您可以使用 Network Analyzer 偵測無法正常運作的設定。這些無效的設定可能是由於部分設定錯誤,或是其他變更導致的回歸。如果不同團隊擁有受此無效設定影響的服務,就很難排解這類問題。發現這類失敗情形並找出根本原因,有助於加快疑難排解作業,並促進不同團隊之間的有效溝通。
因封鎖防火牆而導致設定錯誤
初始設定期間或之後,可能會發生會封鎖 Google Cloud 服務的防火牆設定錯誤。
初始設定期間
以下是幾個常見的防火牆錯誤,會阻斷 Google Cloud 服務的運作:
- 缺少防火牆設定。例如,負載平衡器的健康狀態檢查防火牆未設定。
- 手動設定過程中的錯別字,導致設定錯誤。
- 缺少 VM 標記,導致設定不一致。舉例來說,您使用預期的目標 VM 標記設定防火牆規則,但部分後端 VM 並未與特定標記建立關聯。
完成初始設定後
防火牆設定的非預期變更可能會導致原本正常運作的服務中斷。舉例來說,您可能會不小心建立優先順序較高的防火牆拒絕規則,導致無法連線至 GKE 或 Cloud SQL 服務。
情境:未為負載平衡器設定健康狀態檢查防火牆
在這個範例中,Network Analyzer 會回報「負載平衡器深入分析」類別的洞察資料,類型為「未設定健康狀態檢查防火牆」。洞察詳細資料頁面會顯示負載平衡器設定所在網路中的隱含拒絕傳入規則。拒絕輸入規則會封鎖健康狀態檢查範圍。這表示負載平衡器的後端未設定防火牆規則,因此無法允許健康狀態檢查範圍。
設定健康狀態檢查防火牆規則,明確允許健康狀態檢查範圍存取負載平衡器後端。
情境:防火牆規則封鎖 GKE 節點至控制層的連線
在這個範例中,系統會產生屬於「GKE 節點連線洞察資料」類別的洞察資料,類型為「GKE 節點至控制平面連線」。
洞察資料詳細資料頁面顯示,防火牆規則拒絕 GKE 節點與叢集中控制層的連線。這個問題是因為拒絕規則造成的;請移除這項規則,或設定優先順序較高的允許規則來解決問題。
情境:防火牆規則封鎖 GKE 控制層至節點的連線
在這個範例中,系統會產生屬於「GKE 控制層連線洞察資料」類別的洞察資料,類型為「GKE 控制層到節點連線」。
這份洞察詳細資料頁面顯示,防火牆規則拒絕 GKE 控制平面與叢集中節點的連線。
轉送設定錯誤
含無效下一個躍點的路徑可能會導致部分或全部流量遺失。這種損失可能是因為路徑指向未執行或已刪除的下一個躍點 VM。
以下是可能導致路徑發生意外變更的設定變更:
- 如果新增的子網路 IP 位址範圍與動態路徑重疊,就會遮蔽動態路徑,進而導致流量下降。
- 透過 VPN 新增預設路徑可能會導致容量瓶頸,進而影響網路效能。
情境:下一個躍點中的 VM 已刪除
在本範例中,系統會顯示含有無效下一個躍點的路徑類別,以及「VM 已刪除」類型的洞察資料。
洞察詳細資料頁面顯示這個路徑中的下一個躍點 VM 已刪除,因此系統會將這個路徑回報為無效。
請刪除路徑,或建立新的 VM 執行個體做為路徑的下一個躍點。洞察詳細資料頁面會顯示可能導致這項洞察出現的設定變更。按一下連結即可前往 Cloud Logging 頁面,查看設定的詳細資料,例如變更的使用者和時間。
情境:動態路徑遭到覆蓋
在這個範例中,系統會產生「完全遭到對等互連子網路路徑覆蓋」類型的「遭到覆蓋的動態路徑深入分析」類別深入分析。
這份洞察詳細資料頁面顯示,從網路對等端學習到的匯入動態路徑,其下一個躍點對等互連網路動態路徑遭到覆蓋。動態路徑的 IP 位址範圍與新的子網路路徑重疊,因此會完全遭到覆蓋。前往這個 IP 位址範圍的對等互連網路的流量會轉送至 VPC 網路中的子網路。
情境:缺少網路對等連線,導致無法連線至 Cloud SQL 執行個體
在這個範例中,系統會顯示 Cloud SQL 連線洞察資料類別的洞察資料,類型為「Cloud SQL 執行個體的連線遭路由問題阻斷」。
洞察頁面顯示,由於缺少網路對等連線,因此無法連線至 Cloud SQL 執行個體。