Prueba la conectividad dentro de las redes de VPC

Un caso de uso común para las pruebas de conectividad es realizar pruebas entre dos instancias de máquina virtual (VM) de Compute Engine en las mismas redes de nube privada virtual (VPC) o en las que se haya realizado un intercambio de tráfico.

Para este tipo de prueba, las pruebas de conectividad evalúan la accesibilidad mediante el análisis de configuración y el análisis del plano de datos en vivo. Para analizar la configuración, las pruebas de conectividad identifican y evalúan una ruta de seguimiento.

En los diagramas de seguimiento de esta página, se usan los símbolos que se describen en la siguiente leyenda.
Symbol Name Significado
Diamante gris
Leyenda para el diagrama de seguimiento de paquetes: diamante gris.
Check Point Un punto decisivo en el que las pruebas de conectividad comprueban una configuración y deciden si un paquete de seguimiento debe reenviarse, entregarse o descartarse.
Rectángulo azul
Leyenda para el diagrama de seguimiento de paquetes: rectángulo azul.
Hop Es un paso en la ruta de reenvío de un paquete de seguimiento, que representa un recurso de Google Cloud que reenvía un paquete al siguiente salto en una red de VPC (por ejemplo, a un proxy de Cloud Load Balancing o un túnel de Cloud VPN).
Hexágono naranja
Leyenda para el diagrama de seguimiento de paquetes: hexágono naranja.
Extremo Es el origen o el destino de un paquete de seguimiento.

En el siguiente diagrama, se muestra la ruta de seguimiento típica entre dos instancias de VM. El objeto Match routes puede representar rutas que dirigen el tráfico en una sola red de VPC o entre dos redes de VPC con intercambio de tráfico.

Seguimiento de VM de origen a VM de destino.
Seguimiento de VM de origen a VM de destino (haz clic para ampliar).

En los siguientes pasos, se describen los puntos de control que corresponden a cada punto en el diagrama de seguimiento. La verificación puede fallar en cualquier punto de control. En los resultados de la consulta, se muestra el motivo de cada falla. Para ver una lista completa de los mensajes y los estados de la prueba, consulta estados de los análisis de configuración.

  1. Las pruebas de conectividad verifican que la VM de origen pueda enviar paquetes de salida con la dirección IP de origen especificada o que, de lo contrario, puede establecer el proceso de verificación de falsificación de identidad de forma predeterminada.

  2. Las pruebas de conectividad realizan una verificación de falsificación de identidad cuando un paquete simulado desde o hacia una instancia de VM usa una dirección IP que no es propiedad de esa instancia. Las direcciones IP que pertenecen a una VM incluyen todas las direcciones IP internas de la VM y las direcciones IP secundarias.

    Si la dirección es una dirección que parece originarse en el tráfico externo, también llamada dirección extranjera, entonces la dirección IP no pasa la verificación de falsificación de identidad.

  3. Para determinar si se pueden enviar paquetes de seguimiento desde el origen, las pruebas de conectividad verifican las reglas de firewall de salida adecuadas. Como parte de este proceso, las pruebas de conectividad comienzan con la evaluación de cualquier regla de política de firewall jerárquica que exista. Para obtener detalles sobre cómo las reglas de políticas de firewall jerárquicas y las reglas de firewall de VPC afectan la conectividad, consulta Ejemplos de políticas de firewall jerárquicas.

  4. Las pruebas de conectividad encuentran (hacen coincidir) una ruta para la dirección IP de destino, según el orden de enrutamiento. Si no hay otras rutas disponibles para la instancia de VM de destino, las pruebas de conectividad utilizan la ruta estática predeterminada con el siguiente salto como la puerta de enlace de Internet. Todas las redes de VPC usan esta ruta predeterminada, a menos que la hayas quitado.

  5. Las pruebas de conectividad verifican que las reglas de firewall de entrada de la red permitan que el paquete llegue a la VM de destino. Una vez más, las pruebas de conectividad comienzan cuando se evalúan las reglas de políticas jerárquicas de firewall que existen.

  6. Si es necesario, las pruebas de conectividad ejecutan una verificación de falsificación de identidad en el paquete que llega a la segunda VM.

  7. Las pruebas de conectividad verifican que la VM de destino pueda recibir un paquete con la dirección IP de destino especificada. Si esta dirección es una dirección IP extranjera, la VM de destino debe tener habilitado el reenvío de IP. Una dirección IP extranjera es una dirección que no pertenece a la VM.

En la siguiente captura de pantalla de la consola de Google Cloud, se muestran los resultados de una prueba de VM a VM.

El análisis de configuración muestra el resultado Es posible que se haya entregado el paquete (Packet could be delivered). En la respuesta de la API, esta etiqueta corresponde a un estado final de Deliver.

En este resultado, se muestra que el análisis de configuración validó la conectividad de red para cada recurso de Google Cloud en la ruta desde la VM de origen hasta la VM de destino. En este caso, la ruta incluía dos reglas de firewall de VPC: una regla de firewall de VPC implícita (llamada default) y una que se creó para esta red de VPC.

Además, las pruebas de conectividad verificaron de forma dinámica que se puede acceder a la VM de destino mediante el sondeo activo. En el campo Resultado de la última transmisión de paquetes (Last packet transmission result), se muestran los detalles de este resultado.

Captura de pantalla de la consola de Google Cloud para el seguimiento de VM a VM
Captura de pantalla de la consola de Google Cloud para el seguimiento de VM a VM (haz clic para ampliar)

Puedes expandir cada una de las tarjetas en la ruta de seguimiento para ver más detalles.

En el ejemplo siguiente, se muestra una tarjeta expandida para una regla de firewall de entrada. Esta tarjeta incluye información sobre la red de VPC, la acción configurada para la regla de firewall (permitir) y la prioridad de la regla.

