Connectivity Tests è uno strumento di diagnostica che consente di controllare la connettività tra gli endpoint di rete. Analizza la configurazione e, alcuni casi esegue l'analisi del piano dati in tempo reale tra gli endpoint. Un endpoint è un'origine o una destinazione del traffico di rete, come una VM, un cluster Google Kubernetes Engine (GKE), una regola di forwarding del bilanciatore del carico o un indirizzo IP su internet.
Per analizzare le configurazioni di rete, Connectivity Tests simula previsto di un pacchetto attraverso la rete Virtual Private Cloud (VPC), Tunnel Cloud VPN o collegamenti VLAN. Connectivity Tests può anche simulare il percorso di forwarding in entrata previsto per le risorse nel VPC in ogni rete.
Per alcuni scenari di connettività, Connectivity Tests esegue anche l'analisi del piano dati in tempo reale. Questa funzionalità invia pacchetti tramite il piano dati per verificare la connettività e fornisce una diagnostica di riferimento della latenza e della perdita di pacchetti. Se la route è supportata per questa funzionalità, ogni test che esegui include il risultato dell'analisi del piano dati in tempo reale.
Per scoprire come creare ed eseguire test per vari scenari, vedi Crea ed esegui Connectivity Tests.
L'API per Connectivity Tests è l'API Network Management. Per ulteriori informazioni, consulta la documentazione dell'API.
Perché utilizzare Connectivity Tests?
Connectivity Tests può aiutarti a risolvere i problemi relativi alla seguente rete Problemi di connettività:
- Configurazioni incoerenti non intenzionali
- Configurazioni obsolete causate da modifiche alla configurazione di rete o migrazioni
- Errori di configurazione per diversi servizi e funzioni di rete
Durante il test dei servizi gestiti da Google, Connectivity Tests può anche aiutarti a determinare se è presente problema nella tua rete VPC o nella rete Rete VPC utilizzata per le risorse di servizio.
Come Connectivity Tests analizza le configurazioni
Quando analizza le configurazioni di rete, Connectivity Tests utilizza una stato astratto macchina per modellare il modo in cui una rete VPC deve elaborare i pacchetti. Google Cloud elabora un pacchetto in diversi passaggi logici.
L'analisi può prendere varie possibilità
A causa della varietà di servizi e funzionalità di rete VPC supportati dall'analisi della configurazione, un pacchetto di test che attraversa una configurazione di rete VPC può seguire molti percorsi possibili.
Il seguente diagramma mostra un modello per il modo in cui l'analisi della configurazione simula il traffico di traccia tra due Compute Engine di Compute Engine, una a sinistra e un'altra a destra.
L'analisi dipende dall'infrastruttura di rete in uso
A seconda delle configurazioni di rete e risorse Google Cloud, questo traffico potrebbe passare attraverso un tunnel Cloud VPN, una rete VPC, un bilanciatore del carico di Google Cloud o una rete VPC in peering prima raggiunge l'istanza VM di destinazione.
L'analisi segue uno dei molti stati finiti
Il numero limitato di passaggi tra stati discreti fino a quando un pacchetto è stato pubblicati o eliminati è modellato come macchina a stato finito. Questa macchina a stati finiti può trovarsi esattamente in uno dei tanti stati finiti una volta e potrebbe avere più stati successori.
Ad esempio, quando i test di connettività corrispondono a più route in base alla precedenza del route, Google Cloud può scegliere un route tra più route in base a una funzione di hashing non specificata nel piano dati. Se la route basata su criteri è configurata, Connectivity Tests instrada il pacchetto all'hop successivo, che è un bilanciatore del carico interno.
Nel caso precedente, la traccia Connectivity Tests restituisce tutti i valori possibili route, ma non riesce a determinare il metodo utilizzato da Google Cloud e restituire le route. Il motivo è che questo metodo è interno a Google Cloud ed è soggetto a modifiche.
