Un'analisi della configurazione del test di connettività passa attraverso una di stati di test durante la verifica della configurazione di ogni Google Cloud risorsa in un percorso di rete da un'origine designata a una destinazione designata. Utilizza questo riferimento per interpretare questi stati.
Per ulteriori informazioni su Connectivity Tests, inclusi dettagli su l'analisi del piano dati in tempo reale, Panoramica.
Stato del test
Un'analisi della configurazione del test di connettività fornisce dati per il seguente test stati nell'ordine elencato:
- Stato iniziale
- Stato di controllo della configurazione
- Stato di inoltro
- Stato di transizione
- Stato speciale
- Stato finale
- Risultato complessivo della raggiungibilità
Alcuni di questi stati compaiono in ogni traccia, mentre altri vengono visualizzati solo quando la configurazione di una risorsa Google Cloud specifica o quando eseguire una determinata attività.
Lo stato finale e il risultato di raggiungibilità complessiva forniscono l'output del test più importante.
Inoltre, l'output di test può includere metadati per le risorse Google Cloud che siano associati a uno o più stati; ad esempio informazioni sul nome e sull'indirizzo IP di un'istanza di macchina virtuale (VM).
In che modo l'analisi della configurazione valuta la raggiungibilità
L'analisi della configurazione simula un pacchetto di test attraverso un percorso di rete verificando le configurazioni per le risorse Google Cloud in quel percorso. Alcune esempi di configurazioni di rete non valide sono un Cloud Load Balancing di una regola di forwarding senza backend o con una route di rete che non esiste.
Durante lo stato di controllo della configurazione, Connectivity Tests raccoglie informazioni su route di rete come route configurate dall'utente, route dinamiche basate su BGP pubblicità o route basate su criteri. L'analisi della configurazione sceglie quindi una route di rete in base all'applicabilità e all'ordine.
Per lo stato di controllo della configurazione, verified significa
che Connectivity Tests confermi che una configurazione
La risorsa Google Cloud testata è valida. La configurazione consente al pacchetto di test simulato di continuare lungo il percorso di rete in fase di test.
Per le regole firewall in entrata e in uscita, verified
significa che l'analisi della configurazione conferma che la regola firewall è valida.
La regola del firewall consente il passaggio del pacchetto di test simulato.
Se Connectivity Tests determina che una configurazione non è valida,
il pacchetto ha uno stato finale Drop.
Risultato complessivo della raggiungibilità
L'analisi di configurazione fornisce un riepilogo generale dello stato di raggiungibilità, noto anche come risultato. I risultati possono avere uno dei quattro valori:
Reachable, Unreachable, Ambiguous e Undetermined.
Tabella dei valori
La tabella seguente descrive il valore per ogni tipo di risultato di raggiungibilità complessiva.
| Risultato complessivo della raggiungibilità | Descrizione |
|---|---|
Reachable |
Esistono due possibili scenari. In entrambi gli scenari,
i test di connettività non rilevano problemi di configurazione.
Pertanto, entrambi gli scenari sono considerati Reachable.
|
Unreachable |
Il pacchetto proveniente dall'origine dovrebbe essere eliminato prima di raggiungere la destinazione. Lo stato finale di tutte le tracce è
Drop |
Ambiguous |
Questo risultato viene restituito se gli endpoint di origine e di destinazione non
identificano in modo univoco la posizione del test nella rete e il risultato della copertura complessiva contiene più tracce con stati In questo caso, gli stati finali tra più tracce restituiscono stati finali diversi. Il risultato di |
Undetermined |
Impossibile determinare la raggiungibilità. Lo stato finale di una traccia è La raggiungibilità dall'origine alla destinazione non può essere determinata per uno dei seguenti motivi:
|
Tracce multiple
Ogni analisi della configurazione può contenere più tracce e
lo stato finale di queste tracce potrebbe non essere lo stesso. Ad esempio, un pacchetto
il VIP per un bilanciatore del carico Google Cloud potrebbe avere n tracce se
sono n istanze VM di backend configurate per il bilanciatore del carico. Queste n tracce
potrebbero non avere gli stessi stati finali.
