检测无效配置

网络分析器可让您检测未按预期运行的配置。这些无效配置可能是由于某些设置错误或由其他更改引起的回归导致的。如果不同团队拥有受此类无效配置影响的服务,则可能很难排查此类问题。在发生时发现此类故障并找出根本原因,有助于更快地进行问题排查,并且可在不同团队之间实现有效沟通。

由于阻止防火墙而导致配置错误

在初始设置期间或之后,可能会发生阻止 Google Cloud 服务的防火墙配置错误。

初始设置期间

以下是阻止 Google Cloud 服务正常运行的一些常见防火墙错误:

  • 缺少防火墙配置。例如,尚未配置负载均衡器的健康检查防火墙。
  • 手动输入配置过程中存在导致配置出错的拼写错误。
  • 由于缺少虚拟机标记而导致配置不一致。例如,您使用预期的目标虚拟机标记配置了防火墙规则,但某些后端虚拟机尚未与特定标记关联。

初始设置后

意外的防火墙配置更改可能会中断正常运行的服务。例如,您可能无意中创建优先级更高的防火墙拒绝规则,该规则阻止连接到 GKE 或 Cloud SQL 服务。

场景:没有为负载均衡器配置健康检查防火墙

在此示例中,网络分析器会报告属于以下类别的数据分析:未配置健康检查防火墙类型的负载均衡器数据分析。数据分析详情页面显示配置了负载均衡器的网络中的隐式拒绝入站规则拒绝入站规则会阻止健康检查范围。这表明负载均衡器的后端未配置防火墙规则来允许健康检查范围。

配置健康检查防火墙规则,以明确允许健康检查范围访问负载均衡器后端。

场景:GKE 节点到控制平面的连接被防火墙规则阻止

在此示例中,系统会生成属于以下类别的数据分析:GKE 节点到控制平面连接类型的 GKE 节点连接数据分析

数据分析详情页面显示,防火墙规则拒绝了从集群中的 GKE 节点到控制平面的连接。此问题是由拒绝规则引起的;移除此规则或设置优先级更高的允许规则来解决此问题。

场景:GKE 控制平面到节点的连接被防火墙规则阻止

在此示例中,系统会生成属于以下类别的数据分析:GKE 控制平面到节点连接类型的 GKE 控制平面连接数据分析

此数据分析详情页面显示,防火墙规则拒绝了从集群中的 GKE 控制平面到其节点的连接。

路由配置错误

下一个跃点无效的路由可能会导致部分流量或全部流量丢失。这种丢失可能是由于存在通向未运行或已删除的下一个跃点虚拟机的路由。

可能导致意外路由更改的配置更改包括以下场景:

  • 添加 IP 地址范围与动态路由重叠的新子网,导致动态路由被遮盖且可能引起流量下降。
  • 通过 VPN 添加新的默认路由可能导致影响网络性能的容量瓶颈。

场景:下一个跃点中的虚拟机已删除

在此示例中,系统会显示下一个跃点无效且已删除虚拟机类型的路由类别的数据分析。

数据分析详情页面显示,此路由中的下一个跃点虚拟机已删除,因此此路由报告为无效。

删除此路由或创建新的虚拟机实例来用作此路由的下一个跃点。数据分析详情页面中显示了可能导致此数据分析的配置更改。点击相应链接前往 Cloud Logging 页面可查看配置的详细信息,例如进行更改的用户和更改时间。

场景:动态路由被覆盖

在此示例中,系统会生成属于以下类别的数据分析:被对等互连子网路由完全覆盖类型的被覆盖的动态路由数据分析

此数据分析详情页面显示,从下一个跃点为对等互连网络动态路由的对等网络中获知的已导入的动态路由被覆盖。动态路由的 IP 地址范围与新的子网路由重叠,因此被完全覆盖。流向此 IP 地址范围的对等互连网络的流量会转发到 VPC 网络中的子网。

场景:与 Cloud SQL 实例的连接因缺少网络对等互连而被阻止

在此示例中,系统会显示属于以下类别的数据分析:与 Cloud SQL 实例的连接被路由问题阻止类型的 Cloud SQL 连接数据分析。

数据分析页面显示,由于缺少网络对等互连,与 Cloud SQL 实例的连接被阻止。