Mengidentifikasi dan memperbaiki masalah ICMP

Tutorial ini menunjukkan cara menggunakan Uji Konektivitas secara iteratif untuk mengidentifikasi dan memperbaiki masalah konektivitas jaringan.

Dalam hal ini, aturan firewall Virtual Private Cloud (VPC) mencegah alamat IP eksternal satu instance virtual machine (VM) menggunakan protokol ICMP untuk melakukan ping ke alamat IP eksternal VM lain.

Karena masalah komunikasi VM-ke-VM sering kali merupakan masalah konektivitas jaringan, Uji Konektivitas dapat memberi Anda informasi tentang kemungkinan masalah konfigurasi sehingga Anda dapat memperbaikinya. Kemudian, Anda dapat menjalankan Uji Konektivitas lagi untuk memverifikasi perbaikan Anda.

Ringkasan

Dalam hal ini, Anda telah mengonfigurasi dua instance VM di subnet yang sama di jaringan VPC. Kedua VM memiliki alamat IP eksternal. Saat Anda menguji konektivitas di antara keduanya dengan mengirim paket ping dari vm1 ke alamat IP eksternal vm2, ping tidak berfungsi.

Memecahkan masalah ping yang ditolak di antara dua VM.
Memecahkan masalah ping yang ditolak di antara dua VM

Sebelum memulai

Sebelum memulai tutorial, ikuti semua langkah di bagian Before you begin pada Membuat dan menjalankan Uji Konektivitas.

Sebaiknya Anda juga meninjau cara kerja aturan firewall VPC.

Mengonfigurasi resource jaringan

Di bagian ini, Anda akan mengonfigurasi resource Google Cloud di jalur pengujian.

Mengonfigurasi jaringan VPC

Anda dapat menggunakan jaringan dan subnet yang ada yang berisi VM, atau Anda dapat membuat jaringan dan subnet baru.

Mengonfigurasi dua instance VM

  1. Instance VM dalam tutorial ini berada di jaringan dan subnet VPC yang sama. Anda dapat menggunakan VM yang ada atau membuat VM baru.
  2. Tetapkan alamat IP eksternal ke vm1 dan vm2 saat Anda membuatnya. Catat alamatnya karena Anda akan menggunakannya nanti.

Membuat aturan firewall default-deny-outgoing-ping

Setelah membuat VM, buat aturan firewall VPC keluar yang disebut default-deny-outgoing-ping. Aturan ini menolak protokol ICMP dari vm1 ke vm2. Pastikan tidak ada aturan firewall yang ada di jaringan ini yang akan mengganti aturan ini. Selain itu, pastikan tidak ada aturan kebijakan firewall hierarkis yang akan mengganti aturan ini. Untuk mengetahui detailnya, lihat Ringkasan kebijakan firewall hierarkis.

Gunakan nilai dalam tabel berikut untuk mengonfigurasi aturan firewall VPC ini.

Kolom aturan firewall VPC Nilai
Nama default-deny-outgoing-ping
Jaringan Gunakan jaringan VPC tempat VM berada.
Prioritas 1000
Arah traffic Egress
Tindakan jika ada kecocokan Tolak
Target Pilih All instances in the network.
Rentang IP tujuan Gunakan alamat IP eksternal vm2.
Protokol dan port yang ditentukan Pilih kotak centang Other protocols, lalu masukkan icmp.

Membuat aturan firewall default-deny-ingress-to-vm2

Buat aturan firewall masuk yang disebut default-deny-ingress-to-vm2 untuk menolak protokol ICMP ke alamat IP eksternal vm2. Pastikan tidak ada aturan firewall yang ada di jaringan ini yang akan mengganti aturan ini. Selain itu, pastikan tidak ada aturan kebijakan firewall hierarkis yang akan mengganti aturan ini. Untuk mengetahui detailnya, lihat Ringkasan kebijakan firewall hierarkis.

Gunakan nilai dalam tabel berikut untuk membuat aturan.

Kolom aturan firewall VPC Nilai
Nama default-deny-ingress-to-vm2
Jaringan Gunakan jaringan VPC tempat VM berada.
Prioritas 65534
Arah traffic Masuk
Tindakan jika ada kecocokan Tolak
Target Pilih All instances in the network.
Rentang IP sumber Gunakan alamat IP eksternal vm1.
Protokol dan port yang ditentukan Pilih kotak centang Other protocols, lalu masukkan icmp.

Menjalankan rekaman aktivitas pertama

Dengan menggunakan konsol Google Cloud, jalankan pelacakan untuk menentukan apakah paket ICMP (ping) dapat melakukan perjalanan dari vm1 ke alamat IP eksternal vm2. Setelah menjalankan rekaman aktivitas ini, Uji Konektivitas akan memberi tahu Anda bahwa paket rekaman aktivitas telah dihapus karena aturan firewall VPC default-deny-outgoing-ping.

