Network Analyzer ti consente di rilevare le configurazioni che non funzionano come previsto. Queste configurazioni non valide possono essere dovute a errori di configurazione o a regressioni causate da altre modifiche. Quando team diversi sono proprietari dei servizi interessati da una configurazione non valida, può essere difficile risolvere questi problemi. Rilevare questi errori man mano che si verificano e identificare le cause principali può contribuire a una risoluzione dei problemi più rapida e a una comunicazione efficace tra i diversi team.
Errori di configurazione dovuti al blocco dei firewall
Gli errori di configurazione del firewall che bloccano i servizi Google Cloud possono verificarsi durante o dopo la configurazione iniziale.
Durante la configurazione iniziale
Di seguito sono riportati alcuni degli errori firewall comuni che impediscono il funzionamento dei servizi Google Cloud :
- Configurazione del firewall mancante. Ad esempio, il firewall del controllo di integrità del bilanciatore del carico non è stato configurato.
- Errori ortografici nel processo di configurazione manuale che causano configurazioni errate.
- Configurazione incoerente causata da tag VM mancanti. Ad esempio, configuri la regola firewall con i tag VM di destinazione previsti, ma alcune delle VM di backend non sono state associate al tag specifico.
Dopo la configurazione iniziale
Una modifica non intenzionale alla configurazione del firewall può interrompere un servizio che funzionava correttamente. Ad esempio, puoi creare involontariamente una regola di negazione del firewall con priorità più elevata che blocca la connettività ai servizi GKE o Cloud SQL.
Scenario: il firewall del controllo di integrità non è configurato per il bilanciatore del carico
In questo esempio, Network Analyzer segnala un insight nella categoria Insight sul bilanciatore del carico di tipo Il firewall del controllo di integrità non è configurato. La pagina dei dettagli dell'insight mostra la regola di negazione dell'accesso in entrata nella rete in cui è configurato il bilanciatore del carico. La regola di traffico in entrata di negazione blocca l'intervallo del controllo di integrità. Ciò indica che i backend del bilanciatore del carico non hanno regole firewall configurate per consentire l'intervallo del controllo di integrità.
Configura la regola firewall per il controllo di integrità in modo da consentire esplicitamente all'intervallo del controllo di integrità di accedere ai backend del bilanciatore del carico.
Scenario: la connettività dal nodo GKE al control plane è bloccata da una regola firewall
In questo esempio, viene generato un insight appartenente alla categoria Insight sulla connettività dei nodi GKE di tipo Connettività dal nodo GKE al control plane.
La pagina dei dettagli dell'insight mostra che una regola firewall nega la connessione dal nodo GKE al control plane in un cluster. Questo problema è dovuto a una regola di negazione; rimuovi questa regola o configura una regola di autorizzazione con priorità più alta per risolvere il problema.
Errori di configurazione del routing
Le route con hop successivi non validi possono causare una perdita parziale o totale del traffico. Questa perdita può essere dovuta alla presenza di route alle VM di hop successivo che non sono in esecuzione o sono state eliminate.
Le modifiche alla configurazione che possono causare modifiche al routing indesiderate includono gli scenari seguenti:
- L'aggiunta di una nuova subnet con intervalli di indirizzi IP che si sovrappongono a una route dinamica comporta l'offuscamento della route dinamica e ciò potrebbe comportare una riduzione del traffico.
- L'aggiunta di una nuova route predefinita tramite una VPN può causare colli di bottiglia della capacità che influiscono sulle prestazioni della rete.
Scenario: la VM nell'hop successivo viene eliminata
In questo esempio, viene visualizzato un approfondimento della categoria di route con hop successivi non validi con il tipo VM eliminata.
La pagina dei dettagli dell'insight mostra che la VM di hop successivo in questa route è stata eliminata, quindi questa route viene segnalata come non valida.
Elimina la route o crea una nuova istanza VM da utilizzare come hop successivo della route. Nella pagina dei dettagli dell'approfondimento viene visualizzata una modifica alla configurazione che potrebbe causare questo approfondimento. Fai clic sul link per andare alla pagina Cloud Logging per visualizzare i dettagli della configurazione, ad esempio l'utente che ha apportato la modifica e l'ora della modifica.
Scenario: la route dinamica è oscurata
In questo esempio, viene generata un'informazione dalla categoria Informazioni sulle route dinamiche oscurate di tipo completamente oscurata da una route della subnet di peering.
Questa pagina dei dettagli dell'insight mostra che una route dinamica importata appresa dal peer di rete con route dinamiche della rete di peering di hop successivo è in shadowing. L'intervallo di indirizzi IP della route dinamica si sovrappone a una nuova route subnet e pertanto viene oscurato completamente. Il traffico che va alla rete di peering a questo intervallo di indirizzi IP viene inoltrato a una subnet nella rete VPC.