Solución de problemas de ICMP

En este instructivo, se muestra cómo usar las pruebas de conectividad de forma iterativa para identificar y solucionar un problema con la conectividad de red.

En este caso, las reglas de firewall de nube privada virtual evitan que la dirección IP externa de una instancia de máquina virtual (VM) use el protocolo ICMP para hacer ping a la dirección IP externa de otra VM.

Dado que los problemas de comunicación de VM a VM suelen ser problemas de conectividad de red, las pruebas de conectividad pueden darte información sobre posibles problemas de configuración para que puedas solucionarlos. Luego, puedes volver a ejecutar las pruebas de conectividad para verificar la solución.

Resumen

En este caso, configuraste dos instancias de VM en la misma subred de tu red de nube privada virtual. Ambas VM tienen direcciones IP externas. Cuando pruebas la conectividad entre ellos mediante el envío de un paquete de ping desde vm1 a la dirección IP externa de vm2, el ping no funciona.

Solución de problemas de un ping denegado entre dos VM
Solución de problemas de un ping denegado entre dos VM

Antes de comenzar

Antes de comenzar el instructivo, sigue todos los pasos de la sección Before you begin en Ejecuta pruebas de conectividad.

También puede ser útil revisar cómo funcionan las reglas de firewall.

Configura recursos de red

En esta sección, configurarás los recursos de Google Cloud en la ruta de acceso de la prueba.

Configura una red de VPC

Puedes usar una red y una subred existentes que contengan las VM, o puedes crear una red y subred nuevas.

Configura dos instancias de VM

  1. Las instancias de VM en este instructivo se encuentran en la misma red de VPC y subred. Puedes usar VM existentes o crear otras nuevas.
  2. Asigna una dirección IP externa a vm1 y vm2 cuando los crees. Anota las direcciones, ya que las usarás más adelante.

Crea una regla de firewall default-deny-outgoing-ping

Una vez que hayas creado las VM, crea una regla de firewall de VPC de salida llamada default-deny-outgoing-ping. Esta regla rechaza el protocolo ICMP de vm1 a vm2.

Asegúrate de que no haya reglas de firewall existentes en esta red que anulen esta regla.

Usa los valores de la siguiente tabla para configurar esta regla de firewall:

Campo de regla de firewall Valor
Name default-deny-outgoing-ping
Red Usa la red de VPC donde se encuentran las VM.
Priority 1000
Dirección egress
Action on match deny
Targets Selecciona All instances in the network.
Rangos de IP de destino Usa la dirección IP externa de vm2.
Specified protocols and ports Marca other protocols y, luego, ingresa icmp.

Crea una regla de firewall default-deny-ingress-to-vm2

Crea una regla de firewall de entrada llamada default-deny-ingress-to-vm2 para denegar el protocolo ICMP a la dirección IP externa de vm2.

Asegúrate de que no haya reglas de firewall en tu red que anulen esta regla. Use los valores de la siguiente tabla para crear la regla:

Campo de regla de firewall Valor
Name default-deny-ingress-to-vm2
Red Usa la red de VPC donde se encuentran las VM.
Priority 65534
Dirección ingress
Action on match deny
Targets Selecciona All instances in the network.
Rangos de IP de origen Usa la dirección IP externa de vm1.
Specified protocols and ports Marca other protocols y, luego, ingresa icmp.

Ejecuta el primer seguimiento

Mediante Cloud Console, ejecuta un seguimiento para determinar si un paquete ICMP (ping) puede viajar desde vm1 a la dirección IP externa de vm2. Usa la siguiente tabla para los valores de entrada del seguimiento.

Después de ejecutar este seguimiento, las Pruebas de conectividad le informan que el paquete de seguimiento se ha descartado debido a la regla de firewall default-deny-outgoing-ping.