Servizi gestiti da Google
I servizi gestiti da Google, come Cloud SQL e Google Kubernetes Engine (GKE), allocate risorse per i clienti nei progetti e nelle reti VPC di proprietà e gestite da Google. I clienti non dispongono dell'autorizzazione per accedere a questi Google Cloud.
L'analisi della configurazione di Connectivity Tests può comunque eseguire un test e fornisce un risultato complessivo in termini di raggiungibilità per i servizi gestiti da Google, ma Non fornire dettagli sulle risorse testate nel progetto di proprietà di Google.
Il seguente diagramma mostra un modello di come l'analisi della configurazione simula il traffico delle tracce da un'istanza VM nella rete VPC di un cliente a un'istanza Cloud SQL nella rete VPC di proprietà di Google. In questo esempio, le reti sono connesse tramite peering di rete VPC.
Analogamente a un test standard tra due VM, i passaggi logici includono la verifica le regole firewall in uscita pertinenti e corrispondere alla route. Quando esegui un test, l'analisi della configurazione di Connectivity Tests fornisce informazioni dettagliate su questi passaggi. Tuttavia, per il passaggio logico finale analizzando la configurazione nella rete VPC di proprietà di Google, l'analisi fornisce solo un risultato complessivo di raggiungibilità. Connectivity Tests non fornisce dettagli per le risorse in Progetto di proprietà di Google perché non hai l'autorizzazione per visualizzarli.
Per ulteriori informazioni, vedi gli esempi di test in Testa la connettività da e verso servizi gestiti da Google.
Configurazioni supportate
L'analisi della configurazione di Connectivity Tests supporta il test configurazioni di rete descritte nelle sezioni seguenti.
Flussi di traffico
- di istanze VM da e verso internet
- Da un'istanza VM a un'istanza VM
- Da Google Cloud a e da reti on-premise
- Tra due reti on-premise connesse tramite Network Connectivity Center
- Tra due spoke VPC di Network Connectivity Center
Funzionalità di networking VPC
Puoi verificare la connettività tra le risorse che utilizzano le seguenti funzionalità (sia IPv4 che IPv6 sono supportati, ove applicabile):
- Reti VPC
- Peering di rete VPC
- VPC condiviso
- Accesso privato Google
- Intervalli IP alias
- Indirizzi IP privati al di fuori dell'intervallo di indirizzi RFC 1918
- Un'istanza VM Compute Engine con più interfacce di rete
- Route personalizzate importate da reti VPC in peering
- Routing transitivo VPC
- Regole firewall VPC
- Criteri firewall di rete a livello di regione
- Criteri firewall gerarchici e criteri firewall di rete globali
- Tag di Resource Manager per firewall se collegato all'istanza Compute Engine con una singola interfaccia di rete.
- Route basate su criteri
- Private Service Connect
- Istanze a doppio stack con indirizzi IPv4 e IPv6, incluse istanze con più interfacce di rete
Soluzioni di networking ibrido Google Cloud
Le seguenti soluzioni di networking ibrido sono supportate sia per IPv4 che per IPv6:
- Cloud VPN
- Cloud Interconnect
- Router Cloud incluse le route dinamiche che usano route BGP e statiche
Network Connectivity Center
Sono supportati gli spoke VPC e gli spoke ibridi per il Network Connectivity Center.
Cloud NAT
Le risorse Public NAT e Private NAT sono supportate.
Cloud Load Balancing
- Sono supportati i seguenti tipi di bilanciatori del carico Google Cloud: bilanciatori del carico delle applicazioni esterni, bilanciatori del carico di rete passthrough esterni, bilanciatori del carico di rete proxy esterni, bilanciatori del carico delle applicazioni interni, bilanciatori del carico di rete passthrough interni e bilanciatori del carico di rete proxy interni.
- È supportato il test della connettività agli indirizzi IP del bilanciatore del carico.
- Verifica della connettività dei controlli di integrità di Cloud Load Balancing a e i backend sono supportati.
- I bilanciatori del carico TCP/UDP interni possono essere utilizzati come hop successivi.
