Network Analyzer te permite detectar configuraciones que no funcionan como deberían. Estas configuraciones no válidas pueden deberse a algunos errores de configuración o a regresiones causadas por otros cambios. Cuando diferentes equipos son propietarios de los servicios afectados por una configuración no válida, puede ser difícil solucionar estos problemas. Descubrir estos fallos a medida que se producen e identificar las causas raíz puede ayudar a solucionar los problemas más rápido y a mejorar la comunicación entre los distintos equipos.
Errores de configuración debido a cortafuegos que bloquean
Los errores de configuración del cortafuegos que bloquean los servicios de Google Cloud pueden producirse durante o después de la configuración inicial.
Durante la configuración inicial
Estos son algunos de los errores de cortafuegos habituales que impiden que los servicios de Google Cloud funcionen:
- Falta la configuración del cortafuegos. Por ejemplo, no se ha configurado el cortafuegos de comprobación del estado del balanceador de carga.
- Errores tipográficos en el proceso de configuración manual que provocan configuraciones incorrectas.
- Configuración incoherente debido a que faltan etiquetas de VM. Por ejemplo, puede configurar la regla de cortafuegos con las etiquetas de VM de destino esperadas, pero algunas de las VMs backend no se han asociado a la etiqueta específica.
Después de la configuración inicial
Si se cambia la configuración del cortafuegos por error, puede que un servicio que funcionaba correctamente deje de hacerlo. Por ejemplo, puedes crear sin querer una regla de denegación de cortafuegos de mayor prioridad que bloquee la conectividad a los servicios de GKE o Cloud SQL.
Situación: el cortafuegos de comprobación del estado no está configurado para el balanceador de carga
En este ejemplo, Network Analyzer informa de una estadística de la categoría Estadísticas de balanceadores de carga del tipo El cortafuegos de la comprobación del estado no está configurado. En la página de detalles de la información valiosa se muestra la regla de denegación de entrada implícita de la red en la que se ha configurado el balanceador de carga. La regla de denegación de entrada bloquea el intervalo de comprobación de estado. Esto indica que los backends del balanceador de carga no tienen reglas de cortafuegos configuradas para permitir el intervalo de comprobación del estado.
Configura la regla de cortafuegos de comprobación del estado para permitir explícitamente que el intervalo de comprobación del estado acceda a los backends del balanceador de carga.
Situación: una regla de cortafuegos bloquea la conectividad de un nodo de GKE con el plano de control
En este ejemplo, se genera una estadística que pertenece a la categoría Estadísticas de conectividad de nodos de GKE de tipo Conectividad de nodos de GKE con el plano de control.
En la página de detalles del dato valioso se muestra que una regla de cortafuegos está denegando la conexión del nodo de GKE al plano de control de un clúster. Este problema se debe a una regla de denegación. Para solucionarlo, elimina esta regla o configura una regla de permiso con mayor prioridad.
Situación: una regla de cortafuegos bloquea la conectividad del plano de control de GKE con el nodo
En este ejemplo, se genera una estadística que pertenece a la categoría Estadísticas de conectividad del plano de control de GKE de tipo Conectividad del plano de control de GKE con el nodo.
En esta página de detalles se muestra que una regla de cortafuegos está denegando la conexión del plano de control de GKE a sus nodos en un clúster.
Errores de configuración de enrutamiento
Las rutas con siguientes saltos no válidos pueden provocar una pérdida de tráfico parcial o total. Esta pérdida puede deberse a que hay rutas a VMs de siguiente salto que no se están ejecutando o que se han eliminado.
Entre los cambios de configuración que pueden provocar cambios de enrutamiento no deseados se incluyen los siguientes casos:
- Si añades una subred con intervalos de direcciones IP que se solapan con una ruta dinámica, esta se ocultará y puede que se produzca una disminución del tráfico.
- Si se añade una nueva ruta predeterminada a través de una VPN, se pueden producir cuellos de botella que afecten al rendimiento de la red.
Situación: se elimina la VM del siguiente salto
En este ejemplo, aparece una estadística de la categoría de rutas con siguiente salto no válido con el tipo Se ha eliminado la VM.
La página de detalles de la estadística muestra que la VM del siguiente salto de esta ruta se ha eliminado, por lo que se indica que esta ruta no es válida.
Elimine la ruta o cree una instancia de VM que se use como siguiente salto de la ruta. En la página de detalles de la estadística se muestra un cambio de configuración que puede provocar esta estadística. Haz clic en el enlace para ir a la página Cloud Logging y ver los detalles de la configuración, como el usuario que hizo el cambio y la hora en que se hizo.
Situación: la ruta dinámica está sustituida
En este ejemplo, se genera una estadística de la categoría Estadísticas de rutas dinámicas ocultas del tipo Totalmente oculta por la ruta de subred de emparejamiento.
En esta página de detalles se muestra que se está sustituyendo una ruta dinámica importada de la red emparejada con la red emparejada de siguiente salto dynamic-routes. El intervalo de direcciones IP de la ruta dinámica se solapa con una nueva ruta de subred y, por lo tanto, se oculta por completo. El tráfico que se dirige a la red de emparejamiento a este intervalo de direcciones IP se reenvía a una subred de la red de VPC.
Situación: la conectividad a la instancia de Cloud SQL está bloqueada por la falta de un peering de red
En este ejemplo, se muestra una estadística de la categoría de estadísticas de conectividad de Cloud SQL del tipo conectividad a la instancia de Cloud SQL bloqueada por un problema de enrutamiento.
La página de estadísticas muestra que la conectividad a una instancia de Cloud SQL está bloqueada porque falta el peering de red.