Network Analyzer te permite detectar configuraciones que no funcionan como se espera. Estas configuraciones no válidas pueden deberse a algunos errores de configuración o regresiones causadas por otros cambios. Cuando diferentes equipos son propietarios de los servicios afectados por esa configuración no válida, puede ser difícil solucionar estos problemas. Descubrir estos errores a medida que ocurren y, también, identificar las causas raíz puede ayudar a solucionar problemas de forma más rápida y a lograr una comunicación efectiva entre los diferentes equipos.
Errores de configuración debido al bloqueo de firewalls
Pueden ocurrir errores de configuración de firewall que bloquean los servicios de Google Cloud durante la configuración inicial o después.
Durante la configuración inicial
Algunos de los errores comunes de firewall que bloquean el funcionamiento de los servicios de Google Cloud son los siguientes:
- Falta la configuración del firewall. Por ejemplo, no se configuró el firewall de verificación de estado del balanceador de cargas.
- Errores tipográficos en el proceso de configuración manual que causan configuraciones incorrectas.
- Configuración incoherente causada por etiquetas de VM faltantes. Por ejemplo, configuras la regla de firewall con las etiquetas de VM de destino esperadas, pero algunas de las VM de backend no se asociaron con la etiqueta específica.
Después de la configuración inicial
Un cambio de configuración de firewall no deseado puede interrumpir un servicio que ha estado funcionando de forma correcta. Por ejemplo, puedes crear de forma involuntaria una regla de denegación de firewall de mayor prioridad que bloquea la conectividad a los servicios de GKE o Cloud SQL.
Situación: El firewall de verificación de estado no está configurado para el balanceador de cargas
En este ejemplo, Network Analyzer informa una estadística en la categoría de Estadísticas del balanceador de cargas de tipo No se configuró el firewall de verificación de estado. La página de detalles de las estadísticas muestra la regla de entrada de denegación implícita en la red en la que se configura el balanceador de cargas. La regla de denegación de entrada bloquea el rango de verificación de estado. Esto indica que los backends del balanceador de cargas no tienen reglas de firewall configuradas para permitir el rango de verificación de estado.
Configura la regla de firewall de verificación de estado para permitir explícitamente que el rango de verificación de estado acceda a los backends del balanceador de cargas.
Situación: La conectividad del nodo de GKE al plano de control está bloqueada por una regla de firewall
En este ejemplo, se genera una estadística que pertenece a la categoría de Estadísticas de conectividad del nodo de GKE de tipo Conectividad del nodo de GKE al plano de control.
En la página de detalles de la estadística, se muestra que una regla de firewall deniega la conexión del nodo de GKE al plano de control en un clúster. Este problema se debe a una regla de denegación. Quita esta regla o configura una regla de permiso con una prioridad más alta para resolver el problema.
Situación: La conectividad del plano de control de GKE al nodo está bloqueada por una regla de firewall
En este ejemplo, se genera una estadística que pertenece a la categoría de Estadísticas de conectividad del plano de control de GKE del tipo Conectividad del plano de control de GKE al nodo.
En esta página de detalles de la estadística, se muestra que una regla de firewall deniega la conexión del plano de control de GKE a sus nodos en un clúster.
Errores de configuración de enrutamiento
Las rutas con siguientes saltos no válidos pueden causar una pérdida de tráfico parcial o total. Esta pérdida puede deberse a tener rutas a las VM de siguiente salto que no están en ejecución o se borraron.
Los cambios de configuración que pueden causar un cambio no deseado en el enrutamiento incluyen las siguientes situaciones:
- Agregar una subred nueva con rangos de direcciones IP que se superpongan con una ruta dinámica, lo que genera un bloqueo de la ruta dinámica y podría causar que se descarte el tráfico.
- Agregar una ruta predeterminada nueva a través de una VPN puede provocar cuellos de botella de capacidad que afectan el rendimiento de la red.
Situación: Se borró la VM del siguiente salto
En este ejemplo, aparece una estadística de la categoría de rutas con siguientes saltos no válidos con el tipo Se borró la VM.
En la página de detalles de la estadística, se muestra que se borró la VM de siguiente salto en esta ruta, por lo que esta ruta se informa como no válida.
Borra la ruta o crea una instancia de VM nueva para que se use como el siguiente salto de la ruta. Un cambio de configuración que podría causar esta estadística se muestra en la página de detalles de la estadística. Haz clic en el vínculo para ir a la página de Cloud Logging a fin de ver los detalles de la configuración, como el usuario que realizó el cambio y la hora del cambio.
Situación: La ruta dinámica está bloqueada
En este ejemplo, se genera una estadística de la categoría estadísticas de rutas dinámicas bloqueadas del tipo bloqueo completo por una ruta de subred de intercambio de tráfico.
En esta página de detalles de estadísticas, se muestra que se está bloqueando una ruta dinámica importada aprendida del par de red con rutas dinámicas de red de intercambio de tráfico de siguiente salto. El rango de direcciones IP de la ruta dinámica se superpone con una ruta de subred nueva y, por lo tanto, se bloquea por completo. El tráfico que va a la red de intercambio de tráfico a este rango de direcciones IP se reenvía a una subred en la red de VPC.
Situación: La conectividad a la instancia de Cloud SQL se bloqueó porque falta el intercambio de tráfico entre redes
En este ejemplo, se muestra una estadística de la categoría de estadísticas de conectividad de Cloud SQL de tipo la conectividad a la instancia de Cloud SQL se bloqueó por un problema de enrutamiento.
En la página de estadísticas, se muestra que la conectividad a una instancia de Cloud SQL está bloqueada porque falta el intercambio de tráfico entre redes.