Per le funzionalità di Cloud Load Balancing non supportate, consulta Sezione configurazioni non supportate.
Google Kubernetes Engine (GKE)
- Connettività tra GKE e
nodi e il piano di controllo GKE è supportato.
- Durante il test dell'indirizzo IP privato di un piano di controllo GKE, l'analisi della configurazione di Connectivity Tests determina se il pacchetto possa essere consegnato al piano di controllo. Ciò include l'analisi configurazione all'interno della rete VPC di proprietà di Google.
- Durante il test dell'indirizzo IP pubblico di un piano di controllo GKE, l'analisi della configurazione di Connectivity Tests determina se un pacchetto può essere inviato alla rete VPC di proprietà di Google viene eseguito il piano di controllo. Ciò non include l'analisi della configurazione sulla rete VPC di proprietà di Google.
- È supportata la connettività al servizio GKE tramite Cloud Load Balancing.
- Connettività a un pod GKE in un È supportato un cluster nativo di VPC.
Per le funzionalità GKE non supportate, consulta la sezione Configurazioni non supportate.
Gli altri prodotti e servizi Google Cloud
Sono supportati i seguenti prodotti o servizi Google Cloud aggiuntivi:
- Sono supportate le istanze Cloud SQL, tra cui la connessione Private Service Connect, la connessione di peering di rete VPC e le repliche esterne.
- Quando testi l'indirizzo IP privato di un'istanza Cloud SQL, l'analisi della configurazione determina se il pacchetto può essere consegnato all'istanza. Ciò include l'analisi della configurazione all'interno Rete VPC di proprietà di Google.
- Quando testi l'indirizzo IP pubblico di un'istanza Cloud SQL, l'analisi della configurazione determina se il pacchetto può essere inviato alla rete VPC di proprietà di Google in cui viene eseguita l'istanza. Ciò non include l'analisi della configurazione all'interno del Rete VPC di proprietà di Google.
- Sono supportate le funzioni di Cloud Run (1ª generazione.).
- Sono supportate le revisioni di Cloud Run.
- L'ambiente standard di App Engine è supportato.
Configurazioni non supportate
L'analisi della configurazione di Connectivity Tests non supporta il test delle seguenti configurazioni di rete:
- le regole dei criteri firewall con oggetti di geolocalizzazione, dati di threat intelligence o oggetti di nome di dominio completo non sono supportati.
- I tag di Resource Manager per i firewall non sono supportati se collegati a istanze Compute Engine con più interfacce di rete.
- NEG serverless e i backend non sono supportati.
- I backend NEG di internet che hanno come target FQDN non sono supportati. Tuttavia, i backend NEG internet che hanno come target indirizzi IP sono supportati.
- Bilanciatori del carico Cloud Service Mesh (con il
INTERNAL_SELF_MANAGEDregole di forwarding) non sono supportate. - I criteri di Google Cloud Armor non vengono considerati o utilizzati durante il monitoraggio della connettività a un indirizzo IP di un bilanciatore del carico delle applicazioni esterno.
- Interfacce Private Service Connect non sono supportati.
- Gateway VPN ad alta disponibilità connessi alle VM di Compute Engine non sono supportati.
- Criteri di rete di GKE e il mascheramento degli indirizzi IP configurazioni non vengono prese in considerazione o utilizzate nel tracciamento della connettività agli indirizzi IP all'interno dei cluster e dei nodi GKE.
- Repliche server esterne di Cloud SQL definiti da nomi DNS non sono supportati. Tuttavia, le repliche del server esterne definiti dagli indirizzi IP.
- Le funzioni Cloud Run (2ª gen.) non sono supportate. Tuttavia, puoi verificare la connettività da una funzione Cloud Run (2ª gen.) creando un test di connettività per la revisione Cloud Run sottostante. Ogni volta che viene creata una revisione di Cloud Run È stato eseguito il deployment della funzione Cloud Run.
- L'ambiente flessibile di App Engine non è supportato.
