Esta página foi traduzida pela API Cloud Translation.

Identificar e corrigir problemas de ICMP

Este tutorial mostra como usar iterativamente o Connectivity Tests para identificar e corrigir um problema com a conectividade de rede.

Nesse caso, as regras de firewall de nuvem privada virtual (VPC) impedem que o endereço IP externo de uma instância de máquina virtual (VM) use o protocolo ICMP para dar um ping no endereço IP externo de outra VM.

Como os problemas de comunicação de VM para VM geralmente são problemas de conectividade de rede, os testes de conectividade fornecem informações sobre possíveis problemas de configuração para que você possa corrigi-los. Em seguida, você pode executar o Connectivity Tests novamente para verificar sua correção.

Informações gerais

Nesse caso, você configurou duas instâncias de VM na mesma sub-rede da rede VPC. Ambas as VMs têm endereços IP externos. Quando você testa a conectividade entre eles enviando um pacote de ping de vm1 para o endereço IP externo de vm2, o ping não funciona.

Como solucionar problemas de um ping negado entre duas VMs. — Como solucionar problemas de um ping negado entre duas VMs

Antes de começar

Antes de iniciar o tutorial, siga todas as etapas na seção Before you begin de Criar e executar testes de conectividade.

Também pode ser útil revisar como as regras de firewall de VPC funcionam.

Configurar recursos de rede

Nesta seção, você configura os recursos do Google Cloud no caminho do teste.

Configurar uma rede VPC

Você pode usar uma rede e sub-rede atuais que contenham as VMs ou criar uma nova rede e sub-rede.

Configurar duas instâncias da VM

As instâncias da VM neste tutorial estão localizadas na mesma rede e sub-rede VPC. Você pode usar VMs atuais ou criar novas.
Atribua a vm1 e vm2 um endereço IP externo ao criá-los. Anote os endereços, porque você os usará mais tarde.

Criar regra de firewall `default-deny-outgoing-ping`

Depois de criar as VMs, crie uma regra de firewall da VPC de saída chamada default-deny-outgoing-ping. Esta regra nega o protocolo ICMP de vm1 a vm2. Verifique se não há regras de firewall atuais nesta rede que substituam essa regra. Além disso, certifique-se de que nenhuma regra de política de firewall hierárquica modifique essa regra. Para mais detalhes, consulte a visão geral das políticas de firewall hierárquicas.

Use os valores na tabela a seguir para configurar essa regra de firewall de VPC.

Campo da regra de firewall de VPC	Valor
Nome	`default-deny-outgoing-ping`
Rede	Use a rede VPC em que as VMs estão localizadas.
Prioridade	`1000`
Direção do tráfego	Saída
Action on match	Negar
Destinos	Selecione Todas as instâncias na rede.
Intervalos de IP de destino	Use o endereço IP externo de `vm2`.
Portas e protocolos especificados	Marque a caixa de seleção Outros protocolos e insira `icmp`.

Criar regra de firewall `default-deny-ingress-to-vm2`

Crie uma regra de firewall de entrada chamada default-deny-ingress-to-vm2 para negar o protocolo ICMP para o endereço IP externo de vm2. Verifique se não há regras de firewall atuais nesta rede que substituam essa regra. Além disso, certifique-se de que nenhuma regra de política de firewall hierárquica modifique essa regra. Para mais detalhes, consulte a visão geral das políticas de firewall hierárquicas.

Use os valores na tabela a seguir para criar a regra.

Campo da regra de firewall de VPC	Valor
Nome	`default-deny-ingress-to-vm2`
Rede	Use a rede VPC em que as VMs estão localizadas.
Prioridade	`65534`
Direção do tráfego	Ingress
Action on match	Negar
Destinos	Selecione Todas as instâncias na rede.
Intervalos de IP de origem	Use o endereço IP externo de `vm1`.
Portas e protocolos especificados	Marque a caixa de seleção Outros protocolos e insira `icmp`.

Execute o primeiro trace

Usando o console do Google Cloud, execute um trace para determinar se um pacote ICMP (ping) pode ir de vm1 para o endereço IP externo vm2. Depois de executar esse trace, os testes de conectividade informam que o pacote de trace foi descartado devido à regra do firewall de VPC default-deny-outgoing-ping.

