Verbindung zu und von den von Google verwalteten Diensten testen

Auf dieser Seite werden häufige Szenarien zum Testen der Konnektivität zu und von den von Google verwalteten Diensten beschrieben, z. B. GKE-Steuerungsebenen (Google Kubernetes Engine) und Cloud SQL-Instanzen.

Sie können eine Konfigurationsanalyse für Konnektivitätstests für Routen zu und von Google-verwalteten Diensten abrufen. Obwohl Sie keine Zugriffsberechtigung für das Google-Projekt haben, in dem sich diese Ressourcen befinden, können Sie mit Konnektivitätstests auch die Konfiguration des VPC-Netzwerks des Projekts analysieren und ein Gesamtergebnis zur Erreichbarkeit bereitstellen. Konnektivitätstests bieten keine Konfigurationsdetails für Analysen innerhalb des Google-Projekts.

Bei Konnektivitätstests wird standardmäßig versucht, einen Test mit der privaten IP-Adresse des Endpunkts eines von Google verwalteten Dienstes und der VPC-Netzwerk-Peering-Verbindung zwischen Ihrem Netzwerk und dem Google-Netzwerk auszuführen. Wenn der Endpunkt keine private IP-Adresse hat, wird bei Konnektivitätstests die öffentliche IP-Adresse verwendet. Konnektivitätstests analysieren, ob das Paket den Endpunkt erreichen kann. Dazu gehört auch die Analyse der Konfiguration im Google-VPC-Netzwerk für den Endpunkt. Wenn durch Konnektivitätstests innerhalb Ihres Projekts Konfigurationsprobleme erkannt werden, wird die Analyse angehalten, bevor das Google-Netzwerk erreicht wird.

Für Trace-Diagramme auf dieser Seite werden die in der folgenden Legende beschriebenen Symbole verwendet.
Symbole Name Bedeutung
Graue Raute
Grafik: Legende für das Paket-Trace-Diagramm: graue Raute.
Logo: Check Point Ein Entscheidungspunkt, an dem Konnektivitätstests eine Konfiguration prüfen und entscheiden, ob ein Trace-Paket weitergeleitet, zugestellt oder verworfen werden soll.
Blaues Rechteck
Legende für das Paket-Trace-Diagramm: blaues Rechteck.
Hop Ein Schritt im Weiterleitungspfad für ein Trace-Paket, der eine Google Cloud-Ressource darstellt, die ein Paket an den nächsten Hop in einem VPC-Netzwerk weiterleitet, z. B. an einen Cloud Load Balancing-Proxy oder einen Cloud VPN-Tunnel.
Orangefarbenes Sechseck
Legende für das Paket-Trace-Diagramm: orangefarbenes Sechseck.
Endpunkt Die Quelle oder das Ziel eines Trace-Pakets.

Das folgende Diagramm zeigt den Trace-Pfad, wenn Sie die Konnektivität zu von Google verwalteten Diensten testen. Im Diagramm wird ein GKE-Knoten verwendet, um den Test der Steuerungsebene als Beispiel zu steuern.

Trace vom GKE-Quellknoten zur GKE-Ziel-Steuerungsebene
Trace vom GKE-Quellknoten zur GKE-Ziel-Steuerungsebene

Cloud SQL zu einer VM

Der folgende Screenshot aus der Google Cloud Console zeigt einen Trace von einer Cloud SQL-Instanz, wobei ein Gesamtergebnis von Reachable angegeben wird.

Dieses Ergebnis zeigt, dass Konnektivitätstests die Netzwerkkonnektivität von der Cloud SQL-Quellinstanz zur Ziel-VM geprüft haben. Dies schließt die Analyse der Konfiguration in dem Google-Projekt ein, in dem die Cloud SQL-Instanz ausgeführt wird. Der Trace enthält keine Details zu den Ressourcen im Google-Projekt, da Sie nicht berechtigt sind, diese anzusehen.

Screenshot der Google Cloud Console für Trace von Cloud SQL zur VM
Screenshot der Google Cloud Console für Trace von der Cloud SQL-Instanz zur VM

VM zu Cloud SQL

Dieser Abschnitt enthält ein Beispielergebnis für einen erfolgreichen Test von einer VM zu einer Cloud SQL-Instanz. In diesem Beispiel zeigt die Konfigurationsanalyse als Gesamtergebnis Reachable an.

Dieses Ergebnis zeigt, dass Konnektivitätstests die Netzwerkkonnektivität von der Quell-VM zur Cloud SQL-Zielinstanz geprüft haben. Dies schließt die Analyse der Konfiguration in dem Google-Projekt ein, in dem die Cloud SQL-Instanz ausgeführt wird. Der Trace enthält keine Details zu den Ressourcen im Google-Projekt, da Sie nicht berechtigt sind, diese anzusehen.

Screenshot der Google Cloud Console für Trace von der VM zu Cloud SQL.
Screenshot der Google Cloud Console für Trace von der VM zur Cloud SQL-Instanz

VM zu Cloud SQL über öffentliche IP-Adresse

Dieser Abschnitt enthält ein Beispiel für einen erfolgreichen Test von einer VM zu einer Cloud SQL-Instanz über eine öffentliche IP-Adresse. In diesem Beispiel zeigt die Konfigurationsanalyse ein Gesamtergebnis von Reachable an.

Dieses Ergebnis zeigt, dass Konnektivitätstests die Netzwerkkonnektivität von der Quell-VM zur Ziel-Cloud SQL-Instanz über eine öffentliche IP-Adresse geprüft haben. Dies schließt die Analyse der Konfiguration in dem Google-Projekt ein, in dem die Cloud SQL-Instanz ausgeführt wird. Der Trace enthält keine Details zu den Ressourcen im Google-Projekt, da Sie nicht berechtigt sind, diese anzusehen.