- I job Cloud Run non sono supportati. Per ulteriori informazioni, vedi Servizi e job: due modi per eseguire il codice.
- Traffico VPC diretto in uscita di Cloud Run non è supportato.
In che modo Connectivity Tests analizza il piano dati in tempo reale
La funzionalità di analisi del piano dati in tempo reale testa la connettività inviando più pacchetti di traccia dall'endpoint di origine alla destinazione. I risultati dell'analisi del piano dati in tempo reale mostrano il numero di sonde inviate, il numero di sonde che hanno raggiunto correttamente la destinazione e uno stato di raggiungibilità. Questo stato viene determinato in base al numero di controlli inviati correttamente, come descritto nella tabella seguente.
| Stato | Numero di probe che hanno raggiunto la destinazione |
|---|---|
| Raggiungibile | Almeno il 95% |
| Non raggiungibile | Nessuno |
| Parzialmente raggiungibile | Più di 0 e meno del 95% |
Oltre a mostrare il numero di pacchetti inviati correttamente, la verifica dinamica mostra anche informazioni sulla latenza unidirezionale mediana e del 95° percentile.
L'analisi del piano dati in tempo reale non dipende dall'analisi della configurazione. Piuttosto, l'analisi del piano dati in tempo reale fornisce una valutazione indipendente della connettività stato.
Se noti apparenti discrepanze tra i risultati dell'analisi della configurazione e dell'analisi del piano dati in tempo reale, consulta la sezione Risolvere i problemi relativi ai test di connettività.
Configurazioni supportate
L'analisi del piano dati in tempo reale supporta le seguenti configurazioni di rete.
Flussi di traffico
- Tra due istanze VM
- Tra un'istanza VM e un'istanza Cloud SQL
- Tra un'istanza VM e un endpoint del piano di controllo GKE
- Tra un'istanza VM e una località sul perimetro della rete Google
- Protocolli IP: TCP, UDP
Funzionalità di rete VPC
Puoi verificare dinamicamente la connettività tra le risorse che utilizzano le seguenti funzionalità:
- Peering di rete VPC
- VPC condiviso
- Intervalli IP alias
- Indirizzi IP esterni
- Indirizzi IP interni, indirizzi IP privati esterni all'intervallo di indirizzi RFC 1918
- Route personalizzate
- bilanciatori del carico come destinazione. I backend supportati dai bilanciatori del carico sono gruppi di istanze, gruppi di endpoint di rete (NEG) a livello di zona e backend Private Service Connect
- Regole firewall in entrata, incluso quello in entrata regole dei criteri firewall gerarchici e le regole firewall VPC in entrata
- Istanze a doppio stack con indirizzi IPv4 e IPv6, incluse istanze con più interfacce di rete
- Endpoint Private Service Connect per i servizi pubblicati e le API di Google
Configurazioni non supportate
Tutte le configurazioni non elencate esplicitamente come supportate non sono supportate. Nel Inoltre, configurazioni in cui la connettività è bloccata da regole firewall in uscita non sono supportati.
Per un determinato test, se la funzionalità di analisi del piano dati in tempo reale non viene eseguita,
viene visualizzato un N/A o - nel campo Risultato dell'ultimo pacchetto.
Considerazioni e vincoli
Valuta le seguenti considerazioni quando decidi se utilizzare i test di connettività.
- L'analisi della configurazione eseguita da Connectivity Tests si basa solo sulle informazioni di configurazione per le risorse Google Cloud potrebbe non rappresentare la condizione effettiva o lo stato del piano dati per un rete VPC.
- Mentre Connectivity Tests acquisisce una configurazione dinamica informazioni, ad esempio lo stato del tunnel Cloud VPN e le route dinamiche sul router Cloud, non accede né mantiene lo stato di integrità Componenti del piano dati e dell'infrastruttura di produzione interna di Google.
- Stato
Packet could be deliveredper un test di connettività non garantisce che il traffico possa passare attraverso il piano dati. La lo scopo del test è convalidare i problemi di configurazione che possono causare ridurre il traffico.
