Menguji konektivitas dalam jaringan VPC

Kasus penggunaan umum untuk Uji Konektivitas adalah pengujian antara dua instance virtual machine (VM) Compute Engine dalam jaringan Virtual Private Cloud (VPC) yang sama atau di-peering.

Untuk jenis pengujian ini, Uji Konektivitas mengevaluasi keterjangkauan menggunakan analisis konfigurasi dan analisis bidang data langsung. Untuk menganalisis konfigurasi, Uji Konektivitas mengidentifikasi dan mengevaluasi jalur rekaman aktivitas.

Diagram rekaman aktivitas di halaman ini menggunakan simbol yang dijelaskan dalam legenda berikut.
Simbol Nama Arti
Diamond abu-abu
Legenda untuk diagram rekaman aktivitas paket: berlian abu-abu.
Checkpoint Titik keputusan tempat Pengujian Konektivitas memeriksa konfigurasi dan memutuskan apakah paket rekaman aktivitas akan diteruskan, dikirim, atau dihentikan.
Petak biru
Legenda untuk diagram pelacakan paket: persegi panjang biru.
Hop Langkah dalam jalur penerusan untuk paket rekaman aktivitas, yang mewakili resource Google Cloud yang meneruskan paket ke next hop di jaringan VPC—misalnya, ke proxy Cloud Load Balancing atau ke tunnel Cloud VPN.
Heksagon oranye
Legenda untuk diagram pelacakan paket: segi enam oranye.
Endpoint Sumber atau tujuan paket rekaman aktivitas.

Diagram berikut menunjukkan jalur rekaman aktivitas standar antara dua instance VM. Objek Match routes dapat mewakili rute yang mengarahkan traffic dalam satu jaringan VPC atau antara dua jaringan VPC yang di-peering.

VM sumber ke rekaman aktivitas VM tujuan.
Sumber VM ke rekaman aktivitas VM tujuan (klik untuk memperbesar).

Langkah-langkah berikut menjelaskan checkpoint yang terkait dengan setiap titik dalam diagram rekaman aktivitas. Di setiap checkpoint, pemeriksaan mungkin gagal. Hasil kueri menunjukkan alasan untuk setiap kegagalan. Untuk mengetahui daftar lengkap status dan pesan pengujian, baca Status analisis konfigurasi.

  1. Pengujian Konektivitas memverifikasi bahwa VM sumber dapat mengirim paket keluar dengan alamat IP sumber yang ditentukan, atau dapat ditetapkan secara default ke proses pemeriksaan spoofing.

  2. Uji Konektivitas melakukan pemeriksaan spoofing saat paket simulasi ke atau dari instance VM menggunakan alamat IP yang tidak dimiliki oleh instance tersebut. Alamat IP yang dimiliki VM mencakup semua alamat IP internal VM dan alamat IP sekunder.

    Jika alamat tersebut adalah alamat yang tampaknya berasal dari traffic eksternal, yang juga disebut alamat asing, alamat IP akan gagal dalam pemeriksaan spoof.

  3. Untuk menentukan apakah paket pelacakan dapat dikirim dari sumber, Uji Konektivitas memverifikasi aturan firewall keluar yang sesuai. Sebagai bagian dari proses ini, Uji Konektivitas dimulai dengan mengevaluasi aturan kebijakan firewall hierarkis yang ada. Untuk mengetahui detail tentang pengaruh aturan kebijakan firewall hierarkis dan aturan firewall VPC terhadap konektivitas, lihat Contoh kebijakan firewall hierarkis.

  4. Uji Konektivitas menemukan (cocok) rute untuk alamat IP tujuan, sesuai dengan urutan pemilihan rute. Jika tidak ada rute lain yang tersedia untuk instance VM tujuan, Uji Konektivitas akan menggunakan rute statis default dengan next hop sebagai gateway internet. Semua jaringan VPC menggunakan rute default ini kecuali jika Anda telah menghapusnya.

