Esegui il debug della connettività
Hai configurato la connettività tra i database di origine e di destinazione, ma come fai a sapere che sono connessi? Quando le comunicazioni tra loro non vanno a buon fine, come puoi scoprire cosa è andato storto e dove?
Gli strumenti più basilari sono ping e traceroute.
Dindin
Ping esegue un test di base per determinare se la destinazione
("host remoto") è disponibile dall'origine. Ping invia un pacchetto ICMP Echo Request a un host remoto e si aspetta un ICMP Echo Reply in cambio. Se ping non va a buon fine,
non esiste un percorso dall'origine alla destinazione. Tuttavia, l'esito positivo
non significa che i pacchetti possano passare, ma solo che in generale
l'host remoto è raggiungibile.
Sebbene ping possa rilevare se un host è attivo e risponde, non è
garantito che sia affidabile. Alcuni fornitori di rete bloccano ICMP come
misura di sicurezza, il che può rendere più difficile il debug della connettività.
Traceroute
Traceroute esegue il test dell'intero percorso che i pacchetti di rete seguono da un host
a un altro. Mostra tutti i passaggi ("hop") che il pacchetto esegue
durante il percorso e la durata di ogni passaggio. Se il pacchetto non arriva
fino alla destinazione, traceroute non viene completato, ma
termina con una serie di asterischi. In questo caso, cerca l'ultimo indirizzo IP
raggiunto correttamente durante il percorso. È qui che la connettività si è interrotta.
Traceroute può scadere. L'operazione può anche non essere completata se un gateway
lungo il percorso non è configurato correttamente per passare il pacchetto all'hop
successivo.
Quando traceroute non viene completato, potresti riuscire a capire
dove si è interrotto. Trova l'ultimo indirizzo IP elencato nell'output traceroute
ed esegui una ricerca nel browser per who owns [IP_ADDRESS]. I risultati
potrebbero mostrare o meno il proprietario dell'indirizzo, ma vale la pena provare.
mtr
Lo strumento mtr è una forma di traceroute che rimane
attivo e viene aggiornato continuamente, in modo simile al funzionamento del comando top
per i processi locali.
Trovare il tuo indirizzo IP locale
Se non conosci l'indirizzo locale del tuo host, esegui il comando
ip -br address show. Su Linux, vengono visualizzati l'interfaccia di rete,
lo stato dell'interfaccia e gli indirizzi IP e MAC locali. Ad esempio:
eth0 UP 10.128.0.7/32 fe80::4001:aff:fe80:7/64.
In alternativa, puoi eseguire ipconfig o ifconfig per visualizzare
lo stato delle interfacce di rete.
Individuare l'indirizzo IP in uscita
Se non conosci l'indirizzo IP utilizzato dai database di origine e di destinazione per comunicare tra loro (l'indirizzo IP in uscita), completa i seguenti passaggi:
Vai alla pagina Istanze SQL in Google Cloud console.
Fai clic sul nome dell'istanza associata al job di migrazione di cui stai eseguendo il debug.
Scorri verso il basso fino a visualizzare il riquadro Connetti a questa istanza. In questo riquadro viene visualizzato l'indirizzo IP in uscita.
Apri porte locali
Per verificare che l'host sia in ascolto sulle porte che ritieni, esegui il comando
ss -tunlp4. Indica quali porte sono aperte e
in ascolto.
Ad esempio, se è in esecuzione un database MySQL, la porta 3306 deve essere attiva e in ascolto. Per SSH, dovresti vedere la porta 22.
Tutta l'attività della porta locale
Utilizza il comando netstat per visualizzare tutta l'attività della porta locale. Ad esempio, netstat -lt mostra tutte le porte attualmente attive.
Connettiti all'host remoto utilizzando telnet
Per verificare di poterti connettere all'host remoto utilizzando TCP, esegui
il comando telnet. Telnet tenta di connettersi all'indirizzo IP e alla porta che fornisci.
telnet 35.193.198.159 3306.
In caso di esito positivo, viene visualizzato quanto segue:
Trying 35.193.198.159...
Connected to 35.193.198.159.
.
In caso di errore, viene visualizzato il messaggio telnet non risponde finché non forzi la chiusura
del tentativo:
Trying 35.193.198.159...
^C.
.
Cloud Logging
Database Migration Service e Cloud SQL utilizzano Cloud Logging. Per informazioni complete, consulta la documentazione di Cloud Logging e rivedi le query di esempio di Cloud SQL.Visualizza i log
Puoi visualizzare i log per le istanze Cloud SQL e altri progetti Google Cloud come Cloud VPN o istanze Compute Engine. Per visualizzare i log per le voci di log dell'istanza Cloud SQL:Console
- Vai a Esplora log
- Seleziona un progetto Cloud SQL esistente nella parte superiore della pagina.
- In Query Builder, aggiungi quanto segue:
- Risorsa: seleziona Database Cloud SQL. Nella finestra di dialogo, seleziona un'istanza Cloud SQL.
- Nomi dei log: scorri fino alla sezione Cloud SQL e seleziona
i file di log appropriati per la tua istanza. Ad esempio:
- cloudsql.googlapis.com/mysql-general.log
- cloudsql.googleapis.com/mysql.err
- Gravità: seleziona un livello di log.
- Intervallo di tempo: seleziona un intervallo preimpostato o creane uno personalizzato.
gcloud
Utilizza il comando gcloud logging per visualizzare le voci di log. Nell'esempio seguente, sostituisci PROJECT_ID.
