Kasus penggunaan umum untuk Uji Konektivitas adalah pengujian antara dua instance virtual machine (VM) Compute Engine dalam jaringan Virtual Private Cloud (VPC) yang sama atau di-peering.
Untuk jenis pengujian ini, Uji Konektivitas mengevaluasi keterjangkauan menggunakan analisis konfigurasi dan analisis bidang data langsung. Untuk menganalisis konfigurasi, Uji Konektivitas mengidentifikasi dan mengevaluasi jalur rekaman aktivitas.
Diagram trace di halaman ini menggunakan simbol yang dijelaskan dalam legenda berikut.Diagram berikut menunjukkan jalur rekaman aktivitas standar antara dua instance VM. Objek Match routes
dapat mewakili rute yang mengarahkan traffic dalam satu jaringan VPC atau antara dua jaringan VPC yang di-peering.
Langkah-langkah berikut menjelaskan checkpoint yang terkait dengan setiap titik dalam diagram rekaman aktivitas. Di setiap checkpoint, pemeriksaan mungkin gagal. Hasil kueri menunjukkan alasan untuk setiap kegagalan. Untuk mengetahui daftar lengkap status dan pesan pengujian, baca Status analisis konfigurasi.
Pengujian Konektivitas memverifikasi bahwa VM sumber dapat mengirim paket keluar dengan alamat IP sumber yang ditentukan, atau dapat ditetapkan secara default ke proses pemeriksaan spoofing.
-
Uji Konektivitas melakukan pemeriksaan spoof saat paket yang disimulasikan ke atau dari instance VM menggunakan alamat IP yang tidak dimiliki oleh instance tersebut. Alamat IP yang dimiliki oleh VM mencakup semua alamat IP internal dan alamat IP sekunder VM.
Jika alamat tersebut adalah alamat yang tampaknya berasal dari traffic eksternal, yang juga disebut sebagai alamat asing, maka alamat IP tersebut akan gagal dalam pemeriksaan spoof.
Untuk menentukan apakah paket pelacakan dapat dikirim dari sumber, Uji Konektivitas memverifikasi aturan firewall keluar yang sesuai. Sebagai bagian dari proses ini, Uji Konektivitas dimulai dengan mengevaluasi aturan kebijakan firewall hierarkis yang ada. Untuk mengetahui detail tentang pengaruh aturan kebijakan firewall hierarkis dan aturan firewall VPC terhadap konektivitas, lihat Contoh kebijakan firewall hierarkis.
Uji Konektivitas menemukan (cocok) rute untuk alamat IP tujuan, sesuai dengan urutan pemilihan rute. Jika tidak ada rute lain yang tersedia untuk instance VM tujuan, Uji Konektivitas akan menggunakan rute statis default dengan next hop sebagai gateway internet. Semua jaringan VPC menggunakan rute default ini kecuali jika Anda telah menghapusnya.
Uji Konektivitas memverifikasi bahwa aturan firewall masuk jaringan memungkinkan paket untuk tiba di VM tujuan. Sekali lagi, Uji Konektivitas dimulai dengan mengevaluasi aturan kebijakan firewall hierarkis yang ada.
Jika diperlukan, Uji Konektivitas akan menjalankan pemeriksaan spoof pada paket yang tiba di VM kedua.
Uji Konektivitas memverifikasi bahwa VM tujuan dapat menerima paket dengan alamat IP tujuan yang ditentukan. Jika alamat ini adalah alamat IP asing, VM tujuan harus mengaktifkan penerusan IP. Alamat IP asing adalah alamat yang bukan milik VM.
Screenshot berikut dari Google Cloud Console menampilkan hasil pengujian VM-ke-VM.
Analisis konfigurasi menunjukkan hasil Paket dapat dikirim.
Dalam respons API, label ini sesuai dengan
status akhir Deliver
.
Hasil ini menunjukkan bahwa analisis konfigurasi telah memvalidasi konektivitas jaringan untuk setiap resource Google Cloud di jalur dari VM sumber ke VM tujuan. Dalam hal ini, rute tersebut menyertakan dua aturan firewall VPC: aturan firewall VPC tersirat (dinamai default
) dan satu aturan yang dibuat untuk jaringan VPC ini.
Selain itu, Uji Konektivitas secara dinamis memverifikasi bahwa VM tujuan dapat dijangkau menggunakan pemeriksaan aktif. Kolom Last paket broadcast result menampilkan detail hasil ini.