  5. Uji Konektivitas memverifikasi bahwa aturan firewall masuk jaringan memungkinkan paket untuk tiba di VM tujuan. Sekali lagi, Uji Konektivitas dimulai dengan mengevaluasi aturan kebijakan firewall hierarkis yang ada.

  6. Jika diperlukan, Uji Konektivitas akan menjalankan pemeriksaan spoof pada paket yang tiba di VM kedua.

  7. Uji Konektivitas memverifikasi bahwa VM tujuan dapat menerima paket dengan alamat IP tujuan yang ditentukan. Jika alamat ini adalah alamat IP asing, VM tujuan harus mengaktifkan penerusan IP. Alamat IP asing adalah alamat yang bukan milik VM.

Screenshot berikut dari Google Cloud Console menampilkan hasil pengujian VM-ke-VM.

Analisis konfigurasi menunjukkan hasil Paket dapat dikirim. Dalam respons API, label ini sesuai dengan status akhir Deliver.

Hasil ini menunjukkan bahwa analisis konfigurasi telah memvalidasi konektivitas jaringan untuk setiap resource Google Cloud di jalur dari VM sumber ke VM tujuan. Dalam hal ini, rute tersebut menyertakan dua aturan firewall VPC: aturan firewall VPC tersirat (dinamai default) dan satu aturan yang dibuat untuk jaringan VPC ini.

Selain itu, Uji Konektivitas secara dinamis memverifikasi bahwa VM tujuan dapat dijangkau menggunakan pemeriksaan aktif. Kolom Last paket broadcast result menampilkan detail hasil ini.

Screenshot Konsol Google Cloud untuk rekaman aktivitas VM-ke-VM.
Screenshot Konsol Google Cloud untuk rekaman aktivitas VM-ke-VM (klik untuk memperbesar)

Anda dapat meluaskan setiap kartu di jalur rekaman aktivitas untuk melihat detail selengkapnya.

Contoh berikut menampilkan kartu yang diperluas untuk aturan firewall masuk. Kartu ini berisi informasi tentang jaringan VPC, tindakan yang dikonfigurasi untuk aturan firewall (izinkan), dan prioritas aturan.

Kartu aturan firewall masuk diperluas.
Kartu aturan firewall masuk diperluas (klik untuk memperbesar)

Jika rekaman aktivitas berisi rute jaringan VPC dengan hop berikutnya sebagai jaringan VPC yang di-peering, awal rekaman aktivitas bukanlah instance VM, tetapi jaringan VPC. Jenis trace ini memvalidasi aturan dan rute firewall di tingkat jaringan karena alamat IP yang Anda uji berasal dari rentang jaringan, bukan instance VM.

Jaringan yang di-peering dapat berada di project yang sama atau berbeda. Contoh rekaman aktivitas berikut menunjukkan jaringan yang di-peering dalam berbagai project.

Trace VM-ke-VM melalui jaringan VPC yang di-peering dan dapat diakses di project berbeda.
Pelacakan VM-ke-VM melalui jaringan VPC yang di-peering dan dapat diakses dalam project berbeda (klik untuk memperbesar)

Kegagalan uji untuk jaringan VPC

Tabel berikut berisi daftar kegagalan umum untuk pengujian dalam jaringan VPC.

