Kasus penggunaan umum untuk Uji Konektivitas adalah pengujian antara dua instance virtual machine (VM) Compute Engine di jaringan Virtual Private Cloud (VPC) yang sama atau di-peering.
Untuk jenis pengujian ini, Uji Konektivitas mengevaluasi keterjangkauan dengan menggunakan analisis konfigurasi dan analisis bidang data live. Untuk menganalisis konfigurasi, Uji Konektivitas mengidentifikasi dan mengevaluasi jalur rekaman aktivitas.
Diagram rekaman aktivitas di halaman ini menggunakan simbol yang dijelaskan dalam legenda berikut.Diagram berikut menunjukkan jalur rekaman aktivitas standar antara dua instance VM. Objek
Match routes
dapat mewakili rute yang mengarahkan traffic dalam satu jaringan
VPC atau di antara dua jaringan VPC yang di-peering.
Langkah-langkah berikut menjelaskan titik pemeriksaan yang sesuai dengan setiap titik dalam diagram rekaman aktivitas. Pemeriksaan mungkin gagal di titik pemeriksaan mana pun. Hasil kueri menampilkan alasan setiap kegagalan. Untuk mengetahui daftar lengkap status dan pesan pengujian, lihat Status analisis konfigurasi.
Pengujian Konektivitas memverifikasi bahwa VM sumber dapat mengirim paket eksternal dengan alamat IP sumber yang ditentukan, atau dapat ditetapkan secara default ke proses pemeriksaan spoofing.
-
Uji Konektivitas melakukan pemeriksaan spoofing saat paket simulasi ke atau dari instance VM menggunakan alamat IP yang tidak dimiliki oleh instance tersebut. Alamat IP yang dimiliki VM mencakup semua alamat IP internal VM dan alamat IP sekunder.
Jika alamat tersebut adalah alamat yang tampaknya berasal dari traffic eksternal, yang juga disebut alamat asing, alamat IP akan gagal dalam pemeriksaan spoof.
Untuk menentukan apakah paket rekaman aktivitas dapat dikirim dari sumber, Uji Konektivitas akan memverifikasi aturan firewall keluar yang sesuai. Sebagai bagian dari proses ini, Uji Konektivitas dimulai dengan mengevaluasi aturan kebijakan firewall hierarkis yang ada. Untuk mengetahui detail tentang pengaruh aturan kebijakan firewall hierarkis dan aturan firewall VPC terhadap konektivitas, lihat Contoh kebijakan firewall hierarkis.
Uji Konektivitas menemukan (mencocokkan) rute untuk alamat IP tujuan, sesuai dengan urutan pemilihan rute. Jika tidak ada rute lain yang tersedia ke instance VM tujuan, Uji Konektivitas menggunakan rute statis default dengan next hop sebagai gateway internet. Semua jaringan VPC menggunakan rute default ini kecuali jika Anda telah menghapusnya.
Pengujian Konektivitas memverifikasi bahwa aturan firewall masuk jaringan mengizinkan paket tiba di VM tujuan. Sekali lagi, Uji Konektivitas dimulai dengan mengevaluasi aturan kebijakan firewall hierarkis yang ada.
Jika diperlukan, Pengujian Konektivitas akan menjalankan pemeriksaan spoof pada paket yang tiba di VM kedua.
Pengujian Konektivitas memverifikasi bahwa VM tujuan dapat menerima paket dengan alamat IP tujuan yang ditentukan. Jika alamat ini adalah alamat IP asing, VM tujuan harus mengaktifkan penerusan IP. Alamat IP asing adalah alamat yang bukan milik VM.
Screenshot berikut dari konsol Google Cloud menunjukkan hasil pengujian VM-ke-VM.
Analisis konfigurasi menunjukkan hasil Paket dapat dikirimkan.
Dalam respons API, label ini sesuai dengan
status akhir Deliver
.
Hasil ini menunjukkan bahwa analisis konfigurasi telah memvalidasi konektivitas jaringan
untuk setiap resource Google Cloud di jalur dari VM
sumber ke VM tujuan. Dalam hal ini, rute menyertakan dua
aturan firewall VPC: aturan firewall VPC tersirat (bernama default
) dan aturan yang dibuat untuk jaringan VPC ini.
Selain itu, Uji Konektivitas secara dinamis memverifikasi bahwa VM tujuan dapat dijangkau menggunakan probing aktif. Kolom Hasil transmisi paket terakhir menampilkan detail hasil ini.
