Un caso de uso común para las pruebas de conectividad es realizar pruebas entre dos instancias de máquina virtual (VM) de Compute Engine en las mismas redes de nube privada virtual (VPC) o en las que se haya realizado un intercambio de tráfico.
Para este tipo de prueba, las pruebas de conectividad evalúan la accesibilidad mediante el análisis de configuración y el análisis del plano de datos en vivo. Para analizar la configuración, las pruebas de conectividad identifican y evalúan una ruta de seguimiento.
En los diagramas de seguimiento de esta página, se usan los símbolos que se describen en la siguiente leyenda.En el siguiente diagrama, se muestra la ruta de seguimiento típica entre dos instancias de VM. El objeto Match routes
puede representar rutas que dirigen el tráfico en una sola red de VPC o entre dos redes de VPC con intercambio de tráfico.
En los siguientes pasos, se describen los puntos de control que corresponden a cada punto en el diagrama de seguimiento. La verificación puede fallar en cualquier punto de control. En los resultados de la consulta, se muestra el motivo de cada falla. Para ver una lista completa de los mensajes y los estados de la prueba, consulta estados de los análisis de configuración.
Las pruebas de conectividad verifican que la VM de origen pueda enviar paquetes de salida con la dirección IP de origen especificada o que, de lo contrario, puede establecer el proceso de verificación de falsificación de identidad de forma predeterminada.
-
Las pruebas de conectividad realizan una verificación de falsificación de identidad cuando un paquete simulado desde o hacia una instancia de VM usa una dirección IP que no es propiedad de esa instancia. Las direcciones IP que pertenecen a una VM incluyen todas las direcciones IP internas de la VM y las direcciones IP secundarias.
Si la dirección es una dirección que parece originarse en el tráfico externo, también llamada dirección extranjera, entonces la dirección IP no pasa la verificación de falsificación de identidad.
Para determinar si se pueden enviar paquetes de seguimiento desde el origen, las pruebas de conectividad verifican las reglas de firewall de salida adecuadas. Como parte de este proceso, las pruebas de conectividad comienzan con la evaluación de cualquier regla de política de firewall jerárquica que exista. Para obtener detalles sobre cómo las reglas de políticas de firewall jerárquicas y las reglas de firewall de VPC afectan la conectividad, consulta Ejemplos de políticas de firewall jerárquicas.
Las pruebas de conectividad encuentran (hacen coincidir) una ruta para la dirección IP de destino, según el orden de enrutamiento. Si no hay otras rutas disponibles para la instancia de VM de destino, las pruebas de conectividad utilizan la ruta estática predeterminada con el siguiente salto como la puerta de enlace de Internet. Todas las redes de VPC usan esta ruta predeterminada, a menos que la hayas quitado.
Las pruebas de conectividad verifican que las reglas de firewall de entrada de la red permitan que el paquete llegue a la VM de destino. Una vez más, las pruebas de conectividad comienzan cuando se evalúan las reglas de políticas jerárquicas de firewall que existen.
Si es necesario, las pruebas de conectividad ejecutan una verificación de falsificación de identidad en el paquete que llega a la segunda VM.
Las pruebas de conectividad verifican que la VM de destino pueda recibir un paquete con la dirección IP de destino especificada. Si esta dirección es una dirección IP extranjera, la VM de destino debe tener habilitado el reenvío de IP. Una dirección IP extranjera es una dirección que no pertenece a la VM.
En la siguiente captura de pantalla de la consola de Google Cloud, se muestran los resultados de una prueba de VM a VM.
El análisis de configuración muestra el resultado Es posible que se haya entregado el paquete (Packet could be delivered).
En la respuesta de la API, esta etiqueta corresponde a un
estado final de Deliver
.
En este resultado, se muestra que el análisis de configuración validó la conectividad de red para cada recurso de Google Cloud en la ruta desde la VM de origen hasta la VM de destino. En este caso, la ruta incluía dos reglas de firewall de VPC: una regla de firewall de VPC implícita (llamada default
) y una que se creó para esta red de VPC.
Además, las pruebas de conectividad verificaron de forma dinámica que se puede acceder a la VM de destino mediante el sondeo activo. En el campo Resultado de la última transmisión de paquetes (Last packet transmission result), se muestran los detalles de este resultado.
