Network Analyzer ti consente di rilevare le configurazioni che non funzionano come previsto. Queste configurazioni non valide possono essere dovute ad alcuni errori di configurazione o a regressioni causate da altre modifiche. Quando i servizi afectados da questa configurazione non valida sono di proprietà di team diversi, può essere difficile risolvere questi problemi. Scoprire questi errori quando si verificano e identificare le cause principali può contribuire a una risoluzione dei problemi più rapida e a una comunicazione efficace tra i diversi team.
Errori di configurazione dovuti a firewall che bloccano
Durante o dopo la configurazione iniziale possono verificarsi errori di configurazione del firewall che bloccano i servizi Google Cloud.
Durante la configurazione iniziale
Di seguito sono riportati alcuni degli errori comuni del firewall che bloccano il funzionamento dei servizi Google Cloud:
- Configurazione del firewall mancante. Ad esempio, il firewall del controllo di integrità del bilanciatore del carico non è stato configurato.
- Errori ortografici nella procedura di configurazione manuale che causano configurazioni errate.
- Configurazione incoerente causata dalla mancanza di tag VM. Ad esempio, configuri la regola firewall con i tag VM target previsti, ma alcune VM di backend non sono state associate al tag specifico.
Dopo la configurazione iniziale
Una modifica non intenzionale della configurazione del firewall può interrompere un servizio che funziona correttamente. Ad esempio, puoi creare involontariamente una regola di rifiuto del firewall con priorità più elevata che blocca la connettività ai servizi GKE o Cloud SQL.
Scenario: il firewall del controllo di integrità non è configurato per il bilanciatore del carico
In questo esempio, Network Analyzer genera un insight nella categoria degli approfondimenti sul bilanciatore del carico di tipo il firewall del controllo di integrità non è configurato. La pagina dei dettagli dell'intuizione mostra la regola di immissione di rifiuto implicita nella rete in cui è configurato il bilanciatore del carico. La regola di traffico in entrata blocca l'intervallo del controllo di integrità. Ciò indica che i backend del bilanciatore del carico non hanno regole firewall configurate per consentire l'intervallo del controllo di integrità.
Configura la regola firewall per il controllo di integrità in modo da consentire esplicitamente all'intervallo di controllo di integrità di accedere ai backend del bilanciatore del carico.
Scenario: la connettività dal nodo GKE al control plane è bloccata da una regola firewall
In questo esempio viene generato un insight che appartiene alla categoria Approfondimenti sulla connettività dei nodi GKE di tipo Connettività del nodo GKE al piano di controllo.
La pagina dei dettagli dell'intuizione mostra che una regola del firewall nega la connessione dal nodo GKE al piano di controllo in un cluster. Il problema è causato da una regola di rifiuto. Rimuovi questa regola o configura una regola di autorizzazione con priorità più alta per risolvere il problema.
Scenario: la connettività del control plane di GKE al nodo è bloccata da una regola firewall
In questo esempio viene generato un insight che appartiene alla categoria di approfondimenti sulla connettività del piano di controllo GKE di tipo Connettività del piano di controllo GKE ai nodi.
Questa pagina dei dettagli degli approfondimenti mostra che una regola del firewall nega la connessione dal piano di controllo GKE ai relativi nodi in un cluster.
Errori di configurazione del routing
Le route con hop successivi non validi possono causare una perdita parziale o totale del traffico. Questa perdita può essere dovuta alla presenza di route alle VM di hop successivo che non sono in esecuzione o che sono state eliminate.
Le modifiche alla configurazione che possono causare una modifica indesiderata del routing includono i seguenti scenari:
- L'aggiunta di una nuova subnet con intervalli di indirizzi IP che si sovrappongono a un percorso dinamico comporta l'oscuramento del percorso dinamico e potrebbe causare un calo del traffico.
- L'aggiunta di una nuova route predefinita tramite una VPN può causare colli di bottiglia della capacità che influiscono sulle prestazioni della rete.
Scenario: la VM nell'hop successivo viene eliminata
In questo esempio viene visualizzato un'informazione della categoria delle route con hop successivi non validi con il tipo VM è stata eliminata.
La pagina dei dettagli dell'approfondimento mostra che la VM dell'hop successivo in questa route è stata eliminata, pertanto la route viene segnalata come non valida.
Elimina la route o crea una nuova istanza VM da utilizzare come hop successivo della route. Nella pagina dei dettagli dell'approfondimento viene visualizzata una modifica di configurazione che potrebbe causare questo approfondimento. Fai clic sul link per andare alla pagina di Cloud Logging per visualizzare i dettagli della configurazione, ad esempio l'utente che ha apportato la modifica e l'ora della modifica.
Scenario: la route dinamica è oscurata
In questo esempio viene generata una scheda della categoria Approfondimenti sulle route dinamiche con shadowing di tipo Route dinamica oscurata completamente da una route della subnet di peering.
Questa pagina dei dettagli degli approfondimenti mostra che una route dinamica importata appresa dal peer di rete con route dinamiche della rete di peering dell'hop successivo è in ombra. L'intervallo di indirizzi IP della route dinamica si sovrappone a una nuova route della subnet ed è quindi completamente oscurato. Il traffico che arriva alla rete di peering per questo intervallo di indirizzi IP viene inoltrato a una subnet nella rete VPC.
Scenario: la connettività all'istanza Cloud SQL è bloccata dal peering di rete mancante
In questo esempio viene visualizzato un'informazione della categoria Approfondimenti sulla connettività Cloud SQL di tipo connessione all'istanza Cloud SQL bloccata da un problema di routing.
La pagina degli approfondimenti mostra che la connettività a un'istanza Cloud SQL è bloccata perché il peering di rete non è presente.