Anda dapat meluaskan setiap kartu di jalur rekaman aktivitas untuk melihat detail selengkapnya.
Contoh berikut menunjukkan kartu yang diperluas untuk aturan firewall masuk. Kartu ini menyertakan informasi tentang jaringan VPC, tindakan yang dikonfigurasi untuk aturan firewall (izinkan), dan prioritas aturan.
Jika rekaman aktivitas berisi rute jaringan VPC dengan next hop sebagai jaringan VPC yang di-peering, awal rekaman aktivitas bukanlah instance VM, tetapi jaringan VPC. Jenis rekaman aktivitas ini memvalidasi aturan dan rute firewall di tingkat jaringan karena alamat IP yang Anda uji berasal dari rentang jaringan, bukan instance VM.
Jaringan peering dapat berada dalam project yang sama atau berbeda. Contoh trace berikut menunjukkan jaringan peering di project yang berbeda.
Kegagalan pengujian untuk jaringan VPC
Tabel berikut mencantumkan kegagalan umum untuk pengujian dalam jaringan VPC.
Jenis kegagalan | Deskripsi | Hasil trace |
---|---|---|
Diblokir oleh aturan firewall | Traffic yang keluar dari endpoint sumber atau masuk ke endpoint tujuan diblokir oleh aturan kebijakan firewall hierarkis atau aturan firewall VPC. |
|
Tidak ada rute yang cocok | Rute ke endpoint tujuan tidak dapat ditemukan. |
|
Instance tidak berjalan | Instance VM tujuan ada, tetapi tidak dalam status berjalan. | Analisis menentukan bahwa Paket dapat dihentikan. |
Next hop tidak valid | Next hop yang dikonfigurasi untuk instance VM tidak ada lagi, dan rute ke instance tersebut tidak valid. | Analisis menentukan bahwa Paket dapat dihentikan. |
Screenshot berikut mengilustrasikan rekaman aktivitas yang gagal karena konektivitas diblokir oleh aturan kebijakan firewall hierarkis masuk.
Kegagalan pengujian untuk jaringan VPC Bersama
Di jaringan VPC Bersama, tidak memiliki izin ke project host atau project layanan dapat menyebabkan kegagalan pengujian yang tercantum dalam tabel berikut.
Jenis kegagalan | Perilaku | Hasil trace |
---|---|---|
Izin hanya untuk project host | Anda tidak dapat menjalankan rekaman aktivitas karena tidak memiliki izin ke project layanan tempat alamat IP tujuan berada. | Analisis konfigurasi menampilkan hasil Analisis konfigurasi dibatalkan. Dalam respons API, label ini sesuai dengan
status akhir
Abort . |
Izin hanya untuk project layanan |
Anda tidak dapat menjalankan rekaman aktivitas atau memilih jaringan project host di konsol Google Cloud karena tidak memiliki izin. Karena project host memiliki konfigurasi jaringan, pelacakan terhadap resource di project layanan tidak dapat dilanjutkan tanpa akses ke aturan firewall VPC, rute jaringan, atau alamat IP di project host. |
Hasil keterjangkauan secara keseluruhan adalah
Undetermined
karena Uji Konektivitas tidak dapat menentukan apakah paket dapat
dikirim ke tujuan. |
Kegagalan pengujian untuk jaringan Peering Jaringan VPC
Dengan Peering Jaringan VPC, tidak memiliki izin ke project Google Cloud jaringan peered
dari jaringan primary
dapat menyebabkan
hasil pengujian yang tercantum dalam tabel berikut.
Jenis kegagalan | Perilaku | Hasil trace |
---|---|---|
Anda tidak memiliki izin untuk konfigurasi project di jaringan VPC yang tertaut. | Uji Konektivitas hanya dapat melacak konfigurasi di project jaringan utama. | Analisis konfigurasi menunjukkan hasil Paket dapat diteruskan.
Hasil ini menunjukkan bahwa paket akan keluar dari jaringan dan dikirim
ke jaringan yang tidak dapat Anda akses. Dalam hal ini, paket
telah diteruskan ke gateway jaringan yang di-peering. Dalam respons API,
status ini sesuai dengan
status akhir
Forward . |
Jalur rekaman aktivitas berikut menunjukkan status penerusan untuk jaringan VPC yang di-peering.