tempat Uji Konektivitas tidak memiliki visibilitas.
Pesan Diteruskan
PEERING_VPC Ke jaringan VPC peer
VPN_GATEWAY Ke gateway Cloud VPN
INTERCONNECT Ke koneksi Cloud Interconnect
GKE_MASTER Ke bidang kontrol GKE
IMPORTED_CUSTOM_ROUTE_NEXT_HOP Ke hop berikutnya dari rute kustom yang diimpor dari jaringan VPC yang di-peering
CLOUD_SQL_INSTANCE Ke instance Cloud SQL

Sampaikan

Analisis ini mampu mencapai target dan mengirimkan paket uji yang disimulasikan.

Status akhir Deliver tidak menjamin bahwa traffic dapat melewati bidang data. Tujuan analisis ini adalah untuk memvalidasi masalah konfigurasi yang mungkin menyebabkan penurunan traffic.

Pesan Target
INSTANCE Instance VM Compute Engine
INTERNET Internet
GOOGLE_API Google API
GKE_MASTER Bidang kontrol GKE
CLOUD_SQL_INSTANCE Instance Cloud SQL
PSC_GOOGLE_API Semua Google API dan layanan Google yang menggunakan Private Service Connect
PSC_VPC_SC Kontrol Layanan VPC yang menggunakan Private Service Connect
PSC_PUBLISHED_SERVICE Layanan dipublikasikan yang menggunakan Private Service Connect

Metadata

Analisis konfigurasi menunjukkan metadata berikut untuk status akhir.

Nama metadata Deskripsi
AbortInfo Penyebab status akhir Abort dan URI resource yang menyebabkan status tersebut.
DropInfo Penyebab status akhir Drop dan URI resource yang menyebabkan status tersebut.
ForwardInfo Jenis target dan URI resource target yang menjadi tujuan penerusan paket pengujian (status akhir Forward).

Negara bagian lain

Sebelum paket pengujian mencapai salah satu status akhir, paket tersebut akan melalui status perantara berikut: status pemeriksaan konfigurasi, status penerusan, status transisi, dan status khusus.

Status pemeriksaan konfigurasi

Selama status pemeriksaan konfigurasi, Pengujian Konektivitas akan memeriksa konfigurasi resource Google Cloud di jalur jaringan yang disimulasikan, memverifikasi bahwa konfigurasi resource valid, dan memverifikasi bahwa konfigurasi tersebut mengizinkan paket uji yang disimulasikan untuk dilanjutkan melalui jalur jaringan.

Jika diperlukan, analisis konfigurasi melakukan pemeriksaan {i>spoof<i}.

Pesan Deskripsi
APPLY_INGRESS_FIREWALL_RULE Aturan firewall masuk yang diverifikasi.
APPLY_EGRESS_FIREWALL_RULE Aturan firewall keluar yang terverifikasi.
APPLY_ROUTE Rute terverifikasi.
APPLY_FORWARDING_RULE Aturan penerusan yang cocok.
SPOOFING_APPROVED Paket dikirim atau diterima dengan alamat IP asing, tetapi diizinkan. Untuk mengetahui detailnya, lihat pemeriksaan spoof.

Status penerusan

Selama status penerusan, Uji Konektivitas menyimulasikan paket yang tiba di resource Google Cloud perantara dalam jalur pengujian (misalnya, paket yang tiba di gateway Cloud VPN atau load balancer Google Cloud).

Pesan Deskripsi
ARRIVE_AT_INSTANCE Tiba di instance VM Compute Engine.
ARRIVE_AT_INTERNAL_LOAD_BALANCER Mencapai load balancer Google Cloud yang menggunakan alamat IP pribadi sebagai VIP.
ARRIVE_AT_EXTERNAL_LOAD_BALANCER Tiba di alamat IP publik load balancer Google Cloud.
ARRIVE_AT_VPN_GATEWAY Tiba di gateway VPN Cloud.
ARRIVE_AT_VPN_TUNNEL Tiba di tunnel Cloud VPN.
ARRIVE_AT_VPC_CONNECTOR Memperoleh konektor Akses VPC Serverless.

Status transisi

Selama status transisi, Uji Konektivitas memverifikasi konfigurasi yang disimulasikan saat paket diubah (misalnya, saat Cloud NAT menerjemahkan header paket, atau saat proxy load balancing Google Cloud menghentikan dan memulai ulang sesi TCP masuk ke instance VM).

Pesan Deskripsi
NAT Header paket telah diterjemahkan.
PROXY_CONNECTION Koneksi asli dihentikan, dan koneksi melalui proxy yang baru dimulai.

Negara bagian khusus

Dalam status ini, penampil uji tidak memiliki izin untuk melihat satu atau beberapa resource Google Cloud. Untuk informasi selengkapnya, lihat Izin pengujian.

Nama metadata Deskripsi
VIEWER_PERMISSION_MISSING Audiens hasil pengujian tidak memiliki izin untuk melihat konfigurasi resource Google Cloud dalam langkah ini.

Metadata resource

Uji Konektivitas menampilkan metadata berikut untuk konfigurasi resource Google Cloud yang diperiksa.

Nama metadata Deskripsi
EndpointInfo Endpoint yang digunakan untuk pengujian. Uji Konektivitas mendapatkan EndpointInfo dari endpoint sumber dan tujuan serta memvalidasi informasi dengan menggunakan model untuk bidang data.
FirewallInfo Metadata yang terkait dengan aturan firewall.
ForwardingRuleInfo Metadata yang terkait dengan aturan penerusan VPC.
InstanceInfo Metadata yang terkait dengan instance VM Compute Engine.
LoadBalancerInfo Metadata yang terkait dengan load balancer Google Cloud.
NetworkInfo Metadata yang terkait dengan jaringan VPC.
RouteInfo Metadata yang terkait dengan rute jaringan VPC.
AppEngineVersionInfo Metadata yang terkait dengan versi layanan lingkungan standar App Engine.
CloudRunRevisionInfo Metadata yang terkait dengan revisi Cloud Run.
CloudFunctionInfo Metadata yang terkait dengan Cloud Function.
VpcConnectorInfo Metadata yang terkait dengan konektor Akses VPC Serverless.

Langkah selanjutnya