Use a tabela a seguir para valores de entrada para o trace.

Nome do campo	Valor
Protocolo	`icmp`
Endereço IP de origem	Use o endereço IP externo de `vm1`. Marque a caixa de seleção Este é um endereço IP usado no Google Cloud.
Projeto de serviço ou endereço IP de origem	Verifique o nome do projeto para `vm1`.
Endereço IP de destino	Use o endereço IP externo de `vm2`. Marque a caixa de seleção Este é um endereço IP usado no Google Cloud.
Projeto de serviço ou endereço IP de destino	Verifique o nome do projeto para `vm2`.

O snapshot a seguir do console do Google Cloud mostra que o pacote de trace foi descartado na regra de firewall default-deny-outgoing-ping.

Snapshot da IU do console do trace que contém o ping de saída negado. — Snapshot da interface do usuário do console do trace que contém o ping de saída negado

Executar um segundo trace após desativar a regra de firewall `default-deny-outgoing-ping`

Para permitir o teste de ping vm2, desative temporariamente a regra de firewall de VPC default-deny-outgoing-ping.
Após a atualização da configuração, execute o trace novamente.
O trace falha novamente. O pacote foi descartado devido a essa regra de firewall negar um pacote ICMP de entrada para o endereço IP externo de vm2.

O snapshot a seguir do console do Google Cloud mostra que um pacote de trace de entrada pode passar pelo Cloud NAT, mas não pode acessar vm2 devido à regra de firewall mencionada anteriormente.

Snapshot da IU do console do trace que não alcança vm2. — Snapshot da IU do console do trace que não alcança `vm2`

Criar a regra de firewall `allow-ping-from-known-ranges`

Para permitir a entrada no endereço IP externo de vm2, configure uma nova regra de firewallde VPC chamada allow-ping-from-known-ranges. Como permitir que todos os pacotes ICMP de entrada na sua rede VPC representa um risco à segurança, especifique apenas um pequeno conjunto de intervalos de origem com permissão para enviar pacotes ICMP ao endereço IP externo de vm2.

Para os fins deste tutorial, esse intervalo de origem inclui apenas o endereço IP externo de vm1, mas verifique todas as regras de firewall ou prioridades de regra atuais para garantir que elas não substituam essa nova regra. Além disso, certifique-se de que nenhuma regra de política de firewall hierárquica modifique essa regra. Para mais detalhes, consulte a visão geral das políticas de firewall hierárquicas.

Use os valores na tabela a seguir para configurar a regra.

Campo da regra de firewall de VPC	Valor
Nome	`allow-ping-from-known-ranges`
Rede	Use o nome da rede que contém as duas VMs.
Prioridade	`1000`
Direção do tráfego	Ingress
Ação se houver correspondência	Allow
Destinos	Selecione Todas as instâncias na rede.
Source filter	Intervalos de IP
Intervalos de IP de origem	Use o endereço IP externo de `vm1`.
Portas e protocolos especificados	Marque a caixa de seleção Outros protocolos e insira `icmp`.

Executar um terceiro trace

Após criar a regra do firewall allow-ping-from-known-ranges, execute ping no endereço IP externo de vm2 novamente. O ping funciona e o problema está resolvido.

Um ping permitido entre duas VMs. — Um ping permitido entre duas VMs

Você pode verificar esse resultado executando outro trace na configuração atualizada que contém a nova regra de firewall. Dessa vez, os testes de conectividade informam que o pacote foi entregue a vm2 e que a regra de firewall correspondente, allow-ping-from-known-ranges, permite um pacote ICMP de entrada para o endereço IP externo de vm2.

Snapshot da IU do console de um trace bem-sucedido para vm2. — Snapshot da IU do console de um trace bem-sucedido para `vm2`

Limpar

Se necessário, você pode desativar ou excluir qualquer um dos seguintes recursos do Google Cloud que você criou para este tutorial. Verifique se estes não são recursos de produção. Se você decidir desativar os recursos, verifique a página de preços do Compute Engine e a página de preços de todas as redes para garantir que não seja cobrado por eles.

Desative ou exclua regras de firewall.
Desative ou exclua VMs.
Exclua sub-redes VPC.
Exclua a rede VPC.