Tester la connectivité vers et depuis des services gérés par Google

Cette page décrit les scénarios courants de test de connectivité vers et depuis des services gérés par Google, tels que des plans de contrôle Google Kubernetes Engine (GKE) et des instances Cloud SQL.

Vous pouvez obtenir une analyse de la configuration des tests de connectivité sur les routes vers et depuis les services gérés par Google. Même si vous ne disposez pas des autorisations nécessaires pour accéder au projet appartenant à Google où se trouvent ces ressources, les tests de connectivité peuvent tout de même analyser la configuration du réseau privé virtuel (VPC) du projet et fournir un résultat global de joignabilité. Les tests de connectivité ne fournissent pas de détails de configuration pour l'analyse dans le projet appartenant à Google.

Par défaut, les tests de connectivité tentent d'exécuter un test en utilisant l'adresse IP privée du point de terminaison du service géré par Google et la connexion d'appairage de réseaux VPC entre votre réseau et le réseau appartenant à Google. Si le point de terminaison ne dispose pas d'adresse IP privée, les tests de connectivité utilisent l'adresse IP publique. Les tests de connectivité vérifient que le paquet peut atteindre le point de terminaison, ce qui inclut l'analyse de la configuration au sein du réseau VPC appartenant à Google pour le point de terminaison. Si les tests de connectivité détectent des problèmes de configuration au sein de votre projet, leur analyse s'arrête avant d'atteindre le réseau appartenant à Google.

Les diagrammes de trace de cette page utilisent les symboles décrits dans la légende suivante.
Symbole Nom Signification
Losange gris
Légende du diagramme de trace des paquets : losange gris.
 Check Point Point de décision où les tests de connectivité vérifient une configuration et décident si un paquet de trace doit être transféré, distribué ou supprimé.
Rectangle bleu
Légende du diagramme de trace des paquets : rectangle bleu.
 Saut Une étape du chemin de transfert d'un paquet de trace, représentant une ressource Google Cloud qui transfère un paquet au saut suivant dans un réseau VPC (par exemple, vers un proxy Cloud Load Balancing ou un tunnel Cloud VPN).
Hexagone orange
Légende du diagramme de trace des paquets : hexagone orange.
 Point de terminaison Source ou destination d'un paquet de trace.

Le schéma suivant illustre le chemin de trace lors du test de connectivité à des services gérés par Google. Le schéma utilise l'exemple d'un test entre un nœud et un plan de contrôle GKE.

Trace du nœud GKE source vers le plan de contrôle GKE de destination.
Trace du nœud GKE source vers le plan de contrôle GKE de destination

Cloud SQL vers une VM

La capture d'écran suivante de la console Google Cloud montre une trace d'une instance Cloud SQL qui indique un résultat global Reachable.

Ce résultat montre que les tests de connectivité ont validé la connectivité réseau de l'instance Cloud SQL source vers la VM de destination. Cela inclut l'analyse de la configuration dans le projet appartenant à Google où l'instance Cloud SQL est exécutée. La trace ne fournit pas de détails sur les ressources du projet appartenant à Google, car vous ne disposez pas des autorisations nécessaires pour les afficher.

Capture d'écran de la console Google Cloud pour la trace de Cloud SQL vers la VM.
Capture d'écran de la console Google Cloud pour la trace de l'instance Cloud SQL vers la VM

VM vers Cloud SQL

Cette section fournit un exemple de résultat d'un test réussi d'une VM vers une instance Cloud SQL. Dans cet exemple, l'analyse de la configuration indique un résultat global Reachable.

Ce résultat montre que les tests de connectivité ont validé la connectivité réseau de la VM source vers l'instance Cloud SQL de destination. Cela inclut l'analyse de la configuration dans le projet appartenant à Google où l'instance Cloud SQL est exécutée. La trace ne fournit pas de détails sur les ressources du projet appartenant à Google, car vous ne disposez pas des autorisations nécessaires pour les afficher.

Capture d'écran de la console Google Cloud pour la trace de la VM vers Cloud SQL
Capture d'écran de la console Google Cloud pour la trace d'instance de VM vers Cloud SQL

VM vers Cloud SQL via une adresse IP publique

Dans cette section, vous trouverez un exemple de résultat d'un test réussi d'une VM vers une instance Cloud SQL via une adresse IP publique. Dans cet exemple, l'analyse de la configuration indique un résultat global Reachable.

Ce résultat montre que les tests de connectivité ont validé la connectivité réseau de la VM source vers l'instance Cloud SQL de destination via une adresse IP publique. Cela inclut l'analyse de la configuration dans le projet appartenant à Google où l'instance Cloud SQL est exécutée. La trace ne fournit pas de détails sur les ressources du projet appartenant à Google, car vous ne disposez pas des autorisations nécessaires pour les afficher.

