Este tutorial mostra como usar iterativamente os testes de conetividade para identificar e corrigir um problema com a conetividade de rede.
Neste caso, as regras de firewall da nuvem privada virtual (VPC) impedem que o endereço IP externo de uma instância de máquina virtual (VM) use o protocolo ICMP para enviar um ping para o endereço IP externo de outra VM.
Uma vez que os problemas de comunicação entre VMs são frequentemente problemas de conetividade de rede, os testes de conetividade podem dar-lhe informações sobre possíveis problemas de configuração para que os possa corrigir. Em seguida, pode executar novamente os testes de conetividade para validar a correção.
Vista geral
Neste caso, configurou duas instâncias de VM na mesma sub-rede da sua rede VPC. Ambas as VMs têm endereços IP externos. Quando testa a
conetividade entre eles enviando um pacote ping de vm1 para
o endereço IP externo de vm2, o ping não funciona.
Antes de começar
Antes de iniciar o tutorial, siga todos os passos na secção Before you begin de Criar e executar testes de conetividade.
Também pode ser útil rever como funcionam as regras de firewall da VPC.
Configure recursos de rede
Nesta secção, configura os Google Cloud recursos no caminho de teste.
Configure uma rede de VPC
Pode usar uma rede e uma sub-rede existentes que contenham as VMs ou criar uma nova rede e sub-rede.
Configure duas instâncias de VM
- As instâncias de VM neste tutorial estão localizadas na mesma rede de VPC e sub-rede. Pode usar VMs existentes ou criar novas.
- Atribua um endereço IP externo a
vm1evm2quando os criar. Tome nota dos endereços, pois vai usá-los mais tarde.
Crie uma regra de firewall default-deny-outgoing-ping
Depois de criar as VMs, crie uma regra de firewall de VPC de saída denominada default-deny-outgoing-ping. Esta regra nega o protocolo ICMP de vm1 para vm2. Certifique-se de que não existem regras de firewall nesta rede que substituam esta regra. Além disso, certifique-se de que nenhuma regra de política de firewall hierárquica substitui esta regra. Para ver detalhes, consulte a
Vista geral das políticas de firewall hierárquicas.
Use os valores na tabela seguinte para configurar esta regra de firewall da VPC.
| Campo da regra de firewall da VPC | Valor |
|---|---|
| Nome | default-deny-outgoing-ping |
| Rede | Use a rede VPC onde as VMs estão localizadas. |
| Prioridade | 1000 |
| Direção do trânsito | Egress |
| Ação na correspondência | Recusar |
| Objetivos | Selecione Todas as instâncias na rede. |
| Intervalos de IP de destino | Use o endereço IP externo de vm2. |
| Protocolos e portas especificados | Selecione a caixa de verificação Outros protocolos e, de seguida, introduza
icmp. |
Crie uma regra de firewall default-deny-ingress-to-vm2
Crie uma regra de firewall de entrada denominada default-deny-ingress-to-vm2 para recusar o protocolo ICMP ao endereço IP externo de vm2. Certifique-se de que não existem regras de firewall nesta rede que substituam esta regra. Além disso, certifique-se de que nenhuma regra de política de firewall hierárquica substitui esta regra. Para ver detalhes, consulte a
Vista geral das políticas de firewall hierárquicas.
Use os valores na tabela seguinte para criar a regra.
| Campo da regra de firewall da VPC | Valor |
|---|---|
| Nome | default-deny-ingress-to-vm2 |
| Rede | Use a rede VPC onde as VMs estão localizadas. |
| Prioridade | 65534 |
| Direção do trânsito | Ingress |
| Ação na correspondência | Recusar |
| Objetivos | Selecione Todas as instâncias na rede. |
| Intervalos de IP de origem | Use o endereço IP externo de vm1. |
| Protocolos e portas especificados | Selecione a caixa de verificação Outros protocolos e, de seguida, introduza
icmp. |
Execute o primeiro rastreio
Usando a Google Cloud consola,
execute um rastreio
para determinar se um pacote ICMP (ping) pode viajar de vm1 para o endereço IP externo de vm2. Após executar este rastreio, os Connectivity Tests indicam que o pacote de rastreio foi rejeitado devido à regra de firewall da VPC default-deny-outgoing-ping.