Tarjeta de la regla de firewall de entrada expandida
Tarjeta de la regla de firewall de entrada expandida (haz clic para ampliar)

Cuando un seguimiento contiene una ruta de red de VPC con el siguiente salto como una red de VPC con intercambio de tráfico, el inicio del seguimiento no es una instancia de VM, sino una red de VPC. Este tipo de seguimiento valida las rutas y las reglas de firewall a nivel de red, ya que la dirección IP que pruebas proviene de un rango de red, y no de una instancia de VM.

Las redes con intercambio de tráfico pueden existir en el mismo proyecto o en proyectos diferentes. En el siguiente ejemplo de seguimiento, se muestran redes con intercambio de tráfico en proyectos diferentes.

Seguimiento de VM a VM mediante una red de VPC con intercambio de tráfico accesible en un proyecto diferente
Seguimiento de VM a VM mediante una red de VPC con intercambio de tráfico accesible en un proyecto diferente (haz clic para ampliar)

Fallas de prueba para redes de VPC

En la siguiente tabla, se enumeran las fallas comunes de las pruebas dentro de las redes de VPC.

Tipo de falla Descripción Resultados del seguimiento
Bloqueado por una regla de firewall Una regla de firewall jerárquica o una regla de firewall de VPC bloquean el tráfico que sale de un extremo de origen o que ingresa un extremo de destino.
  • Si la conectividad está bloqueada por una regla de política de firewall jerárquica, el seguimiento incluye el nombre de la política. Es posible que la persona que ejecuta la prueba no tenga permiso para ver los detalles de la política. Para obtener más detalles sobre esta situación, consulta Soluciona problemas de la política de firewall jerárquica.
  • Si la conectividad está bloqueada por una regla de firewall de VPC, el seguimiento enumera el nombre de la regla de firewall de entrada o salida correspondiente.
No hay rutas que coincidan No se pudo encontrar una ruta al extremo de destino.
  • Si las instancias de VM de origen y de destino se encuentran en redes de VPC diferentes y esas redes no intercambian tráfico, el análisis determina que es posible que se haya descartado el paquete.
  • Si las VM están en la misma red, pero no se encuentra una ruta coincidente, el tráfico se envía en la ruta estática predeterminada, con un siguiente salto a la puerta de enlace de Internet. En este caso, el tráfico nunca llega a la VM de destino, y el análisis determina que es posible que se haya descartado el paquete.
  • Si no hay una ruta a una puerta de enlace de Internet, el análisis determina que Es posible que se haya descartado el paquete.
La instancia no se encuentra en ejecución La instancia de VM de destino existe, pero no se encuentra en un estado de ejecución. El análisis determina que Es posible que se haya descartado el paquete.
El siguiente salto no es válido El siguiente salto configurado para una instancia de VM ya no existe y la ruta a esa instancia no es válida. El análisis determina que Es posible que se haya descartado el paquete.

En la siguiente captura de pantalla, se muestra un seguimiento que falló porque la conectividad fue bloqueada por una regla de política de firewall jerárquica de entrada.

Captura de pantalla de la consola de Google Cloud de un seguimiento bloqueado por una regla de política de firewall jerárquica
Captura de pantalla de la consola de Google Cloud de un seguimiento bloqueado por una regla de política de firewall jerárquica (haz clic para ampliar)

Fallas de prueba para redes de VPC compartidas

En las redes de VPC compartida, no tener permisos para el proyecto host o el proyecto de servicio puede generar las fallas de las pruebas que se enumeran en la siguiente tabla.

Tipo de falla Comportamiento Resultados del seguimiento
Permisos solo para el proyecto host No puedes ejecutar el seguimiento porque no tienes los permisos para el proyecto de servicio en el que se encuentra la dirección IP de destino. El análisis de configuración muestra el resultado Se anuló el análisis de configuración (en la respuesta de la API, esta etiqueta corresponde a un estado final de Abort).
Permisos solo para el proyecto de servicio

No puedes ejecutar el seguimiento ni seleccionar la red del proyecto host en la consola de Google Cloud porque no tienes permiso.

Debido a que el proyecto host posee parámetros de configuración de red, un seguimiento de los recursos del proyecto de servicio no puede continuar sin acceso a reglas de firewall de VPC, rutas de red o direcciones IP en el proyecto host.

El resultado de accesibilidad general es Undetermined, ya que las pruebas de conectividad no pueden determinar si el paquete se puede entregar al destino.

Fallas de prueba para redes de intercambio de tráfico entre redes de VPC

Con el intercambio de tráfico entre redes de VPC, no tener permiso para el proyecto de Google Cloud de la red peered desde la red primary puede provocar el resultado de la prueba que se indica en la siguiente tabla.

Tipo de falla Comportamiento Resultados del seguimiento
No tienes permisos para la configuración del proyecto en la red de VPC con intercambio de tráfico. Las pruebas de conectividad solo pueden realizar un seguimiento de las configuraciones en el proyecto de la red principal. El análisis de configuración muestra el resultado Es posible que se haya reenviado el paquete. Este resultado indica que un paquete dejará la red y se enviará a una red a la que no tienes acceso. En este caso, el paquete se reenvió a una puerta de enlace de red con intercambio de tráfico. En la respuesta de la API, este estado corresponde a un estado final de Forward.

La siguiente ruta de seguimiento muestra el estado de reenvío para las redes de VPC con intercambio de tráfico.

Seguimiento de VM a VM mediante una red de VPC con intercambio de tráfico inaccesible en un proyecto diferente
Seguimiento de VM a VM mediante una red de VPC con intercambio de tráfico inaccesible en un proyecto diferente (haz clic para ampliar)

¿Qué sigue?