Menguji konektivitas dalam jaringan VPC

Kasus penggunaan umum untuk Uji Konektivitas adalah pengujian antara dua instance virtual machine (VM) Compute Engine di jaringan Virtual Private Cloud (VPC) yang sama atau di-peering.

Untuk jenis pengujian ini, Uji Konektivitas mengevaluasi keterjangkauan dengan menggunakan analisis konfigurasi dan analisis bidang data live. Untuk menganalisis konfigurasi, Uji Konektivitas mengidentifikasi dan mengevaluasi jalur rekaman aktivitas.

Diagram rekaman aktivitas di halaman ini menggunakan simbol yang dijelaskan dalam legenda berikut.
Simbol Nama Arti
Diamond abu-abu
Legenda untuk diagram rekaman aktivitas paket: berlian abu-abu.
Checkpoint Titik keputusan tempat Pengujian Konektivitas memeriksa konfigurasi dan memutuskan apakah paket rekaman aktivitas akan diteruskan, dikirim, atau dihentikan.
Petak biru
Legenda untuk diagram pelacakan paket: persegi panjang biru.
Hop Langkah dalam jalur penerusan untuk paket rekaman aktivitas, yang mewakili resource Google Cloud yang meneruskan paket ke next hop di jaringan VPC—misalnya, ke proxy Cloud Load Balancing atau ke tunnel Cloud VPN.
Heksagon oranye
Legenda untuk diagram pelacakan paket: segi enam oranye.
Endpoint Sumber atau tujuan paket rekaman aktivitas.

Diagram berikut menunjukkan jalur rekaman aktivitas standar antara dua instance VM. Objek Match routes dapat mewakili rute yang mengarahkan traffic dalam satu jaringan VPC atau di antara dua jaringan VPC yang di-peering.

Pelacakan VM sumber ke VM tujuan.
Pelacakan VM sumber ke VM tujuan (klik untuk memperbesar).

Langkah-langkah berikut menjelaskan titik pemeriksaan yang sesuai dengan setiap titik dalam diagram rekaman aktivitas. Pemeriksaan mungkin gagal di titik pemeriksaan mana pun. Hasil kueri menampilkan alasan setiap kegagalan. Untuk mengetahui daftar lengkap status dan pesan pengujian, lihat Status analisis konfigurasi.

  1. Pengujian Konektivitas memverifikasi bahwa VM sumber dapat mengirim paket eksternal dengan alamat IP sumber yang ditentukan, atau dapat ditetapkan secara default ke proses pemeriksaan spoofing.

  2. Uji Konektivitas melakukan pemeriksaan spoofing saat paket simulasi ke atau dari instance VM menggunakan alamat IP yang tidak dimiliki oleh instance tersebut. Alamat IP yang dimiliki VM mencakup semua alamat IP internal VM dan alamat IP sekunder.

    Jika alamat tersebut adalah alamat yang tampaknya berasal dari traffic eksternal, yang juga disebut alamat asing, alamat IP akan gagal dalam pemeriksaan spoof.

  3. Untuk menentukan apakah paket rekaman aktivitas dapat dikirim dari sumber, Uji Konektivitas akan memverifikasi aturan firewall keluar yang sesuai. Sebagai bagian dari proses ini, Uji Konektivitas dimulai dengan mengevaluasi aturan kebijakan firewall hierarkis yang ada. Untuk mengetahui detail tentang pengaruh aturan kebijakan firewall hierarkis dan aturan firewall VPC terhadap konektivitas, lihat Contoh kebijakan firewall hierarkis.

  4. Uji Konektivitas menemukan (mencocokkan) rute untuk alamat IP tujuan, sesuai dengan urutan pemilihan rute. Jika tidak ada rute lain yang tersedia ke instance VM tujuan, Uji Konektivitas menggunakan rute statis default dengan next hop sebagai gateway internet. Semua jaringan VPC menggunakan rute default ini kecuali jika Anda telah menghapusnya.

