無効な構成を検出する

ネットワーク アナライザを使用すると、期待どおりに動作していない構成を検出できます。こうした無効な構成は、一部の設定エラーや、他の変更による回帰が原因で発生する場合があります。無効な構成によって影響を受けるサービスが異なるチームにある場合、問題のトラブルシューティングは難しくなります。このような障害の発生時に根本原因を特定することで、トラブルシューティングを迅速に行い、異なるチーム間で効果的なコミュニケーションを行うことができます。

ファイアウォールのブロックによる構成エラー

Google Cloud サービスをブロックするファイアウォール構成エラーは、初期設定中または初期設定の終了後に発生することがあります。

初期設定時

Google Cloud サービスが機能しなくなる一般的なファイアウォール エラーとしては、次のようなものがあります。

  • ファイアウォール構成がない。たとえば、ロードバランサのヘルスチェック ファイアウォールが構成されていません。
  • 誤った構成を引き起こす手動構成プロセスでの入力ミス。
  • VM タグの欠落による構成の不整合たとえば、想定されるターゲット VM タグでファイアウォール ルールを構成しているが、一部のバックエンド VM が特定のタグに関連付けられていない場合などです。

初期設定後

意図しないファイアウォール構成を変更したときに、正常に機能しているサービスが中断する可能性があります。たとえば、ファイアウォール拒否ルールを作成した結果、GKE または Cloud SQL サービスとの接続が誤ってブロックされる可能性があります。

シナリオ: ロードバランサにヘルスチェックのファイアウォールが構成されていない

この例では、ネットワーク アナライザは、ロードバランサの分析情報カテゴリの「ヘルスチェックのファイアウォールが構成されていない」タイプを報告します。分析情報の詳細ページには、ロードバランサが構成されているネットワーク内の暗黙の上り(内向き)拒否ルールが表示されます。上り(内向き)拒否ルールによってヘルスチェックの範囲がブロックされます。これは、ロードバランサのバックエンドに、ヘルスチェック範囲を許可するファイアウォール ルールが構成されていないことを示しています。

ヘルスチェックの範囲からロードバランサのバックエンドにアクセスすることを明示的に許可するヘルスチェック ファイアウォール ルールを構成します。

シナリオ: GKE ノードからコントロール プレーンへの接続がファイアウォール ルールによってブロックされる

この例では、GKE ノード接続の分析情報カテゴリの「GKE ノードからコントロール プレーンへの接続」タイプの分析情報が表示されます。

分析情報の詳細ページには、ファイアウォール ルールによって、GKE ノードからクラスタ内のコントロール プレーンへの接続が拒否されていることが示されます。この問題は拒否ルールが原因です。問題を解決するには、このルールを削除するか、より優先度の高い許可ルールを設定します。

シナリオ: GKE コントロール プレーンからノードへの接続がファイアウォール ルールによってブロックされる

この例では、「GKE コントロール プレーンからノードへの接続」タイプの GKE コントロール プレーン接続分析情報のカテゴリに属する分析情報です。

この分析情報の詳細ページには、ファイアウォール ルールによって、GKE コントロール プレーンからクラスタ内のノードへの接続が拒否されていることを示しています。

ルーティング構成エラー

無効なネクストホップを含むルートでは、部分的なトラフィックや、完全なトラフィック損失が発生する可能性があります。このような損失は、実行されていないネクストホップ VM へのルートや、削除されたネクストホップ VM へのルートが原因である可能性があります。

予期しないルーティング変更の原因となる構成変更としては、次のシナリオがあります。

  • IP アドレス範囲が動的ルートと重複する新しいサブネットを追加すると、動的ルートがシャドーイングされ、トラフィックのドロップが発生する可能性があります。
  • VPN を介して新しいデフォルト ルートを追加すると、ネットワーク パフォーマンスに影響する容量のボトルネックが発生する可能性があります。

シナリオ: ネクストホップの VM が削除される

この例では、「無効なネクストホップを含むルート」カテゴリから VM が削除されているという分析情報が表示されます。

分析情報の詳細ページには、このルートのネクストホップ VM が削除されたため、このルートが無効として報告されることが示されます。

ルートを削除するか、ルートのネクストホップとして使用する新しい VM インスタンスを作成します。この分析情報の原因となった可能性のある構成変更により、分析情報の詳細ページが表示されます。リンクをクリックして Cloud Logging ページに移動し、構成の詳細(変更を行ったユーザーや変更時刻など)を確認します。

シナリオ: 動的ルートがシャドーイングされる

この例では、シャドーイングされた動的ルートの分析情報カテゴリから「ピアリング サブネット ルートにより完全にシャドーイング」タイプの分析情報が生成されます。

この分析情報の詳細ページは、ネクストホップ ネットワークの動的ルートを持ち、ネットワーク ピアからインポートされた学習済みの動的ルートのシャドーイングを示しています。動的ルートの IP アドレス範囲は新しいサブネット ルートと重複しているため、完全にシャドーイングされています。ピアリング ネットワークに送信されるこの IP アドレス範囲へのトラフィックは、VPC ネットワーク内のサブネットに転送されます。

シナリオ: ネットワーク ピアリングが存在しないため Cloud SQL インスタンスへの接続がブロックされる

この例では、Cloud SQL の接続分析情報カテゴリの「ルーティングに関する問題によってブロックされた Cloud SQL インスタンスへの接続」の分析情報が表示されます。

分析情報のページには、ネットワーク ピアリングが存在しないため Cloud SQL インスタンスへの接続がブロックされていることが示されます。