Poiché un'analisi può produrre più possibili tracce, vale quanto segue:
- Se viene restituita una sola traccia, la raggiungibilità complessiva è uguale allo stato finale della traccia.
- Se sono presenti più risultati della traccia, il risultato della raggiungibilità complessiva viene calcolato in base alla distribuzione degli stati finali contenuti in tutte le tracce.
Metadati dei risultati
Oltre al risultato complessivo di raggiungibilità delle tracce, ogni il risultato del test contiene i seguenti metadati:
- La data e l'ora in cui è stato verificato lo stato del test
- Dettagli dell'errore di un fallimento o dell'annullamento di un test
- Dettagli della traccia per ogni traccia
I dettagli degli errori di test non riuscito o relativo a un annullamento vengono mostrati sotto forma di codici e messaggi
visualizzato nel risultato
globale sulla connettività. Ad esempio, un test con un
lo stato finale di Abort potrebbe mostrare un messaggio di errore come
Failed to pull initial config. An internal error occurred.
Stato iniziale
Durante lo stato iniziale, l'analisi della configurazione simula l'avvio da un endpoint di rete.
| Messaggio | Descrizione |
|---|---|
START_FROM_INSTANCE |
Il pacchetto ha avuto origine da un'istanza Compute Engine.
I metadati di InstanceInfo sono stati compilati da Connectivity Tests. |
START_FROM_INTERNET |
Il pacchetto ha avuto origine da internet.
I metadati di EndpointInfo sono stati compilati da Connectivity Tests. |
START_FROM_PRIVATE_NETWORK |
Il pacchetto ha avuto origine da una rete VPC o da una rete on-premise con un indirizzo IP sorgente interno. Se l'origine
era una rete VPC visibile all'utente,
Metadati NetworkInfo
è stato compilato con i dettagli di rete da Connectivity Tests. |
START_FROM_CLOUD_FUNCTION |
Il pacchetto ha avuto origine da una funzione Cloud Run.
Il valore di CloudFunctionInfo metadati era
compilate da Connectivity Tests. |
START_FROM_CLOUD_RUN_REVISION |
Il pacchetto ha avuto origine da una revisione di un
servizio Cloud Run.
Il valore di CloudRunRevisionInfo metadati era
compilate da Connectivity Tests. |
START_FROM_APP_ENGINE_VERSION |
Il pacchetto ha avuto origine da una versione di un servizio dell'ambiente standard di App Engine.
Metadati AppEngineVersionInfo
è stato compilato da Connectivity Tests. |
Stato finale
Esistono quattro stati finali: Drop, Abort,
Forward e Deliver. Ciascuno dei
le seguenti sezioni hanno una tabella che contiene i messaggi e le descrizioni
stato.
Rilascia
I test di connettività hanno ignorato il pacchetto di test simulato perché il target di test non era raggiungibile per i seguenti motivi.