Anda dapat meluaskan setiap kartu di jalur rekaman aktivitas untuk melihat detail selengkapnya.
Contoh berikut menampilkan kartu yang diperluas untuk aturan firewall masuk. Kartu ini berisi informasi tentang jaringan VPC, tindakan yang dikonfigurasi untuk aturan firewall (izinkan), dan prioritas aturan.
Jika rekaman aktivitas berisi rute jaringan VPC dengan hop berikutnya sebagai jaringan VPC yang di-peering, awal rekaman aktivitas bukanlah instance VM, tetapi jaringan VPC. Jenis trace ini memvalidasi aturan dan rute firewall di tingkat jaringan karena alamat IP yang Anda uji berasal dari rentang jaringan, bukan instance VM.
Jaringan yang di-peering dapat berada di project yang sama atau berbeda. Contoh rekaman aktivitas berikut menunjukkan jaringan yang di-peering dalam berbagai project.
Kegagalan uji untuk jaringan VPC
Tabel berikut berisi daftar kegagalan umum untuk pengujian dalam jaringan VPC.
Jenis kegagalan | Deskripsi | Hasil trace |
---|---|---|
Diblokir oleh aturan firewall | Traffic yang keluar dari endpoint sumber atau memasuki endpoint tujuan diblokir oleh aturan kebijakan firewall hierarkis atau aturan firewall VPC. |
|
Tidak ada rute yang cocok | Rute ke endpoint tujuan tidak dapat ditemukan. |
|
Instance tidak berjalan | Instance VM tujuan ada, tetapi tidak dalam status berjalan. | Analisis menentukan bahwa Paket dapat dibatalkan. |
Hop berikutnya tidak valid | Hop berikutnya yang dikonfigurasi untuk instance VM sudah tidak ada, dan rute ke instance tersebut tidak valid. | Analisis menentukan bahwa Paket dapat dibatalkan. |
Screenshot berikut mengilustrasikan pelacakan yang gagal karena konektivitas diblokir oleh aturan kebijakan firewall hierarkis masuk.
Kegagalan uji untuk jaringan VPC Bersama
Dalam jaringan VPC Bersama, tidak memiliki izin ke project host atau project layanan dapat menyebabkan kegagalan pengujian yang tercantum dalam tabel berikut.
Jenis kegagalan | Perilaku | Hasil trace |
---|---|---|
Hanya izin untuk project host | Anda tidak dapat menjalankan pelacakan karena tidak memiliki izin ke project layanan tempat alamat IP tujuan berada. | Analisis konfigurasi menunjukkan hasil Analisis konfigurasi dibatalkan. Dalam respons API, label ini sesuai dengan status akhir Abort . |
Izin hanya untuk project layanan |
Anda tidak dapat menjalankan pelacakan atau memilih jaringan project host di Konsol Google Cloud karena Anda tidak memiliki izin. Karena project host memiliki konfigurasi jaringan, pelacakan terhadap resource dalam project layanan tidak dapat dilanjutkan tanpa akses ke aturan firewall VPC, rute jaringan, atau alamat IP dalam project host. |
Hasil keterjangkauan secara keseluruhan adalah Undetermined karena Uji Konektivitas tidak dapat menentukan apakah paket dapat dikirimkan ke tujuan. |
Kegagalan uji untuk jaringan Peering Jaringan VPC
Dengan Peering Jaringan VPC, tidak memiliki izin ke project Google Cloud jaringan peered
dari jaringan primary
dapat menyebabkan hasil pengujian yang tercantum dalam tabel berikut.
Jenis kegagalan | Perilaku | Hasil trace |
---|---|---|
Anda tidak memiliki izin untuk konfigurasi project dalam jaringan VPC yang di-peering. | Uji Konektivitas hanya dapat melacak konfigurasi dalam project jaringan utama. | Analisis konfigurasi menunjukkan hasil Paket dapat diteruskan.
Hasil ini menunjukkan bahwa sebuah paket akan meninggalkan jaringan dan dikirim
ke jaringan yang tidak dapat Anda akses. Dalam hal ini, paket telah diteruskan ke gateway jaringan yang di-peering. Dalam respons API,
status ini berkaitan dengan
status akhir
Forward . |
Jalur trace berikut menunjukkan status penerusan untuk jaringan VPC yang di-peering.