Gunakan tabel berikut untuk nilai input rekaman aktivitas.

Nama kolom Nilai
Protokol icmp
Alamat IP sumber

Gunakan alamat IP eksternal vm1.

Centang kotak This is an IP address used in Google Cloud.
Alamat IP sumber atau project layanan Verifikasi nama project untuk vm1.
Alamat IP tujuan

Gunakan alamat IP eksternal vm2.

Centang kotak This is an IP address used in Google Cloud.
Alamat IP tujuan atau project layanan Verifikasi nama project untuk vm2.

Ringkasan konsol Google Cloud berikut menunjukkan bahwa paket rekaman aktivitas dihapus ke aturan firewall default-deny-outgoing-ping.

Snapshot UI konsol rekaman aktivitas yang berisi ping keluar yang ditolak.
Snapshot UI konsol rekaman aktivitas yang berisi ping keluar yang ditolak

Menjalankan rekaman aktivitas kedua setelah menonaktifkan aturan firewall default-deny-outgoing-ping

  1. Untuk mengizinkan pengujian ping ke vm2, nonaktifkan sementara aturan firewall VPC default-deny-outgoing-ping.
  2. Setelah konfigurasi berhasil diperbarui, jalankan rekaman aktivitas lagi.
  3. Pelacakan gagal lagi. Paket dihapus karena aturan firewall ini menolak paket ICMP masuk ke alamat IP eksternal vm2.

Ringkasan konsol Google Cloud berikut menunjukkan bahwa paket rekaman aktivitas masuk dapat melewati Cloud NAT, tetapi tidak dapat menjangkau vm2 karena aturan firewall yang disebutkan sebelumnya.

Snapshot UI konsol rekaman aktivitas yang gagal menjangkau vm2.
Snapshot UI konsol rekaman aktivitas yang gagal mencapai vm2

Membuat aturan firewall allow-ping-from-known-ranges

Untuk mengizinkan traffic masuk ke alamat IP eksternal vm2, konfigurasikan aturan firewall VPC baru yang disebut allow-ping-from-known-ranges. Karena mengizinkan semua paket ICMP masuk ke jaringan VPC Anda merupakan risiko keamanan, tentukan hanya sekumpulan kecil rentang sumber yang diizinkan untuk mengirim paket ICMP ke alamat IP eksternal vm2.

Untuk tujuan tutorial ini, rentang sumber ini hanya mencakup alamat IP eksternal vm1, tetapi periksa aturan firewall atau prioritas aturan yang ada untuk memastikan aturan tersebut tidak mengganti aturan baru ini. Selain itu, pastikan bahwa tidak ada aturan kebijakan firewall hierarkis yang akan mengganti aturan ini. Untuk mengetahui detailnya, lihat Ringkasan kebijakan firewall hierarkis.

Gunakan nilai dalam tabel berikut untuk mengonfigurasi aturan.

Kolom aturan firewall VPC Nilai
Nama allow-ping-from-known-ranges
Jaringan Gunakan nama jaringan yang berisi kedua VM.
Prioritas 1000
Arah traffic Masuk
Tindakan jika ada kecocokan Izinkan
Target Pilih All instances in the network.
Source filter Rentang IP
Rentang IP sumber Gunakan alamat IP eksternal vm1.
Protokol dan port yang ditentukan Centang kotak Other protocols, lalu masukkan icmp.

Menjalankan rekaman aktivitas ketiga

Setelah membuat aturan firewall allow-ping-from-known-ranges, lakukan ping ke alamat IP eksternal vm2 lagi. Ping berfungsi dan masalah teratasi.

Ping yang diizinkan antara dua VM.
Ping yang diizinkan di antara dua VM

Anda dapat memverifikasi hasil ini dengan melakukan pelacakan lain terhadap konfigurasi yang diperbarui yang berisi aturan firewall baru. Kali ini, Uji Konektivitas memberi tahu Anda bahwa paket telah dikirim ke vm2 dan bahwa aturan firewall yang cocok, allow-ping-from-known-ranges, mengizinkan paket ICMP masuk ke alamat IP eksternal vm2.

Screenshot UI konsol dari pelacakan yang berhasil ke vm2.
Snapshot UI konsol dari pelacakan yang berhasil ke vm2

Pembersihan

Jika diperlukan, Anda dapat menonaktifkan atau menghapus resource Google Cloud berikut yang Anda buat untuk tutorial ini. Pastikan ini bukan resource produksi. Jika Anda memutuskan untuk menonaktifkan resource, periksa halaman harga Compute Engine dan halaman harga Semua jaringan untuk memastikan Anda tidak akan ditagih untuk resource tersebut.

  1. Nonaktifkan atau hapus aturan firewall.
  2. Nonaktifkan atau hapus VM.
  3. Hapus subnet VPC.
  4. Hapus jaringan VPC.

Langkah selanjutnya