| Messaggio | Descrizione |
|---|---|
UNKNOWN_EXTERNAL_ADDRESS |
L'indirizzo esterno di destinazione non può essere risolto in una destinazione nota. |
FOREIGN_IP_DISALLOWED |
L'istanza VM può inviare o ricevere solo un pacchetto
con un indirizzo IP esterno se ip_forward è abilitato. In altre
parole, l'indirizzo IP estero non ha superato un
controllo di spoofing. |
FIREWALL_RULE |
Ignorato a causa di una regola del firewall, a meno che non sia consentito per il monitoraggio delle connessioni. Connectivity Tests potrebbe rifiutare un pacchetto di test perché pacchetto corrisponde a una regola firewall di blocco. Tuttavia, l'effettivo piano dati potrebbe consentire pacchetto a causa del monitoraggio delle connessioni nella regola firewall. Il monitoraggio delle connessioni consente il ritorno dei pacchetti per una connessione esistente nonostante la regola del firewall. |
NO_ROUTE |
Ignorato per assenza di route. |
ROUTE_BLACKHOLE |
È stato ignorato perché l'hop successivo della route con corrispondenza non esiste. |
ROUTE_WRONG_NETWORK |
Il pacchetto è stato inviato alla rete errata (non intenzionale), come mostrato in Rilevamento di configurazioni non valide o incoerenti. |
PRIVATE_TRAFFIC_TO_INTERNET |
Un pacchetto con un indirizzo di destinazione interno è stato inviato a una connessione internet gateway VPN ad alta disponibilità. |
PRIVATE_GOOGLE_ACCESS_DISALLOWED |
Un'istanza VM con solo un indirizzo IP interno ha tentato di accedere un'API di Google o un servizio Google, ma non l'accesso privato Google in un bucket in cui è abilitato il controllo delle versioni. |
NO_EXTERNAL_ADDRESS |
Un'istanza VM con solo un indirizzo IP interno ha tentato di accedere a host esterni tramite una route il cui hop successivo è il gateway internet predefinito. Previsto quando Cloud NAT non è abilitato nella subnet o quando sono presenti nessun'altra route predefinita che utilizza un tipo diverso di hop successivo (come un una VM proxy). |
UNKNOWN_INTERNAL_ADDRESS |
Non è stato possibile risolvere un indirizzo interno di destinazione in una destinazione nota. |
FORWARDING_RULE_MISMATCH |
Il protocollo e le porte di una regola di forwarding non corrispondevano all'intestazione del pacchetto, oppure il pacchetto non proviene o non è indirizzato alla stessa regione come bilanciatore del carico a livello di regione. |
FORWARDING_RULE_NO_INSTANCES |
Per una regola di forwarding non sono stati configurati backend. |
FIREWALL_BLOCKING_LOAD_BALANCER_BACKEND_HEALTH_CHECK |
Una regola firewall ha bloccato i probe del controllo di integrità verso i backend e ha causato la loro mancata disponibilità per il traffico proveniente dal bilanciatore del carico. Nell'ambito della sequenza di test per Cloud Load Balancing,
l'analisi della configurazione verifica che
Le regole firewall sono state configurate per consentire un probe di controllo di integrità
un pacchetto da inviare ai backend di Cloud Load Balancing. Questo
controllo di configurazione genera un |
INSTANCE_NOT_RUNNING |
È stato inviato un pacchetto da o a un'istanza VM che non era in esecuzione stato. |
TRAFFIC_TYPE_BLOCKED |
Il tipo di traffico è stato bloccato e l'utente non ha potuto configurare una regola firewall per abilitarlo. Per maggiori dettagli, consulta Traffico sempre bloccato. |
GKE_MASTER_UNAUTHORIZED_ACCESS |
L'accesso all'endpoint del control plane di Google Kubernetes Engine non è stato autorizzato. Per maggiori dettagli, vedi Accesso agli endpoint del cluster. |
DROPPED_INSIDE_GKE_SERVICE |
È stato eliminato un pacchetto all'interno del servizio Google Kubernetes Engine. |
CLOUD_SQL_INSTANCE_UNAUTHORIZED_ACCESS |
L'accesso all'endpoint dell'istanza Cloud SQL non è autorizzato. Per i dettagli, vedi Autorizzazione con reti. |
DROPPED_INSIDE_CLOUD_SQL_SERVICE |
Un pacchetto è stato ignorato all'interno del servizio Cloud SQL. |
GOOGLE_MANAGED_SERVICE_NO_PEERING |
È stato eliminato un pacchetto perché non esiste alcun peering tra i server di origine e la rete di servizi gestiti da Google. |
CLOUD_SQL_INSTANCE_NO_IP_ADDRESS |
È stato eliminato un pacchetto perché l'istanza Cloud SQL non ha né un privato o pubblico. |
PSC_CONNECTION_NOT_ACCEPTED |
Un pacchetto è stato ignorato perché la connessione al servizio pubblicato che utilizza Private Service Connect non è accettata. |