Nombre del campo valor
Protocolo icmp
Dirección IP de origen Usa la dirección IP externa de vm1.
Marca la casilla This is an external IP address used in Google Cloud..
Proyecto de dirección IP de origen Verifica el nombre del proyecto para vm1.
Dirección IP de destino Usa la dirección IP externa de vm2.
Marca la casilla This is an external IP address used in Google Cloud..
Proyecto de dirección IP de destino Verifica el nombre del proyecto para vm2.

La siguiente instantánea de Cloud Console muestra que el paquete de seguimiento se descartó en la regla de firewall default-deny-outgoing-ping.

Instantánea de la interfaz de usuario de la consola de el seguimiento que contiene el ping saliente denegado
Instantánea de la interfaz de usuario de la consola de el seguimiento que contiene el ping saliente denegado

Ejecute un segundo seguimiento después de inhabilitar la regla de firewall default-deny-outgoing-ping

  1. Permitir que la prueba de ping vm2, inhabilite temporalmente la regla del firewall default-deny-outgoing-ping.
  2. Después de que la configuración se actualice correctamente, vuelva a ejecutar el seguimiento.
  3. El seguimiento falla nuevamente. El paquete se descartó debido a que esta regla de firewall niega un paquete ICMP de entrada a la dirección IP externa de vm2.

La siguiente instantánea de Cloud Console muestra que un paquete de seguimiento entrante puede pasar a través de Cloud NAT, pero no puede alcanzar vm2 debido a la regla de firewall mencionada anteriormente.

Instantánea de la IU de la consola del error de seguimiento
Instantánea de la interfaz de usuario de la consola de el seguimiento que contiene el ping saliente denegado

Cree la regla de firewall allow-ping-from-known-ranges

Para permitir la entrada a la dirección IP externa de vm2, configura una nueva regla de firewall llamada allow-ping-from-known-ranges.

Debido a que permitir que todos los paquetes ICMP de entrada en tu red de VPC significa un riesgo de seguridad, especifica solo un conjunto pequeño de rangos de origen que puedan enviar paquetes ICMP a la IP externa de vm2.

Para los fines de este instructivo, este rango de origen incluye solo la dirección IP externa de vm1, pero verifica cualquier regla de firewall o prioridad de regla existente para asegurarte de que no anule esta regla nueva.

Usa los valores de la siguiente tabla para configurar la regla:

Campo de regla de firewall Valor
Name allow-ping-from-known-ranges
Red Usa el nombre de la red que contiene ambas VM.
Priority 1000
Dirección entrada
Action on match allow
Targets Selecciona All instances in the network.
Source filter Rangos de IP
Source IP ranges Usa la dirección IP externa de vm1
Specified protocols and ports Marca Other protocols y, luego, ingresa ICMP.

Ejecuta un tercer seguimiento

Después de crear la regla de firewall allow-ping-from-known-ranges, vuelve a hacer ping a la dirección IP externa de vm2. El ping funciona y el problema se resuelve.

Un ping permitido entre dos VM
Un ping permitido entre dos VM

Para verificar este resultado, realiza otro seguimiento con la configuración actualizada que contiene la nueva regla de firewall. Esta vez, las pruebas de conectividad te indican que el paquete se entregó a vm2 y que la regla de firewall coincidente, allow-ping-from-known-ranges, permite un paquete ICMP entrante a la dirección IP externa de vm2.

Instantánea de la IU de la consola de un seguimiento exitoso a vm2
Instantánea de la IU de Console de un seguimiento exitoso a vm2

Limpia

Si es necesario, puedes inhabilitar o borrar cualquiera de los siguientes recursos de Google Cloud que creaste para este instructivo. Asegúrate de que no sean recursos de producción. Si decides inhabilitar los recursos, consulta la página de precios de Compute Engine para asegurarte de que no se te facturarán.

  1. Inhabilita o borra reglas de firewall.
  2. Inhabilita o borra VM.
  3. Borra las subredes de VPC.
  4. Borra la red de VPC

Qué sigue