  5. Pengujian Konektivitas memverifikasi bahwa aturan firewall masuk jaringan mengizinkan paket tiba di VM tujuan. Sekali lagi, Uji Konektivitas dimulai dengan mengevaluasi aturan kebijakan firewall hierarkis yang ada.

  6. Jika diperlukan, Pengujian Konektivitas akan menjalankan pemeriksaan spoof pada paket yang tiba di VM kedua.

  7. Pengujian Konektivitas memverifikasi bahwa VM tujuan dapat menerima paket dengan alamat IP tujuan yang ditentukan. Jika alamat ini adalah alamat IP asing, VM tujuan harus mengaktifkan penerusan IP. Alamat IP asing adalah alamat yang bukan milik VM.

Screenshot berikut dari konsol Google Cloud menunjukkan hasil pengujian VM-ke-VM.

Analisis konfigurasi menunjukkan hasil Paket dapat dikirimkan. Dalam respons API, label ini sesuai dengan status akhir Deliver.

Hasil ini menunjukkan bahwa analisis konfigurasi telah memvalidasi konektivitas jaringan untuk setiap resource Google Cloud di jalur dari VM sumber ke VM tujuan. Dalam hal ini, rute menyertakan dua aturan firewall VPC: aturan firewall VPC tersirat (bernama default) dan aturan yang dibuat untuk jaringan VPC ini.

Selain itu, Uji Konektivitas secara dinamis memverifikasi bahwa VM tujuan dapat dijangkau menggunakan probing aktif. Kolom Hasil transmisi paket terakhir menampilkan detail hasil ini.

Screenshot konsol Google Cloud untuk rekaman aktivitas VM-ke-VM.
Screenshot konsol Google Cloud untuk pelacakan VM-ke-VM (klik untuk memperbesar)

Anda dapat meluaskan setiap kartu di jalur rekaman aktivitas untuk melihat detail selengkapnya.

Contoh berikut menunjukkan kartu yang diperluas untuk aturan firewall masuk. Kartu ini menyertakan informasi tentang jaringan VPC, tindakan yang dikonfigurasi untuk aturan firewall (izinkan), dan prioritas aturan.

Kartu aturan firewall masuk diluaskan.
Kartu aturan firewall ingress diperluas (klik untuk memperbesar)

Jika rekaman aktivitas berisi rute jaringan VPC dengan next hop sebagai jaringan VPC yang di-peering, awal rekaman aktivitas bukanlah instance VM, tetapi jaringan VPC. Jenis rekaman aktivitas ini memvalidasi aturan dan rute firewall di tingkat jaringan karena alamat IP yang Anda uji berasal dari rentang jaringan, bukan instance VM.

Jaringan peering dapat berada dalam project yang sama atau berbeda. Contoh trace berikut menunjukkan jaringan peering di project yang berbeda.

Pelacakan VM-ke-VM melalui jaringan VPC peering yang dapat diakses di project lain.
Pelacakan VM ke VM melalui jaringan VPC peering yang dapat diakses di project lain (klik untuk memperbesar)

Kegagalan pengujian untuk jaringan VPC

Tabel berikut mencantumkan kegagalan umum untuk pengujian dalam jaringan VPC.