CLOUD_FUNCTION_NOT_ACTIVE |
È stato eliminato un pacchetto perché la funzione Cloud Run non è attiva. |
VPC_CONNECTOR_NOT_SET |
È stato eliminato un pacchetto perché il servizio dell'ambiente standard di App Engine, funzione Cloud Run, altrimenti la revisione di Cloud Run dispongono di un accesso VPC serverless connettore configurato. |
VPC_CONNECTOR_NOT_RUNNING |
Un pacchetto è stato ignorato perché il connettore di accesso VPC serverless non è in esecuzione. |
CLOUD_RUN_REVISION_NOT_READY |
È stato eliminato un pacchetto perché la revisione di Cloud Run non è e non possono gestire il traffico. |
Interrompi
L'analisi della configurazione è stata interrotta per mancanza di informazioni di base, ad esempio per mancanza di accesso alla configurazione di rete.
Questo stato di solito si verifica quando Connectivity Tests non ha le autorizzazioni corrette per ottenere la configurazione dal progetto host progetto di servizio, come illustrato nella tabella seguente.
| Messaggio | Descrizione |
|---|---|
UNKNOWN_NETWORK |
Interrotta a causa di una rete sconosciuta. L'analisi non può procedere perché, in una rete VPC condivisa, l'utente che esegue il test non ha accesso alle configurazioni di rete del progetto host, incluse le regole e le route del firewall. L'esecuzione di un test di connettività richiede che l'utente che lo esegue possa leggere le configurazioni di risorse come le route nel progetto host. Questo accade perché le risorse di rete vengono allocate nel progetto host, ma le risorse effettive esistono nel progetto di servizio. |
UNKNOWN_IP |
L'analisi è stata interrotta perché gli indirizzi IP richiesti per l'analisi erano sconosciute. Ciò è dovuto a un input utente o alla configurazione errati l'analisi non è riuscita a determinare un endpoint valido in base ai parametri di input forniti. In una rete VPC condiviso, l'utente che esegue il test non aveva alle configurazioni di rete del progetto host. Questo accesso è obbligatorio per i test in base agli indirizzi IP nel progetto di servizio. |
UNKNOWN_PROJECT |
L'analisi è stata interrotta perché non è stato possibile ricavare informazioni di progetto l'input al test di connettività. Ciò è dovuto a input utente errato oppure, in base ai parametri di input forniti, l'analisi non ha potuto determinare un progetto valido. |
PERMISSION_DENIED |
L'analisi è stata interrotta perché l'utente non disponeva dell'autorizzazione per accedere tutte o parte delle configurazioni di rete necessarie per eseguire il test. |
NO_SOURCE_LOCATION |
L'analisi è stata interrotta perché non è stato possibile ricavare un endpoint di origine valido dall'input di test. Ciò è dovuto a un input utente errato oppure a seconda del forniti i parametri di input, l'analisi non ha potuto per determinare un endpoint di origine valido. |
INVALID_ARGUMENT |
L'analisi è stata interrotta perché l'endpoint di origine e/o di destinazione specificati nell'input di test non sono validi. Le possibili cause include quanto segue:
|
NO_EXTERNAL_IP |
L'analisi è stata interrotta perché il traffico è stato inviato da un indirizzo IP pubblico a un'istanza VM che non aveva un indirizzo IP esterno. |
UNINTENDED_DESTINATION |
L'analisi è stata interrotta perché nessuna delle tracce è stata trovata le informazioni sulla destinazione specificate nell'input di test. |
TRACE_TOO_LONG |
L'analisi è stata interrotta a causa del numero di passaggi nella traccia superato un certo limite. Questo problema potrebbe essere causato da un loop di routing. |
INTERNAL_ERROR |
Interrotta a causa di un errore interno del server. |
SOURCE_ENDPOINT_NOT_FOUND |
Interrotta perché non è stato possibile trovare l'endpoint di origine. |
MISMATCHED_SOURCE_NETWORK |
Interrotta perché la rete di origine non corrisponde all'endpoint di origine. |
DESTINATION_ENDPOINT_NOT_FOUND |
Interrotta perché non è stato possibile trovare l'endpoint di destinazione. |
MISMATCHED_DESTINATION_NETWORK |
Interrotta perché la rete di destinazione non corrisponde all'endpoint di destinazione. |
Avanti
L'analisi si è interrotta in un endpoint specifico e non poteva procedere oltre:
- L'analisi è parzialmente completa in base alle configurazioni in cui l'utente dispone dell'autorizzazione.
