O analisador de rede permite-lhe detetar configurações que não estão a funcionar como esperado. Estas configurações inválidas podem dever-se a alguns erros de configuração ou regressões causadas por outras alterações. Quando diferentes equipas são proprietárias dos serviços afetados por essa configuração inválida, pode ser difícil resolver esses problemas. A deteção destas falhas à medida que ocorrem e a identificação das causas principais podem ajudar na resolução de problemas mais rápida e na comunicação eficaz entre diferentes equipas.
Erros de configuração devido ao bloqueio de firewalls
Os erros de configuração da firewall que bloqueiam os serviços Google Cloud podem ocorrer durante ou após a configuração inicial.
Durante a configuração inicial
Seguem-se alguns dos erros de firewall comuns que impedem o funcionamento dos serviços: Google Cloud
- Configuração da firewall em falta. Por exemplo, a firewall de verificação de funcionamento do balanceador de carga não foi configurada.
- Erros ortográficos no processo de configuração manual que causam configurações com falhas.
- Configuração inconsistente causada por etiquetas de VM em falta. Por exemplo, pode configurar a regra de firewall com as etiquetas de VM de destino esperadas, mas algumas das VMs de back-end não foram associadas à etiqueta específica.
Após a configuração inicial
Uma alteração não intencional da configuração da firewall pode interromper um serviço que tem estado a funcionar corretamente. Por exemplo, pode criar involuntariamente uma regra de negação de firewall de prioridade mais elevada que bloqueia a conetividade aos serviços do GKE ou do Cloud SQL.
Cenário: a firewall de verificação de funcionamento não está configurada para o balanceador de carga
Neste exemplo, o Network Analyzer comunica uma estatística na categoria de estatísticas do balanceador de carga do tipo a firewall de verificação de funcionamento não está configurada. A página de detalhes das estatísticas mostra a regra de negação de entrada implícita na rede onde o equilibrador de carga está configurado. A regra de negação de entrada bloqueia o intervalo de verificação de funcionamento. Isto indica que os back-ends do balanceador de carga não têm regras de firewall configuradas para permitir o intervalo de verificação de funcionamento.
Configure a regra de firewall de verificação de funcionamento para permitir explicitamente que o intervalo de verificação de funcionamento aceda aos back-ends do balanceador de carga.
Cenário: conectividade do nó do GKE ao plano de controlo bloqueada por uma regra de firewall
Neste exemplo, é gerada uma estatística que pertence à categoria de Estatísticas de conectividade de nós do GKE do tipo Conectividade do nó do GKE ao plano de controlo.
A página de detalhes das estatísticas mostra que uma regra de firewall está a negar a ligação do nó do GKE ao plano de controlo num cluster. Este problema deve-se a uma regra de recusa. Remova esta regra ou configure uma regra de autorização de prioridade mais elevada para resolver o problema.
Cenário: conectividade do plano de controlo do GKE ao nó bloqueada por uma regra de firewall
Neste exemplo, é gerada uma estatística que pertence à categoria de Estatísticas de conectividade do plano de controlo do GKE do tipo Conectividade do plano de controlo do GKE ao nó.
Esta página de detalhes das estatísticas mostra que uma regra de firewall está a negar a ligação do plano de controlo do GKE aos respetivos nós num cluster.
Erros de configuração de encaminhamento
As rotas com saltos seguintes inválidos podem causar uma perda de tráfego parcial ou total. Esta perda pode dever-se à existência de rotas para VMs de salto seguinte que não estão em execução ou foram eliminadas.
As alterações de configuração que podem causar uma alteração de encaminhamento não intencional incluem os seguintes cenários:
- A adição de uma nova sub-rede com intervalos de endereços IP que se sobrepõem a uma rota dinâmica resulta no ocultamento da rota dinâmica e pode levar a uma diminuição do tráfego.
- Adicionar uma nova rota predefinida através de uma VPN pode causar gargalos de capacidade que afetam o desempenho da rede.
Cenário: a VM no próximo salto é eliminada
Neste exemplo, é apresentado um insight da categoria de trajetos com saltos seguintes inválidos com o tipo VM is deleted.
A página de detalhes das estatísticas mostra que a VM de salto seguinte nesta rota foi eliminada, pelo que esta rota é comunicada como inválida.
Elimine a rota ou crie uma nova instância de VM para usar como o próximo salto da rota. Uma alteração de configuração que possa causar esta estatística é apresentada na página de detalhes da estatística. Clique no link para aceder à página do Cloud Logging para ver os detalhes da configuração, como o utilizador que fez a alteração e a hora da alteração.
Cenário: a rota dinâmica está sombreada
Neste exemplo, é gerada uma estatística da categoria estatísticas de rotas dinâmicas ocultas do tipo totalmente ocultada pela rota da sub-rede de peering.
Esta página de detalhes das estatísticas mostra que uma rota dinâmica importada aprendida com o par de rede com rotas dinâmicas da rede de peering de salto seguinte está a ser ocultada. O intervalo de endereços IP do trajeto dinâmico sobrepõe-se a um novo trajeto de sub-rede e, por isso, está totalmente oculto. O tráfego que acede à rede de interconexão a este intervalo de endereços IP é encaminhado para uma sub-rede na rede VPC.
Cenário: conetividade à instância do Cloud SQL bloqueada devido à falta de interligação de rede
Neste exemplo, é apresentado um insight da categoria de insights de conetividade do Cloud SQL do tipo conetividade à instância do Cloud SQL bloqueada por problema de encaminhamento.
A página de estatísticas mostra que a conetividade a uma instância do Cloud SQL está bloqueada porque o peering de rede está em falta.