Capture d'écran de la console Google Cloud pour la trace d'une VM vers Cloud SQL via une adresse IP publique
Capture d'écran de la console Google Cloud pour la trace d'instance de VM vers Cloud SQL via une adresse IP publique

Plan de contrôle GKE vers nœud GKE

Cette section fournit un exemple de résultat d'un test réussi vers un nœud GKE. Dans cet exemple, l'analyse de la configuration indique un résultat global Reachable.

Ce résultat montre que les tests de connectivité ont validé la connectivité réseau du plan de contrôle GKE source vers le nœud GKE de destination. Cela inclut l'analyse de la configuration des ressources du projet appartenant à Google dans lequel le nœud est exécuté. La trace ne fournit pas de détails sur les ressources du projet appartenant à Google, car vous ne disposez pas des autorisations nécessaires pour les afficher.

Capture d'écran de la console Google Cloud pour la trace d'un plan de contrôle vers un nœud GKE
Capture d'écran de la console Google Cloud pour la trace du plan de contrôle GKE vers le nœud

Nœud GKE vers plan de contrôle GKE

Cette section fournit un exemple de résultat d'un test réussi vers un plan de contrôle GKE. Dans cet exemple, l'analyse de la configuration indique un résultat global Reachable.

Ce résultat montre que les tests de connectivité ont validé la connectivité réseau du nœud GKE source vers le plan de contrôle GKE de destination. Cela inclut l'analyse de la configuration des ressources du projet appartenant à Google dans lequel s'exécute le plan de contrôle. La trace ne fournit pas de détails sur les ressources du projet appartenant à Google, car vous ne disposez pas des autorisations nécessaires pour les afficher.

Capture d'écran de la console Google Cloud pour la trace d'un nœud vers un plan de contrôle GKE
Capture d'écran de la console Google Cloud pour la trace du nœud GKE vers le plan de contrôle

Nœud GKE vers plan de contrôle GKE via une adresse IP publique

Cette section décrit un exemple de test réussi vers un plan de contrôle GKE via une adresse IP publique. Dans cet exemple, l'analyse de la configuration indique un résultat global Reachable.

Ce résultat montre que les tests de connectivité ont validé la connectivité réseau du nœud GKE source au réseau sur lequel le plan de contrôle GKE s'exécute, mais pas au plan de contrôle GKE. Lors des tests via une adresse IP publique, les tests de connectivité n'analysent pas la configuration des ressources du projet appartenant à Google dans lequel le plan de contrôle est exécuté.

Capture d'écran de la console Google Cloud pour la trace d'un nœud vers un plan de contrôle GKE via une adresse IP publique
Capture d'écran de la console Google Cloud pour la trace d'un nœud GKE vers le plan de contrôle via une adresse IP publique

Défaillances des tests pour les services gérés par Google

Lorsque vous testez des services gérés par Google, le test peut échouer et renvoyer un message d'erreur indiquant que le paquet a été supprimé à l'intérieur du service (par exemple, DROPPED_INSIDE_GKE_SERVICE ou DROPPED_INSIDE_CLOUD_SQL_SERVICE). Ce message peut indiquer un problème de configuration dans le projet appartenant à Google qui héberge le service dans les cas suivants :

  • Vous avez testé la connectivité entre un plan de contrôle GKE et un nœud GKE dans le même cluster (dans les deux sens).
  • Vous avez testé la connectivité de votre réseau VPC vers une instance Cloud SQL connectée à votre réseau, où la source et la destination se trouvent dans la même région.

Si vous recevez le message d'erreur mentionné précédemment pour l'un des cas décrits ci-dessus, contactez l'assistance. Sinon, le message d'erreur peut indiquer une entrée non valide. Confirmez que vous effectuez un test depuis ou vers un point de terminaison existant et que vous souhaitez atteindre la ressource gérée dans le projet appartenant à Google. Par exemple, si vous effectuez le test depuis un nœud GKE vers un plan de contrôle GKE, vérifiez que le nœud existe et qu'il est censé être connecté au plan de contrôle.

La capture d'écran suivante de la console Google Cloud montre une trace vers une instance Cloud SQL de destination qui indique un résultat global Unreachable. Le test a échoué, car il a été créé avec le port 80 au lieu du port 5432, sur lequel l'instance Cloud SQL cible (Postgres) accepte des connexions.

Capture d'écran de la console Google Cloud pour la trace de la VM vers Cloud SQL ayant échoué
Capture d'écran de la console Google Cloud pour la trace de la VM vers Cloud SQL ayant échoué

Étapes suivantes