Identificare e risolvere i problemi ICMP

Questo tutorial ti mostra come utilizzare ripetutamente Connectivity Tests per identificare e risolvere un problema con la connettività di rete.

In questo caso, le regole firewall Virtual Private Cloud (VPC) impediscono all'indirizzo IP esterno di un'istanza di macchina virtuale (VM) di utilizzare il protocollo ICMP per inviare un ping all'indirizzo IP esterno di un'altra VM.

Poiché i problemi di comunicazione da VM a VM sono spesso problemi di connettività di rete, Connectivity Tests possono fornirti informazioni su possibili problemi di configurazione che puoi risolvere. Puoi quindi eseguire di nuovo Connectivity Tests per verificare la correzione.

Panoramica

In questo caso, hai configurato due istanze VM nella stessa subnet della rete VPC. Entrambe le VM hanno indirizzi IP esterni. Quando testi la connettività tra di loro inviando un pacchetto di ping da vm1 all'indirizzo IP esterno di vm2, il ping non funziona.

Prima di iniziare

Prima di iniziare il tutorial, segui tutti i passaggi nella sezione Before you begin di Creare ed eseguire test di connettività.

Può essere utile anche per rivedere il funzionamento delle regole firewall VPC.

Configura risorse di rete

In questa sezione configurerai le risorse Google Cloud nel percorso di test.

Configura una rete VPC

Puoi utilizzare una rete e una subnet esistenti che contengono le VM oppure creare una nuova rete e subnet.

Configura due istanze VM

1. Le istanze VM in questo tutorial si trovano nella stessa rete VPC e nella stessa subnet. Puoi utilizzare le VM esistenti o crearne di nuove.
2. Assegna vm1 e vm2 a un indirizzo IP esterno quando li crei. Prendi nota degli indirizzi perché li utilizzerai in seguito.

Crea una regola firewall default-deny-outgoing-ping

Dopo aver creato le VM, crea una regola firewall VPC in uscita denominata default-deny-outgoing-ping. Questa regola nega il protocollo ICMP da vm1 a vm2. Assicurati che nella rete non siano presenti regole firewall che prevalgano su questa regola. Assicurati inoltre che nessuna regola del criterio firewall gerarchico prevalga su questa regola. Per maggiori dettagli, consulta la Panoramica dei criteri firewall gerarchici.

Utilizza i valori nella tabella seguente per configurare questa regola firewall VPC.

Campo regola firewall VPC	Valore
Nome	default-deny-outgoing-ping
Rete	Utilizza la rete VPC dove si trovano le VM.
Priorità	1000
Direzione del traffico	In uscita
Azione in caso di corrispondenza	Nega
Target	Seleziona Tutte le istanze nella rete.
Intervalli IP di destinazione	Utilizza l'indirizzo IP esterno di vm2.
Protocolli e porte specificati	Seleziona la casella di controllo Altri protocolli, quindi inserisci icmp.

Crea una regola firewall default-deny-ingress-to-vm2

Crea una regola firewall in entrata chiamata default-deny-ingress-to-vm2 per negare il protocollo ICMP all'indirizzo IP esterno di vm2. Assicurati che in questa rete non esistano regole firewall esistenti che prevalgano su questa regola. Assicurati inoltre che nessuna regola del criterio firewall gerarchico prevalga su questa regola. Per maggiori dettagli, consulta la Panoramica dei criteri firewall gerarchici.

Utilizza i valori della tabella seguente per creare la regola.

Campo regola firewall VPC	Valore
Nome	default-deny-ingress-to-vm2
Rete	Utilizza la rete VPC dove si trovano le VM.
Priorità	65534
Direzione del traffico	In entrata
Azione in caso di corrispondenza	Nega
Target	Seleziona Tutte le istanze nella rete.
Intervalli IP di origine	Utilizza l'indirizzo IP esterno di vm1.
Protocolli e porte specificati	Seleziona la casella di controllo Altri protocolli, quindi inserisci icmp.

Esegui la prima traccia

Utilizzando la console Google Cloud, esegui una traccia per determinare se un pacchetto ICMP (ping) può spostarsi da vm1 all'indirizzo IP esterno di vm2. Dopo aver eseguito questa traccia, Connectivity Tests ti indicano che il pacchetto di traccia è stato eliminato a causa della regola firewall firewall default-deny-outgoing-ping.

