網路分析器可偵測無法正常運作的設定。這些無效設定可能是因為設定錯誤,或是其他變更導致回歸。如果不同團隊擁有受這類無效設定影響的服務,排解這類問題可能會很困難。在發生這類失敗時找出問題並找出根本原因,有助於加快疑難排解速度,並促進不同團隊之間的有效溝通。
防火牆封鎖導致設定錯誤
防火牆設定錯誤可能會在初始設定期間或之後發生,導致服務遭到封鎖 Google Cloud 。
初始設定期間
以下是會導致 Google Cloud 服務無法運作的常見防火牆錯誤:
- 缺少防火牆設定。舉例來說,負載平衡器的健康狀態檢查防火牆尚未設定。
- 手動設定過程中發生錯別字,導致設定錯誤。
- 缺少 VM 標記,導致設定不一致。舉例來說,您使用預期的目標 VM 標記設定防火牆規則,但部分後端 VM 尚未與特定標記建立關聯。
完成初始設定後
如果防火牆設定發生非預期的變更,可能會導致原本正常運作的服務中斷。舉例來說,您可能會不小心建立優先順序較高的防火牆拒絕規則,導致無法連線至 GKE 或 Cloud SQL 服務。
情境:負載平衡器未設定健康狀態檢查防火牆
在本範例中,網路分析器會在「負載平衡器深入分析」類別中,回報「未設定健康狀態檢查防火牆」類型的深入分析結果。洞察詳細資料頁面會顯示負載平衡器設定所在網路中隱含的拒絕連入規則。拒絕輸入規則會封鎖健康狀態檢查範圍。這表示負載平衡器的後端未設定防火牆規則,允許健康狀態檢查範圍。
設定健康狀態檢查防火牆規則,明確允許健康狀態檢查範圍存取負載平衡器後端。
情境:防火牆規則封鎖 GKE 節點至控制層的連線
在本範例中,系統會產生屬於「GKE 節點連線洞察」類別的洞察,類型為「GKE 節點至控制層連線」。
洞察詳細資料頁面顯示,防火牆規則會拒絕叢集中 GKE 節點與控制層之間的連線。這是因為有拒絕規則,請移除這項規則,或設定優先順序較高的允許規則來解決問題。
轉送設定錯誤
如果路徑的下一個躍點無效,可能會導致部分或全部流量流失。如果路徑的下一個躍點 VM 未執行或已刪除,就可能發生這類損失。
可能導致非預期路徑變更的設定變更包括下列情境:
- 如果新增的子網路 IP 位址範圍與動態路徑重疊,就會導致動態路徑遭到遮蔽,進而造成流量下降。
- 透過 VPN 新增預設路徑可能會導致容量瓶頸,進而影響網路效能。
情境:下一個躍點中的 VM 已刪除
在本範例中,系統會顯示「路徑遭到抑制且下一個躍點無效」類別的洞察資訊,並指出 VM 已刪除。
洞察詳細資料頁面顯示,這個路徑中的下一個躍點 VM 已刪除,因此系統會將這個路徑回報為無效。
您可以刪除路徑,或是建立新的 VM 執行個體,做為路徑的下一個躍點。如果設定變更可能導致這項洞察資訊,洞察資訊詳細資料頁面就會顯示相關資訊。按一下連結前往 Cloud Logging 頁面,即可查看設定詳細資料,例如進行變更的使用者和變更時間。
情境:動態路徑遭到覆蓋
在本例中,系統會從「遭到覆蓋的動態路徑洞察」類別,產生「完全遭到對等互連子網路路徑覆蓋」類型的洞察。
這個深入分析詳細資料頁面顯示,從網路對等互連取得的匯入動態路徑 (下一個躍點為對等互連網路動態路徑) 遭到覆蓋。動態路徑的 IP 位址範圍與新的子網路路徑重疊,因此完全遭到覆蓋。前往對等互連網路的流量會轉送至虛擬私有雲網路中的子網路。