Il flag limit
è un parametro facoltativo che indica il numero massimo di voci da
restituire.
gcloud logging read "projects/[PROJECT_ID]/logs/cloudsql.googleapis.com/mysql-general.log" --limit=10
Indirizzi IP privati
Le connessioni a un'istanza Cloud SQL che utilizza un indirizzo IP privato vengono autorizzate automaticamente per gli intervalli di indirizzi RFC 1918. Gli intervalli di indirizzi non RFC 1918 devono essere configurati
in Cloud SQL come reti
autorizzate. Devi anche aggiornare il peering di rete a Cloud SQL per esportare le route non RFC 1918. Ad esempio: gcloud compute networks peerings update cloudsql-mysql-googleapis-com --network=NETWORK --export-subnet-routes-with-public-ip --project=PROJECT.
L'intervallo IP 172.17.0.0/16 è riservato alla rete bridge Docker. Tutte le istanze Cloud SQL create con un indirizzo IP in questo intervallo non saranno raggiungibili. Le connessioni da qualsiasi indirizzo IP all'interno di questo intervallo alle istanze Cloud SQL che utilizzano un indirizzo IP privato non andranno a buon fine.
Risoluzione dei problemi relativi alla VPN
Consulta la pagina Google Cloud Risoluzione dei problemi di Cloud VPN.
Risoluzione dei problemi relativi al tunnel SSH inverso
Il tunneling SSH è un metodo per inoltrare alcune comunicazioni su una connessione SSH. Il tunneling SSH inverso consente di configurare un tunnel SSH, ma mantenendo la rete di destinazione come quella che avvia la connessione al tunnel. Questa opzione è utile quando non vuoi aprire una porta nella tua rete per motivi di sicurezza.
L'obiettivo è configurare quanto segue: Cloud SQL DB ---> Compute Engine VM bastion ---> tunnel ---> source network bastion ---> source DB
Si presume che:
L'Compute Engine VM bastion può accedere all'Cloud SQL DB.
source network bastion può accedere a source DB (questo risultato si ottiene eseguendo il peering della rete Cloud SQL con la rete VM di Compute Engine).
Successivamente, configuri un tunnel SSH da source network bastion a Compute Engine VM bastion, che indirizza tutte le connessioni in entrata a una porta su Compute Engine VM bastion tramite il tunnel a source DB.
Ogni collegamento nello scenario precedente può essere configurato in modo errato e impedire il funzionamento dell'intero flusso. Risolvi i problemi relativi a ogni link, uno alla volta:
source network bastion ---> source DB
- Connettiti a source network bastion utilizzando SSH o dal terminale se si tratta della macchina locale.
- Verifica la connettività al database di origine utilizzando uno dei seguenti metodi:
telnet [source_db_host_or_ip] [source_db_port]- expect to see the mysql password prompt (something like5.7.12-logPuN0%`D5G??f9nVS'Pmysql_native_passwordConnection)[db_client] -h[source_db_host_or_ip] -P[source_db_port]- expect to see access denied (something likeERROR 1045 (28000): Access denied for user...)
Se l'operazione non va a buon fine, devi verificare di aver abilitato l'accesso da questo bastione al database di origine.
Compute Engine VM bastion ---> source DB
- Accedi tramite SSH a Compute Engine VM bastion (utilizzando
gcloud compute ssh VM_INSTANCE_NAME) - Verifica la connettività al database di origine utilizzando uno dei seguenti metodi:
telnet 127.0.0.1 [tunnel_port]- dovresti visualizzare la richiesta della password di MySQL (simile a5.7.12-logPuN0%`D5G??f9nVS'Pmysql_native_passwordConnection)[db_client] -h127.0.0.1 -P[tunnel_port]- dovresti visualizzare l'accesso negato (qualcosa comeERROR 1045 (28000): Access denied for user...)
Se l'operazione non va a buon fine, devi verificare che il tunnel sia attivo e funzionante correttamente.
L'esecuzione di sudo netstat -tupln mostra tutti i processi in ascolto su questa VM e dovresti vedere sshd listening on the tunnel_port.
Cloud SQL DB ---> source DB
Il modo migliore per testarlo è utilizzare testing the migration job di Database Migration Service.
Se l'operazione non va a buon fine, significa che si è verificato un problema con il peering VPC o il routing tra la rete Cloud SQL e la rete Compute Engine VM bastion.
Il firewall del server di database di origine deve essere configurato per consentire l'intero intervallo IP interno allocato per la connessione di servizio privato della rete VPC che l'istanza Cloud SQL di destinazione utilizzerà come campo privateNetwork delle impostazioni ipConfiguration.
Per trovare l'intervallo IP interno nella console:
Vai alla pagina Reti VPC nella console Google Cloud .
Seleziona la rete VPC che vuoi utilizzare.
Seleziona Accesso privato ai servizi > Intervalli IP allocati per i servizi.
Trova l'intervallo IP interno associato alla connessione creata da servicenetworking-googleapis-com.
Puoi anche visualizzare il traffico tra l'istanza Cloud SQL e l'istanza VM di Compute Engine nella console Cloud Logging nel progetto Cloud VPN gateway. Nei log della VM Compute Engine,
cerca il traffico proveniente dall'istanza Cloud SQL. Nei log dell'istanza Cloud SQL, cerca il traffico proveniente dalla VM Compute Engine.