Screenshot der Google Cloud Console für Trace von der VM zu Cloud SQL über eine öffentliche IP-Adresse.
Screenshot der Google Cloud Console für Trace von der VM zur Cloud SQL-Instanz über eine öffentliche IP-Adresse

GKE-Steuerungsebene zum GKE-Knoten

Dieser Abschnitt enthält ein Beispiel für einen erfolgreichen Test zu einem GKE-Knoten. In diesem Beispiel gibt die Konfigurationsanalyse ein Gesamtergebnis von Reachable an.

Dieses Ergebnis zeigt, dass Konnektivitätstests die Netzwerkkonnektivität von der GKE-Quellsteuerungsebene zum GKE-Zielknoten geprüft haben. Dies schließt die Analyse der Konfiguration der Ressourcen innerhalb des Google-Projekts ein, in dem der Knoten ausgeführt wird. Der Trace enthält keine Details zu den Ressourcen im Google-Projekt, da Sie nicht berechtigt sind, diese anzusehen.

Screenshot der Google Cloud Console für Trace von der GKE-Steuerungsebene zum Knoten.
Screenshot der Google Cloud Console für Trace von der GKE-Steuerungsebene zum Knoten.

GKE-Knoten zur GKE-Steuerungsebene

Dieser Abschnitt enthält ein Beispiel für einen erfolgreichen Test zu einer GKE-Steuerungsebene. In diesem Beispiel zeigt die Konfigurationsanalyse als Gesamtergebnis Reachable an.

Dieses Ergebnis zeigt, dass Konnektivitätstests die Netzwerkkonnektivität vom GKE-Quellknoten zum GKE-Zielmaster geprüft haben. Dies schließt die Analyse der Konfiguration der Ressourcen innerhalb des Google-Projekts ein, in dem die Steuerungsebene ausgeführt wird. Der Trace enthält keine Details zu den Ressourcen im Google-Projekt, da Sie nicht berechtigt sind, diese anzusehen.

Screenshot der Google Cloud Console für Trace vom GKE-Knoten zur Steuerungsebene.
Screenshot der Google Cloud Console für Trace vom GKE-Knoten zur Steuerungsebene

GKE-Knoten zur GKE-Steuerungsebene über eine öffentliche IP-Adresse

In diesem Abschnitt wird ein Beispiel für einen erfolgreichen Test zu einer GKE-Steuerungsebene über eine öffentliche IP-Adresse beschrieben. In diesem Beispiel gibt die Konfigurationsanalyse ein Gesamtergebnis von Reachable an.

Dieses Ergebnis zeigt, dass Konnektivitätstests die Netzwerkkonnektivität vom GKE-Quellknoten zu dem Netzwerk geprüft haben, in dem die GKE-Steuerungsebene ausgeführt wird, jedoch nicht zur GKE-Steuerungsebene. Beim Testen über eine öffentliche IP-Adresse analysieren Konnektivitätstests nicht die Konfiguration der Ressourcen in dem Google-Projekt, in dem die Steuerungsebene ausgeführt wird.

Screenshot der Google Cloud Console für Trace von GKE-Knoten zur Steuerungsebene über eine öffentliche IP-Adresse.
Screenshot der Google Cloud Console für Trace von GKE-Knoten zur Steuerungsebene über eine öffentliche IP-Adresse

Testfehler bei von Google verwalteten Diensten

Tests der von Google verwalteten Dienste können mit der Fehlermeldung fehlschlagen, dass das Paket innerhalb des Dienstes abgelegt wurde (z. B. DROPPED_INSIDE_GKE_SERVICE oder DROPPED_INSIDE_CLOUD_SQL_SERVICE). Diese Meldung kann auf ein Konfigurationsproblem im Google-Projekt hinweisen, das in den folgenden Fällen den Dienst hostet:

  • Sie haben die Konnektivität zwischen einer GKE-Steuerungsebene und einem GKE-Knoten im selben Cluster (in beide Richtungen) getestet.
  • Sie haben die Konnektivität von Ihrem VPC-Netzwerk zu einer Cloud SQL-Instanz getestet, die mit Ihrem Netzwerk verbunden ist, wobei sich die Quelle und das Ziel in derselben Region befinden.

Wenn Sie die zuvor erwähnte Fehlermeldung für einen der oben aufgeführten Fälle erhalten haben, kontaktieren Sie den Support. Andernfalls kann die Fehlermeldung auf eine ungültige Eingabe hindeuten. Bestätigen Sie, dass Sie einen oder mehrere Endpunkte testen, die tatsächlich vorhanden sind, und dass Sie die verwaltete Ressource im Google-Projekt erreichen. Wenn Sie beispielsweise von einem GKE-Knoten zu einer GKE-Steuerungsebene testen, müssen Sie prüfen, ob der Knoten vorhanden ist und voraussichtlich über Konnektivität zur Steuerungsebene verfügt.

Der folgende Screenshot aus der Cloud Console zeigt einen Trace zu einer Cloud SQL-Instanz, wobei ein Gesamtergebnis von Unreachable angegeben wird. Der Test ist fehlgeschlagen, da er mit Port 80 anstelle von Port 5432 erstellt wurde, dem Port, auf dem die Cloud SQL-Zielinstanz (Postgres) Verbindungen akzeptiert.

Screenshot der Google Cloud Console für Trace von fehlgeschlagener VM zu Cloud SQL.
Screenshot der Google Cloud Console für Trace von fehlgeschlagener VM zu Cloud SQL.

Nächste Schritte