Jenis kegagalan Deskripsi Hasil trace
Diblokir oleh aturan firewall Traffic yang keluar dari endpoint sumber atau masuk ke endpoint tujuan diblokir oleh aturan kebijakan firewall hierarkis atau aturan firewall VPC.
  • Jika konektivitas diblokir oleh aturan kebijakan firewall hierarkis, rekaman aktivitas akan menyertakan nama kebijakan. Orang yang menjalankan pengujian mungkin tidak memiliki izin untuk melihat detail kebijakan. Untuk mengetahui detail selengkapnya tentang situasi ini, lihat Memecahkan masalah kebijakan firewall hierarkis.
  • Jika konektivitas diblokir oleh aturan firewall VPC, pelacakan akan mencantumkan nama aturan firewall masuk atau keluar yang relevan.
Tidak ada rute yang cocok Rute ke endpoint tujuan tidak dapat ditemukan.
  • Jika instance VM sumber dan tujuan berada di jaringan VPC yang berbeda dan jaringan tersebut tidak di-peering, analisis akan menentukan bahwa Paket dapat dihapus.
  • Jika VM berada di jaringan yang sama, tetapi rute yang cocok tidak ditemukan, traffic akan dikirim pada rute statis default dengan next hop ke gateway internet. Dalam hal ini, traffic tidak pernah tiba di VM tujuan, dan analisis menentukan bahwa Paket dapat dihapus.
  • Jika tidak ada rute ke gateway internet, analisis akan menentukan bahwa Paket dapat dihapus.
Instance tidak berjalan Instance VM tujuan ada, tetapi tidak dalam status berjalan. Analisis menentukan bahwa Paket dapat dihentikan.
Next hop tidak valid Next hop yang dikonfigurasi untuk instance VM tidak ada lagi, dan rute ke instance tersebut tidak valid. Analisis menentukan bahwa Paket dapat dihentikan.

Screenshot berikut mengilustrasikan rekaman aktivitas yang gagal karena konektivitas diblokir oleh aturan kebijakan firewall hierarkis masuk.

Screenshot konsol Google Cloud untuk rekaman aktivitas yang diblokir oleh aturan kebijakan firewall hierarkis.
Screenshot konsol Google Cloud untuk rekaman aktivitas yang diblokir oleh aturan kebijakan firewall hierarkis (klik untuk memperbesar)

Kegagalan pengujian untuk jaringan VPC Bersama

Di jaringan VPC Bersama, tidak memiliki izin ke project host atau project layanan dapat menyebabkan kegagalan pengujian yang tercantum dalam tabel berikut.

Jenis kegagalan Perilaku Hasil trace
Izin hanya untuk project host Anda tidak dapat menjalankan rekaman aktivitas karena tidak memiliki izin ke project layanan tempat alamat IP tujuan berada. Analisis konfigurasi menampilkan hasil Analisis konfigurasi dibatalkan. Dalam respons API, label ini sesuai dengan status akhir Abort.
Izin hanya untuk project layanan

Anda tidak dapat menjalankan rekaman aktivitas atau memilih jaringan project host di konsol Google Cloud karena tidak memiliki izin.

Karena project host memiliki konfigurasi jaringan, pelacakan terhadap resource di project layanan tidak dapat dilanjutkan tanpa akses ke aturan firewall VPC, rute jaringan, atau alamat IP di project host.

Hasil keterjangkauan secara keseluruhan adalah Undetermined karena Uji Konektivitas tidak dapat menentukan apakah paket dapat dikirim ke tujuan.

Kegagalan pengujian untuk jaringan Peering Jaringan VPC

Dengan Peering Jaringan VPC, tidak memiliki izin ke project Google Cloud jaringan peered dari jaringan primary dapat menyebabkan hasil pengujian yang tercantum dalam tabel berikut.

Jenis kegagalan Perilaku Hasil trace
Anda tidak memiliki izin untuk konfigurasi project di jaringan VPC yang tertaut. Uji Konektivitas hanya dapat melacak konfigurasi di project jaringan utama. Analisis konfigurasi menunjukkan hasil Paket dapat diteruskan. Hasil ini menunjukkan bahwa paket akan keluar dari jaringan dan dikirim ke jaringan yang tidak dapat Anda akses. Dalam hal ini, paket telah diteruskan ke gateway jaringan yang di-peering. Dalam respons API, status ini sesuai dengan status akhir Forward.

Jalur rekaman aktivitas berikut menunjukkan status penerusan untuk jaringan VPC yang di-peering.

Pelacakan VM-ke-VM melalui jaringan VPC peering yang tidak dapat diakses di project lain.
Pelacakan VM ke VM melalui jaringan VPC peering yang tidak dapat diakses di project lain (klik untuk memperbesar)

Langkah selanjutnya