Puedes expandir cada una de las tarjetas en la ruta de seguimiento para ver más detalles.
En el ejemplo siguiente, se muestra una tarjeta expandida para una regla de firewall de entrada. Esta tarjeta incluye información sobre la red de VPC, la acción configurada para la regla de firewall (permitir) y la prioridad de la regla.
Cuando un seguimiento contiene una ruta de red de VPC con el siguiente salto como una red de VPC con intercambio de tráfico, el inicio del seguimiento no es una instancia de VM, sino una red de VPC. Este tipo de seguimiento valida las rutas y las reglas de firewall a nivel de red, ya que la dirección IP que pruebas proviene de un rango de red, y no de una instancia de VM.
Las redes con intercambio de tráfico pueden existir en el mismo proyecto o en proyectos diferentes. En el siguiente ejemplo de seguimiento, se muestran redes con intercambio de tráfico en proyectos diferentes.
Fallas de prueba para redes de VPC
En la siguiente tabla, se enumeran las fallas comunes de las pruebas dentro de las redes de VPC.
Tipo de falla | Descripción | Resultados del seguimiento |
---|---|---|
Bloqueado por una regla de firewall | Una regla de firewall jerárquica o una regla de firewall de VPC bloquean el tráfico que sale de un extremo de origen o que ingresa un extremo de destino. |
|
No hay rutas que coincidan | No se pudo encontrar una ruta al extremo de destino. |
|
La instancia no se encuentra en ejecución | La instancia de VM de destino existe, pero no se encuentra en un estado de ejecución. | El análisis determina que Es posible que se haya descartado el paquete. |
El siguiente salto no es válido | El siguiente salto configurado para una instancia de VM ya no existe y la ruta a esa instancia no es válida. | El análisis determina que Es posible que se haya descartado el paquete. |
En la siguiente captura de pantalla, se muestra un seguimiento que falló porque la conectividad fue bloqueada por una regla de política de firewall jerárquica de entrada.
Fallas de prueba para redes de VPC compartidas
En las redes de VPC compartida, no tener permisos para el proyecto host o el proyecto de servicio puede generar las fallas de las pruebas que se enumeran en la siguiente tabla.
Tipo de falla | Comportamiento | Resultados del seguimiento |
---|---|---|
Permisos solo para el proyecto host | No puedes ejecutar el seguimiento porque no tienes los permisos para el proyecto de servicio en el que se encuentra la dirección IP de destino. | El análisis de configuración muestra el resultado Se anuló el
análisis de configuración (en la respuesta de la API, esta etiqueta corresponde a un
estado final de
Abort ). |
Permisos solo para el proyecto de servicio |
No puedes ejecutar el seguimiento ni seleccionar la red del proyecto host en la consola de Google Cloud porque no tienes permiso. Debido a que el proyecto host posee parámetros de configuración de red, un seguimiento de los recursos del proyecto de servicio no puede continuar sin acceso a reglas de firewall de VPC, rutas de red o direcciones IP en el proyecto host. |
El resultado de accesibilidad general es Undetermined , ya que las pruebas de conectividad no pueden determinar si el paquete se puede entregar al destino. |
Fallas de prueba para redes de intercambio de tráfico entre redes de VPC
Con el intercambio de tráfico entre redes de VPC, no tener permiso para el proyecto de Google Cloud de la red peered
desde la red primary
puede provocar el resultado de la prueba que se indica en la siguiente tabla.
Tipo de falla | Comportamiento | Resultados del seguimiento |
---|---|---|
No tienes permisos para la configuración del proyecto en la red de VPC con intercambio de tráfico. | Las pruebas de conectividad solo pueden realizar un seguimiento de las configuraciones en el proyecto de la red principal. | El análisis de configuración muestra el resultado Es posible que se haya reenviado el paquete.
Este resultado indica que un paquete dejará la red y se enviará a una red a la que no tienes acceso. En este caso, el paquete se reenvió a una puerta de enlace de red con intercambio de tráfico. En la respuesta de la API,
este estado corresponde a un
estado final de
Forward . |
La siguiente ruta de seguimiento muestra el estado de reenvío para las redes de VPC con intercambio de tráfico.
¿Qué sigue?
- Situaciones de prueba comunes
- Obtén información sobre las pruebas de conectividad.
- Soluciona los problemas de las pruebas de conectividad