Use a tabela seguinte para os valores de entrada da rastreabilidade.
| Nome do campo | Valor |
|---|---|
| Protocolo | icmp |
| Endereço IP de origem | Use o endereço IP externo de Selecione a caixa de verificação Este é um endereço IP usado em Google Cloud. |
| Endereço IP de origem ou projeto de serviço | Verifique o nome do projeto para vm1. |
| Endereço IP de destino | Use o endereço IP externo de Selecione a caixa de verificação Este é um endereço IP usado em Google Cloud. |
| Endereço IP de destino ou projeto de serviço | Verifique o nome do projeto para vm2. |
A seguinte captura de ecrã da consola mostra que o pacote de rastreio foi
ignorado devido à regra da firewall default-deny-outgoing-ping. Google Cloud
Execute um segundo rastreio após desativar a regra de firewall default-deny-outgoing-ping
- Para permitir que o teste de ping seja
vm2, desative temporariamente a regra de firewall da VPCdefault-deny-outgoing-ping. - Depois de a configuração ser atualizada com êxito, execute novamente o rastreio.
- O rastreio falha novamente. O pacote foi eliminado devido a esta regra de firewall que nega um pacote ICMP de entrada ao endereço IP externo de
vm2.
A captura de ecrã da consola Google Cloud seguinte mostra que um pacote de rastreio de entrada
pode passar pelo Cloud NAT, mas não consegue alcançar vm2 devido à regra de firewall
mencionada anteriormente.
vm2Crie a regra de firewall allow-ping-from-known-ranges
Para permitir a entrada no endereço IP externo de vm2, configure uma nova regra de firewall da VPC denominada allow-ping-from-known-ranges. Uma vez que permitir todos os pacotes ICMP de entrada na sua rede da VPC representa um risco de segurança, especifique apenas um pequeno conjunto de intervalos de origem que podem enviar pacotes ICMP para o endereço IP externo de vm2.
Para efeitos deste tutorial, este intervalo de origem inclui apenas o endereço IP externo de vm1, mas verifique as regras de firewall ou as prioridades das regras existentes para se certificar de que não substituem esta nova regra. Além disso, certifique-se de que
nenhuma
regra de política de firewall hierárquica substitui esta regra. Para ver detalhes, consulte a
Vista geral das políticas de firewall hierárquicas.
Use os valores na tabela seguinte para configurar a regra.
| Campo da regra de firewall da VPC | Valor |
|---|---|
| Nome | allow-ping-from-known-ranges |
| Rede | Use o nome da rede que contém ambas as VMs. |
| Prioridade | 1000 |
| Direção do trânsito | Ingress |
| Ação na correspondência | Permitir |
| Objetivos | Selecione Todas as instâncias na rede. |
| Filtro de origem | Intervalos de IP |
| Intervalos de IP de origem | Use o endereço IP externo de vm1. |
| Protocolos e portas especificados | Selecione a caixa de verificação Outros protocolos e, de seguida, introduza
icmp. |
Execute um terceiro rastreio
Depois de criar a regra de firewall allow-ping-from-known-ranges, faça ping novamente ao endereço IP externo de vm2. O ping funciona e o problema é resolvido.
Pode validar este resultado executando outra rastreabilidade na configuração atualizada que contém a nova regra de firewall. Desta vez, os Connectivity Tests indicam que o pacote foi entregue a vm2 e que a regra de firewall correspondente, allow-ping-from-known-ranges, permite um pacote ICMP de entrada para o endereço IP externo de vm2.
vm2Limpar
Se necessário, pode desativar ou eliminar qualquer um dos seguintes Google Cloud recursos que criou para este tutorial. Certifique-se de que não se trata de recursos de produção. Se decidir desativar recursos, consulte a página de preços do Compute Engine e a página de preços de toda a rede para se certificar de que não lhe são cobrados.
- Desative ou elimine regras de firewall.
- Desativar ou eliminar VMs.
- Elimine sub-redes de VPC.
- Elimine a rede de VPC.
O que se segue?
- Saiba mais sobre os testes de conetividade
- Atualize ou elimine testes de conetividade
- Resolva problemas dos testes de conetividade