O Network Analyzer permite detectar configurações que não estejam funcionando conforme o esperado. Essas configurações inválidas podem ser causadas por alguns erros de configuração ou regressões causadas por outras alterações. Quando equipes diferentes são proprietárias dos serviços afetados por essa configuração inválida, pode ser difícil resolver esses problemas. Descobrir essas falhas à medida que elas acontecem e identificar as causas raiz pode ajudar a resolver problemas mais rapidamente e melhorar a comunicação entre diferentes equipes.
Erros de configuração devido ao bloqueio de firewalls
Erros de configuração do firewall que bloqueiam serviços do Google Cloud podem acontecer durante ou após a configuração inicial.
Durante a configuração inicial
Alguns dos erros de firewall comuns que impedem o funcionamento dos serviços do Google Cloud:
- Configuração de firewall ausente. Por exemplo, o firewall de verificação de integridade do balanceador de carga não foi configurado.
- Erros de digitação no processo de configuração manual que causam configurações incorretas.
- Configuração inconsistente causada pela ausência de tags de VM. Por exemplo, você configura a regra de firewall com as tags de VM de destino esperadas, mas algumas das VMs de back-end não foram associadas à tag específica.
Após a configuração inicial
Uma alteração não intencional da configuração de firewall pode interromper um serviço que está funcionando corretamente. Por exemplo, é possível criar acidentalmente uma regra de negação de firewall de prioridade mais alta que bloqueie a conectividade com os serviços do GKE ou do Cloud SQL.
Cenário: o firewall de verificação de integridade não está configurado para o balanceador de carga
Neste exemplo, o Network Analyzer informa um insight na categoria de insights do balanceador de carga do tipo o firewall de verificação de integridade não está configurado. A página de detalhes do insight mostra a regra de entrada de negação implícita na rede em que o balanceador de carga está configurado. A regra de entrada de negação bloqueia o intervalo de verificação de integridade. Isso indica que os back-ends do balanceador de carga não têm regras de firewall configuradas para permitir o intervalo de verificação de integridade.
Configure a regra de firewall da verificação de integridade para permitir explicitamente que o intervalo dessa verificação acesse os back-ends do balanceador de carga.
Cenário: conectividade do nó do GKE ao plano de controle bloqueada por uma regra de firewall
Neste exemplo, um insight pertence à categoria de insights de conectividade de nó do GKE do tipo conectividade do nó do GKE ao plano de controle é gerado.
A página de detalhes do insight mostra que uma regra de firewall está negando a conexão do nó do GKE ao plano de controle em um cluster. Esse problema ocorre devido a uma regra de negação. Remova essa regra ou configure uma prioridade mais alta que permita que a regra resolva o problema.
Cenário: conectividade do plano de controle do GKE ao nó bloqueada por uma regra de firewall
Neste exemplo, um insight que pertence à categoria de insights de conectividade do plano de controle do GKE do tipo conectividade do plano de controle do GKE ao nó é gerado.
Esta página de detalhes do insight mostra que uma regra de firewall está negando a conexão do plano de controle do GKE aos nós em um cluster.
Erros de configuração de roteamento
Rotas com próximos saltos inválidos podem causar perda de tráfego parcial ou total. Essa perda pode ser causada por rotas para as VMs do próximo salto que não estão em execução ou foram excluídas.
As alterações de configuração que podem causar mudanças de roteamento não intencionais incluem os seguintes cenários:
- Adicionar uma nova sub-rede com intervalos de endereços IP que se sobrepõem a uma rota dinâmica resulta no ocultamento da rota dinâmica e isso pode levar a uma queda de tráfego.
- A adição de uma nova rota padrão por uma VPN pode gerar gargalos de capacidade que afetam o desempenho da rede.
Cenário: a VM no próximo salto foi excluída
Neste exemplo, é exibido um insight da categoria de rotas com próximos saltos inválidos com o tipo VM excluída.
A página de detalhes do insight mostra que a VM do próximo de salto nesta rota foi excluída. Portanto, essa rota é informada como inválida.
Exclua a rota ou crie uma nova instância de VM para ser usada como o próximo salto da rota. Uma alteração de configuração que pode causar esse insight é exibida na página de detalhes do insight. Clique no link para acessar a página do Cloud Logging e ver os detalhes da configuração, como o usuário e a hora da alteração.
Cenário: a rota dinâmica está oculta
Neste exemplo, é gerado um insight da categoria insights de rotas dinâmicas ocultas do tipo rota totalmente ocultada por sub-rede semelhante.
Esta página de detalhes do insight mostra que uma rota dinâmica importada aprendida do par de redes com rotas dinâmicas de peering de rede do próximo salto está sendo ocultada. O intervalo de endereços IP da rota dinâmica se sobrepõe a uma nova rota de sub-rede. Portanto, ela está totalmente oculto. O tráfego que vai para a rede de peering para esse intervalo de endereços IP é encaminhado para uma sub-rede na rede VPC.
Cenário: conectividade com a instância do Cloud SQL bloqueada por falta de peering de rede
Neste exemplo, é exibido um insight da categoria de insights de conectividade do Cloud SQL do tipo conectividade com a instância do Cloud SQL bloqueada por problema de roteamento.
A página de insights mostra que a conectividade com uma instância do Cloud SQL está bloqueada porque o peering de rede está ausente.