Per le route supportate, i risultati dell'analisi del piano dati in tempo reale integrano il valore risultati dell'analisi della configurazione testando l'arrivo di pacchetti trasmessi arrivando a destinazione.
Connectivity Tests non è a conoscenza di reti esterne a Google Cloud
Le reti esterne sono definite come segue:
- Reti on-premise che risiedono nel tuo data center o in un'altra struttura in cui utilizzi i dispositivi hardware e le applicazioni software.
- Altri cloud provider in cui esegui risorse.
- Un host su internet che invia traffico alla tua rete VPC.
Connectivity Tests non esegue il monitoraggio della connessione del firewall
Il monitoraggio delle connessioni per i firewall VPC memorizza informazioni sulle connessioni nuove e stabilite e consente di consentire o limitare il traffico successivo in base a queste informazioni.
L'analisi della configurazione di Connectivity Tests non supporta il firewall monitoraggio della connessione perché la tabella di connessione del firewall si trova per un'istanza VM ed è inaccessibile. Tuttavia, l'analisi della configurazione può simulare il monitoraggio delle connessioni consentendo una connessione di ritorno che normalmente essere negato da una regola firewall in entrata, purché Connectivity Tests avvia la connessione in uscita.
L'analisi del piano dati in tempo reale non supporta il test del monitoraggio della connessione del firewall.
Connectivity Tests non può testare le istanze VM configurate per modificare il comportamento di forwarding
Connectivity Tests non può testare le istanze VM che sono state configurate per agire sul piano dati come router, firewall, gateway NAT, VPN e così via. Questo tipo di configurazione rende difficile valutare l'ambiente in esecuzione sull'istanza VM. Inoltre, l'analisi del piano dati in tempo reale non supporta questo scenario di test.
Le tempistiche dei risultati di Connectivity Tests possono variare
La generazione dei risultati di Connectivity Tests può richiedere da 30 secondi fino a 10 minuti. Il tempo necessario per un test dipende dalle dimensioni della configurazione della rete VPC e dal numero di risorse Google Cloud che utilizzi.
La tabella seguente mostra i tempi di risposta previsti per tutti gli utenti che eseguono un test rispetto a una configurazione di esempio in una query. Questa configurazione contiene istanze VM, un tunnel Cloud VPN e bilanciatori del carico Google Cloud.
| Dimensioni progetto | Numero di risorse Google Cloud | Latenza di risposta |
|---|---|---|
| Progetto piccolo | Meno di 50 | 60 secondi per il 95% delle query di tutti gli utenti |
| Progetto di medie dimensioni | Più di 50 ma meno di 5000 | 120 secondi per il 95% delle query di tutti gli utenti |
| Progetto di grandi dimensioni | Maggiore di 5000 | 600 secondi per il 95% delle query di tutti gli utenti |
L'analisi del piano dati in tempo reale non è concepita per il monitoraggio continuo
L'analisi del piano dati in tempo reale esegue una verifica una tantum della connettività di rete per scopi diagnostici. Per il monitoraggio continuo della connettività e perdita, uso Dashboard prestazioni.
L'analisi del piano dati in tempo reale non testa più tracce
L'analisi del piano dati in tempo reale non è supportata nei casi in cui il percorso non sia deterministico.
Supporto dei Controlli di servizio VPC
I Controlli di servizio VPC possono fornire ulteriore sicurezza Connectivity Tests per contribuire a ridurre il rischio di esfiltrazione di dati. Con i Controlli di servizio VPC, puoi aggiungere progetti al servizio che proteggono risorse e servizi da richieste provenienti fuori dal perimetro.
Per saperne di più sui perimetri di servizio, consulta Dettagli e configurazione dei perimetri di servizio pagina della documentazione su Controlli di servizio VPC.
Passaggi successivi
Utilizzare Connectivity Tests per diversi casi d'uso sulla connettività
Identificare e risolvere i problemi ICMP (tutorial)