Jenis kegagalan Deskripsi Hasil trace
Diblokir oleh aturan firewall Traffic yang keluar dari endpoint sumber atau memasuki endpoint tujuan diblokir oleh aturan kebijakan firewall hierarkis atau aturan firewall VPC.
  • Jika konektivitas diblokir oleh aturan kebijakan firewall hierarkis, trace akan menyertakan nama kebijakan. Orang yang menjalankan pengujian mungkin tidak memiliki izin untuk melihat detail kebijakan. Untuk detail selengkapnya tentang situasi ini, lihat Memecahkan masalah kebijakan firewall hierarkis.
  • Jika konektivitas diblokir oleh aturan firewall VPC, trace akan mencantumkan nama aturan firewall masuk atau keluar yang relevan.
Tidak ada rute yang cocok Rute ke endpoint tujuan tidak dapat ditemukan.
  • Jika instance VM sumber dan tujuan berada dalam jaringan VPC yang berbeda dan jaringan tersebut tidak di-peering, analisis menentukan bahwa Paket dapat dihapus.
  • Jika VM berada di jaringan yang sama, tetapi rute yang cocok tidak ditemukan, traffic akan dikirim pada rute statis default dengan next hop ke gateway internet. Dalam hal ini, traffic tidak pernah sampai di VM tujuan, dan analisis menentukan bahwa Paket dapat dibatalkan.
  • Jika tidak ada rute ke gateway internet, analisis menentukan bahwa Paket dapat dibatalkan.
Instance tidak berjalan Instance VM tujuan ada, tetapi tidak dalam status berjalan. Analisis menentukan bahwa Paket dapat dibatalkan.
Hop berikutnya tidak valid Hop berikutnya yang dikonfigurasi untuk instance VM sudah tidak ada, dan rute ke instance tersebut tidak valid. Analisis menentukan bahwa Paket dapat dibatalkan.

Screenshot berikut mengilustrasikan pelacakan yang gagal karena konektivitas diblokir oleh aturan kebijakan firewall hierarkis masuk.

Screenshot Konsol Google Cloud untuk trace yang diblokir oleh aturan kebijakan firewall hierarkis.
Screenshot konsol Google Cloud untuk trace yang diblokir oleh aturan kebijakan firewall hierarkis (klik untuk memperbesar)

Kegagalan uji untuk jaringan VPC Bersama

Dalam jaringan VPC Bersama, tidak memiliki izin ke project host atau project layanan dapat menyebabkan kegagalan pengujian yang tercantum dalam tabel berikut.

Jenis kegagalan Perilaku Hasil trace
Hanya izin untuk project host Anda tidak dapat menjalankan pelacakan karena tidak memiliki izin ke project layanan tempat alamat IP tujuan berada. Analisis konfigurasi menunjukkan hasil Analisis konfigurasi dibatalkan. Dalam respons API, label ini sesuai dengan status akhir Abort.
Izin hanya untuk project layanan

Anda tidak dapat menjalankan pelacakan atau memilih jaringan project host di Konsol Google Cloud karena Anda tidak memiliki izin.

Karena project host memiliki konfigurasi jaringan, pelacakan terhadap resource dalam project layanan tidak dapat dilanjutkan tanpa akses ke aturan firewall VPC, rute jaringan, atau alamat IP dalam project host.

Hasil keterjangkauan secara keseluruhan adalah Undetermined karena Uji Konektivitas tidak dapat menentukan apakah paket dapat dikirimkan ke tujuan.

Kegagalan uji untuk jaringan Peering Jaringan VPC

Dengan Peering Jaringan VPC, tidak memiliki izin ke project Google Cloud jaringan peered dari jaringan primary dapat menyebabkan hasil pengujian yang tercantum dalam tabel berikut.

Jenis kegagalan Perilaku Hasil trace
Anda tidak memiliki izin untuk konfigurasi project dalam jaringan VPC yang di-peering. Uji Konektivitas hanya dapat melacak konfigurasi dalam project jaringan utama. Analisis konfigurasi menunjukkan hasil Paket dapat diteruskan. Hasil ini menunjukkan bahwa sebuah paket akan meninggalkan jaringan dan dikirim ke jaringan yang tidak dapat Anda akses. Dalam hal ini, paket telah diteruskan ke gateway jaringan yang di-peering. Dalam respons API, status ini berkaitan dengan status akhir Forward.

Jalur trace berikut menunjukkan status penerusan untuk jaringan VPC yang di-peering.

Trace VM-ke-VM melalui jaringan VPC yang di-peering tidak dapat diakses di project yang berbeda.
Pelacakan VM-ke-VM melalui jaringan VPC yang di-peering yang tidak dapat diakses dalam project yang berbeda (klik untuk memperbesar)

Langkah selanjutnya