- Il pacchetto di test è stato inoltrato a una rete con una configurazione sconosciuta.
- Il target di test non è stato eliminato in base alla configurazione nota, e il pacchetto di test è stato inoltrato a una rete in cui Connectivity Tests non ha visibilità.
| Messaggio | Inoltro effettuato |
|---|---|
PEERING_VPC |
A una rete VPC peer |
VPN_GATEWAY |
A un gateway Cloud VPN |
INTERCONNECT |
A una connessione Cloud Interconnect |
GKE_MASTER |
A un piano di controllo GKE |
IMPORTED_CUSTOM_ROUTE_NEXT_HOP |
All'hop successivo di una route personalizzata importata da una connessione in peering Rete VPC |
CLOUD_SQL_INSTANCE |
A un'istanza Cloud SQL |
Distribuisci
L'analisi è stata in grado di raggiungere il target il pacchetto di test simulato.
Lo stato finale Deliver non garantisce che il traffico possa passare attraverso
piano dati. Lo scopo dell'analisi è convalidare i problemi di configurazione
che potrebbero causare un calo del traffico.
| Messaggio | Target |
|---|---|
INSTANCE |
Un'istanza VM Compute Engine |
INTERNET |
Internet |
GOOGLE_API |
Un'API di Google |
GKE_MASTER |
Un piano di controllo GKE |
CLOUD_SQL_INSTANCE |
Un'istanza Cloud SQL |
PSC_GOOGLE_API |
Tutte le API e i servizi Google che utilizzano Private Service Connect |
PSC_VPC_SC |
Controlli di servizio VPC che utilizzano Private Service Connect |
PSC_PUBLISHED_SERVICE |
Un servizio pubblicato che utilizza Private Service Connect |
Metadati
L'analisi della configurazione mostra i seguenti metadati per lo stato finale.
| Nome metadati | Descrizione |
|---|---|
AbortInfo |
Causa di uno stato finale Abort e dell'URI della risorsa che
questo stato. |
DropInfo |
Causa di uno stato finale Drop e l'URI della risorsa che
ha causato lo stato. |
ForwardInfo |
Il tipo di destinazione e l'URI della risorsa di destinazione a cui è stato infine assegnato un pacchetto di test
inoltrato a (Forward stato finale). |
Altri stati
Prima che il pacchetto di test raggiunga uno degli stati finali, passa attraverso i seguenti stati intermedi: stato di controllo della configurazione, stato di inoltro, stato di transizione e stato speciale.
Stato del controllo della configurazione
Durante lo stato di controllo della configurazione, Connectivity Tests controlla delle risorse Google Cloud nel percorso di rete simulato, verifica che la configurazione della risorsa sia valida e che consente di proseguire il pacchetto di test simulato attraverso la rete del tuo percorso di apprendimento.