Utilizza la seguente tabella per i valori di input per la traccia.

Nome campo	Valore
Protocollo	icmp
Indirizzo IP di origine	Utilizza l'indirizzo IP esterno di vm1. Seleziona la casella di controllo Questo è un indirizzo IP utilizzato in Google Cloud.
Indirizzo IP o progetto di servizio di origine	Verifica il nome del progetto per vm1.
Indirizzo IP di destinazione	Utilizza l'indirizzo IP esterno di vm2. Seleziona la casella di controllo Questo è un indirizzo IP utilizzato in Google Cloud.
Indirizzo IP o progetto di servizio di destinazione	Verifica il nome del progetto per vm2.

Il seguente snapshot della console Google Cloud mostra che il pacchetto di traccia è stato eliminato nella regola firewall default-deny-outgoing-ping.

Esegui una seconda traccia dopo aver disattivato la regola firewall default-deny-outgoing-ping

1. Per consentire il test ping su vm2, disattiva temporaneamente la regola firewall VPC default-deny-outgoing-ping.
2. Dopo aver completato correttamente l'aggiornamento della configurazione, esegui di nuovo la traccia.
3. La traccia non riesce di nuovo. Il pacchetto è stato eliminato a causa di questa regola firewall che nega un pacchetto ICMP in entrata all'indirizzo IP esterno di vm2.

Il seguente snapshot della console Google Cloud mostra che un pacchetto di traccia in entrata può passare attraverso Cloud NAT, ma non può raggiungere vm2 a causa della regola firewall precedentemente menzionata.

Crea la regola firewall allow-ping-from-known-ranges

Per consentire il traffico in entrata all'indirizzo IP esterno di vm2, configura una nuova regola firewall VPC denominata allow-ping-from-known-ranges. Poiché l'autorizzazione di tutti i pacchetti ICMP in entrata nella tua rete VPC è un rischio per la sicurezza, specifica solo un piccolo insieme di intervalli di origine autorizzati a inviare pacchetti ICMP all'indirizzo IP esterno di vm2.

Ai fini di questo tutorial, questo intervallo di origine include solo l'indirizzo IP esterno di vm1, ma controlla eventuali regole firewall o priorità delle regole esistenti per assicurarti che non abbiano la precedenza su questa nuova regola. Assicurati inoltre che nessuna regola del criterio firewall gerarchico prevalga su questa regola. Per maggiori dettagli, consulta la Panoramica dei criteri firewall gerarchici.

Utilizza i valori riportati nella tabella seguente per configurare la regola.

Campo regola firewall VPC	Valore
Nome	allow-ping-from-known-ranges
Rete	Utilizza il nome della rete che contiene entrambe le VM.
Priorità	1000
Direzione del traffico	In entrata
Azione in caso di corrispondenza	Consenti
Target	Seleziona Tutte le istanze nella rete.
Filtro di origine	Intervalli IP
Intervalli IP di origine	Utilizza l'indirizzo IP esterno di vm1.
Protocolli e porte specificati	Seleziona la casella di controllo Altri protocolli, quindi inserisci icmp.

Esegui una terza traccia

Dopo aver creato la regola firewall allow-ping-from-known-ranges, invia nuovamente un ping all'indirizzo IP esterno di vm2. Il ping funziona e il problema è stato risolto.

Puoi verificare questo risultato eseguendo un'altra traccia sulla configurazione aggiornata contenente la nuova regola firewall. Questa volta, Connectivity Tests indicano che il pacchetto è stato pubblicato in vm2 e che la regola firewall corrispondente, allow-ping-from-known-ranges, consente un pacchetto ICMP in entrata all'indirizzo IP esterno di vm2.

Esegui la pulizia

Se necessario, puoi disattivare o eliminare una delle seguenti risorse Google Cloud che hai creato per questo tutorial. Assicurati che non si tratti di risorse di produzione. Se decidi di disabilitare le risorse, controlla la pagina Prezzi di Compute Engine e la pagina Prezzi di tutto il networking per assicurarti che non ti venga addebitato alcun costo.

1. Disattiva o elimina le regole firewall.
2. Disabilita o elimina le VM.
3. Elimina le subnet VPC.
4. Elimina la rete VPC.

Passaggi successivi

• Informazioni sui test di connettività
• Aggiornare o eliminare i test di connettività
• Risolvere i problemi relativi ai test di connettività