このページでは、Google Kubernetes Engine(GKE)コントロール プレーンや Cloud SQL インスタンスなど、Google マネージド サービスとの接続性をテストする一般的なシナリオについて説明します。
Google マネージド サービスとの間のルートについては、接続テストの構成分析を取得できます。これらのリソースが存在する Google 所有プロジェクトにアクセスする権限がなくても、接続テストを行い、プロジェクトの Virtual Private Cloud(VPC)ネットワークの構成を分析し、全体的なネットワーク到達性を確認できます。接続テストでは、Google 所有プロジェクト内での構成の分析結果は提供されません。
デフォルトの接続テストでは、Google マネージド サービス エンドポイントのプライベート IP アドレスと、ネットワークと Google マネージド ネットワーク間の VPC ネットワーク ピアリング接続を使用してテストが行われます。エンドポイントにプライベート IP アドレスが割り振られていない場合はパブリック IP アドレスが使用されます。接続テストでは、パケットがエンドポイントに到達できるかどうかを分析します。Google 所有の VPC ネットワーク内でのエンドポイントの構成も分析します。接続テストでプロジェクト内に構成の問題が見つかると、Google 所有のネットワークに到達する前に分析が停止します。
このページのトレース図では、次の凡例で説明されている記号を使用しています。
次の図では、Google マネージド サービスへの接続性をテストするときのトレース順序を示します。この図では、GKE ノードからコントロール プレーンへのテストを例として使用します。
Cloud SQL から VM への接続
次の Google Cloud コンソールのスクリーンショットは Cloud SQL インスタンスからのトレース結果を示しています。これは、Reachable の全体的な結果を表しています。
この結果は、接続テストで送信元の Cloud SQL インスタンスから宛先 VM へのネットワーク接続が検証されたことを示しています。このテストでは、Cloud SQL インスタンスが実行されている Google 所有プロジェクト内の構成も分析されています。Google 所有プロジェクトのリソースに対する表示権限がないため、これらのリソースの詳細情報は表示されません。
VM から Cloud SQL への接続
このセクションでは、VM から Cloud SQL インスタンスへの接続テストに成功した場合の結果の例を示します。この例では、構成分析によって Reachable の結果全体が示されています。
この結果は、接続テストによって送信元の VM から送信先の Cloud SQL インスタンスへのネットワーク接続が確認されたことを示しています。このテストでは、Cloud SQL インスタンスが実行されている Google 所有プロジェクト内の構成も分析されています。Google 所有プロジェクトのリソースに対する表示権限がないため、これらのリソースの詳細情報は表示されません。
パブリック IP アドレスを使用した VM から Cloud SQL への接続
このセクションでは、パブリック IP アドレスを使用して、VM から Cloud SQL インスタンスへの接続が成功したテスト結果の例を示します。この例では、構成分析によって Reachable の結果全体が示されています。
この結果は、接続テストでパブリック IP アドレスを使用して送信元 VM から宛先 Cloud SQL インスタンスへのネットワーク接続が確認されたことを示しています。このテストでは、Cloud SQL インスタンスが実行されている Google 所有プロジェクト内の構成も分析されています。Google 所有プロジェクトのリソースに対する表示権限がないため、これらのリソースの詳細情報は表示されません。
GKE コントロール プレーンから GKE ノードへの接続
このセクションでは、GKE ノードへの接続テストに成功した場合の結果を示します。この例では、構成分析によって Reachable の結果全体が示されています。
この結果は、接続テストで送信元の GKE コントロール プレーンから送信先の GKE ノードへのネットワーク接続が確認されたことを示しています。このテストでは、ノードが実行されている Google 所有プロジェクト内のリソースの構成も分析されています。Google 所有プロジェクトのリソースに対する表示権限がないため、これらのリソースの詳細情報は表示されません。
GKE ノードから GKE コントロール プレーンへの接続
このセクションでは、GKE コントロール プレーンへの成功したテスト結果の例を示します。この例では、構成分析によって Reachable の結果全体が示されています。
この結果は、接続テストで送信元 GKE ノードから宛先 GKE コントロール プレーンへのネットワーク接続が検証されたことを示しています。このテストでは、コントロール プレーンが動作している Google 所有プロジェクト内のリソースの構成も分析されています。Google 所有プロジェクトのリソースに対する表示権限がないため、これらのリソースの詳細情報は表示されません。
パブリック IP アドレスを使用した GKE ノードから GKE コントロール プレーンへの接続
このセクションでは、パブリック IP アドレスを使用して、GKE コントロール プレーンへの接続が成功したテスト結果の例を示します。この例では、構成分析によって Reachable の結果全体が示されています。
この結果は、接続テストによって送信元の GKE ノードから GKE コントロール プレーンが動作しているネットワークへのネットワーク接続が確認されたものの、GKE コントロール プレーンへのネットワーク接続は確認されていないことを示しています。パブリック IP アドレスを使用してテストする場合、コントロール プレーンが実行されている Google 所有プロジェクト内のリソースの構成は分析されません。
Google マネージド サービスの接続テストの失敗
Google マネージド サービスの接続テストに失敗し、サービス内でパケットがドロップされたというエラー メッセージ(DROPPED_INSIDE_GKE_SERVICE や DROPPED_INSIDE_CLOUD_SQL_SERVICE など)が表示されることがあります。次のようなテストでこのメッセージが返された場合、サービスをホストする Google 所有プロジェクトの構成に問題がある可能性があります。
- 同じクラスタ内の GKE コントロール プレーンと GKE ノード間の接続(どちらの方向でも可)をテストした場合。
- VPC ネットワークから、ネットワークに接続している Cloud SQL インスタンスへの接続(送信元と宛先が同じリージョンにある場合)。
このいずれかで上記のエラー メッセージが表示された場合は、サポートにお問い合わせください。それ以外の場合にエラー メッセージが表示された場合は、入力値が正しくない可能性があります。テスト対象のエンドポイントが存在し、Google 所有プロジェクトのマネージド リソースへの接続が想定されることを確認します。たとえば、GKE ノードから GKE コントロール プレーンへの接続をテストする場合は、そのノードが存在し、コントロール プレーンに接続していることが想定されることを確認します。
次の Google Cloud コンソールのスクリーンショットは、宛先 Cloud SQL インスタンスへのトレース結果を示しています。これは、Unreachable の全体的な結果を表しています。ターゲットの Cloud SQL インスタンス(Postgres)が接続を受け入れているポート 5432 ではなく、ポート 80 で作成されたため、テストは失敗しました。
