Network Analyzer consente di rilevare le configurazioni che non funzionano come previsto. Queste configurazioni non valide possono essere dovute ad alcuni errori di configurazione o regressioni causate da altre modifiche. Quando team diversi sono proprietari dei servizi interessati da questa configurazione non valida, può essere difficile risolvere questi problemi. Scoprire questi errori non appena si verificano e identificare le cause principali può aiutare a risolvere più rapidamente i problemi e a comunicare in modo efficace tra team diversi.
Errori di configurazione dovuti al blocco dei firewall
Gli errori di configurazione del firewall che bloccano i servizi Google Cloud possono verificarsi durante o dopo la configurazione iniziale.
Durante la configurazione iniziale
Di seguito sono riportati alcuni errori firewall comuni che impediscono il funzionamento dei servizi Google Cloud:
- Configurazione firewall mancante. Ad esempio, il firewall per il controllo di integrità del bilanciatore del carico non è stato configurato.
- Errori di battitura nel processo di configurazione manuale che causano configurazioni errate.
- Configurazione incoerente causata da tag VM mancanti. Ad esempio, hai configurato la regola firewall con i tag della VM di destinazione previsti, ma alcune delle VM di backend non sono state associate al tag specifico.
Dopo la configurazione iniziale
Una modifica involontaria della configurazione del firewall può interrompere un servizio che funziona correttamente. Ad esempio, puoi creare involontariamente una regola di negazione firewall con priorità più alta che blocchi la connettività ai servizi GKE o Cloud SQL.
Scenario: il firewall per il controllo di integrità non è configurato per il bilanciatore del carico
In questo esempio, Network Analyzer segnala un insight nella categoria di insight sul bilanciatore del carico di tipo firewall per il controllo di integrità non configurato. La pagina dei dettagli dell'approfondimento mostra la regola di traffico in entrata deny implicita nella rete in cui è configurato il bilanciatore del carico. La regola in entrata deny blocca l'intervallo del controllo di integrità. Questo indica che nei backend del bilanciatore del carico non sono state configurate regole firewall per consentire l'intervallo di controllo di integrità.
Configura la regola firewall del controllo di integrità per consentire esplicitamente all'intervallo di controllo di integrità di accedere ai backend del bilanciatore del carico.
Scenario: nodo GKE per la connettività del piano di controllo bloccata da una regola firewall
In questo esempio, viene generato un insight che appartiene alla categoria Insight sulla connettività dei nodi GKE di tipo connettività dal nodo GKE al piano di controllo.
La pagina dei dettagli dell'insight mostra che una regola firewall sta negando la connessione dal nodo GKE al piano di controllo in un cluster. Il problema è dovuto a una regola di negazione; rimuovila o imposta una regola di autorizzazione con priorità più elevata per risolvere il problema.
Scenario: connettività dal piano di controllo GKE al nodo bloccata da una regola firewall
In questo esempio, viene generato un insight che appartiene alla categoria Insight sulla connettività del piano di controllo GKE di tipo Connettività dal piano di controllo GKE alla connettività dei nodi.
Questa pagina dei dettagli degli insight mostra che una regola firewall sta negando la connessione dal piano di controllo GKE ai relativi nodi in un cluster.
Errori di configurazione del routing
Le route con hop successivi non validi possono causare una perdita di traffico parziale o totale. Questa perdita può essere dovuta alla presenza di route per le VM dell'hop successivo che non sono in esecuzione o sono state eliminate.
Le modifiche alla configurazione che possono causare modifiche indesiderate al routing includono i seguenti scenari:
- L'aggiunta di una nuova subnet con intervalli di indirizzi IP che si sovrappongono a una route dinamica comporta lo shadowing della route dinamica e questo potrebbe causare un calo del traffico.
- L'aggiunta di una nuova route predefinita tramite una VPN può causare colli di bottiglia della capacità che influiscono sulle prestazioni della rete.
Scenario: la VM nell'hop successivo viene eliminata
In questo esempio viene visualizzato un insight dalla categoria di route con hop successivi non validi con il tipo VM è eliminata.
La pagina dei dettagli degli insight mostra che la VM dell'hop successivo in questa route è stata eliminata, pertanto questa route è segnalata come non valida.
Elimina la route o crea una nuova istanza VM da utilizzare come hop successivo della route. Una modifica alla configurazione che potrebbe causare questo insight viene visualizzata nella pagina dei dettagli degli insight. Fai clic sul link per andare alla pagina Cloud Logging e visualizzare i dettagli della configurazione, ad esempio l'utente che ha apportato la modifica e l'ora della modifica.
Scenario: la route dinamica è con shadowing
In questo esempio, viene generato un insight della categoria insight con shadowing delle route dinamiche di tipo completamente con shadowing da parte di subnet di peering.
Questa pagina dei dettagli dell'approfondimento mostra che è in corso lo shadowing di una route dinamica importata che è stata appresa dal peer di rete con le route dinamiche di rete di peering dell'hop successivo. L'intervallo di indirizzi IP della route dinamica si sovrappone a una nuova route di subnet e pertanto è completamente con shadowing. Il traffico che arriva alla rete di peering verso questo intervallo di indirizzi IP viene inoltrato a una subnet nella rete VPC.
Scenario: connettività all'istanza Cloud SQL bloccata da peering di rete mancante
In questo esempio viene visualizzato un insight della categoria di insight sulla connettività Cloud SQL per tipo di connettività all'istanza Cloud SQL bloccata da problema di routing.
La pagina insight mostra che la connettività a un'istanza Cloud SQL è bloccata perché manca il peering di rete.