Se necessario, l'analisi della configurazione esegue un controllo di spoofing.
| Messaggio | Descrizione |
|---|---|
APPLY_INGRESS_FIREWALL_RULE |
Regola firewall in entrata verificata. |
APPLY_EGRESS_FIREWALL_RULE |
Regola firewall in uscita verificata. |
APPLY_ROUTE |
Percorso verificato. |
APPLY_FORWARDING_RULE |
Regola di forwarding corrispondente. |
SPOOFING_APPROVED |
Il pacchetto è stato inviato o ricevuto con un indirizzo IP esterno, ma consentito. Per maggiori dettagli, consulta Controllo dello spoofing. |
Stato di inoltro
Durante lo stato di inoltro, Connectivity Tests simula un pacchetto che arriva a una risorsa Google Cloud intermedia nel percorso di test (ad esempio un pacchetto che arriva a un gateway Cloud VPN o a un bilanciatore del carico Google Cloud).
| Messaggio | Descrizione |
|---|---|
ARRIVE_AT_INSTANCE |
Messaggio ricevuto in un'istanza VM di Compute Engine. |
ARRIVE_AT_INTERNAL_LOAD_BALANCER |
È stato raggiunto un bilanciatore del carico Google Cloud che utilizza un indirizzo IP privato come VIP. |
ARRIVE_AT_EXTERNAL_LOAD_BALANCER |
Arrivato all'indirizzo IP pubblico di un bilanciatore del carico Google Cloud. |
ARRIVE_AT_VPN_GATEWAY |
È arrivato a un gateway Cloud VPN. |
ARRIVE_AT_VPN_TUNNEL |
È stato raggiunto un tunnel Cloud VPN. |
ARRIVE_AT_VPC_CONNECTOR |
È stato raggiunto un connettore di accesso VPC serverless. |
Stato di transizione
Durante lo stato di transizione, Connectivity Tests verifica la simulazione in cui viene modificato un pacchetto (ad esempio, dove Cloud NAT converte un'intestazione di pacchetto o quando un proxy di bilanciamento del carico di Google Cloud termina e riavvia una sessione TCP in entrata verso le istanze VM).
| Messaggio | Descrizione |
|---|---|
NAT |
L'intestazione del pacchetto è stata tradotta. |
PROXY_CONNECTION |
La connessione originale è stata interrotta ed è stata avviata una nuova connessione con proxy. |
Stato speciale
In questo stato, un visualizzatore di test non dispone dell'autorizzazione per visualizzare uno o più dell'accesso a specifiche risorse Google Cloud. Per ulteriori informazioni, vedi Autorizzazioni di test.
| Nome metadati | Descrizione |
|---|---|
VIEWER_PERMISSION_MISSING |
Il visualizzatore del risultato del test non dispone dell'autorizzazione per visualizzare configurazione della risorsa Google Cloud in questo passaggio. |
Metadati delle risorse
Connectivity Tests mostra i seguenti metadati per Configurazioni delle risorse Google Cloud che controlla.
| Nome dei metadati | Descrizione |
|---|---|
EndpointInfo |
Endpoint utilizzati per il test. I test di connettività
ottengono EndpointInfo dagli endpoint di origine e di destinazione
e convalidano le informazioni utilizzando il modello per il piano dati. |
FirewallInfo |
Metadati associati a una regola firewall. |
ForwardingRuleInfo |
Metadati associati a una regola di forwarding VPC. |
InstanceInfo |
Metadati associati a un'istanza VM di Compute Engine. |
LoadBalancerInfo |
Metadati associati a un bilanciatore del carico Google Cloud. |
NetworkInfo |
Metadati associati a una rete VPC. |
RouteInfo |
Metadati associati a un percorso della rete VPC. |
AppEngineVersionInfo |
Metadati associati a una versione di un servizio dell'ambiente standard di App Engine. |
CloudRunRevisionInfo |
Metadati associati a una revisione Cloud Run. |
CloudFunctionInfo |
Metadati associati a una funzione Cloud Run. |
VpcConnectorInfo |
Metadati associati a un accesso VPC serverless di rete. |