Debug della connettività

MySQL | PostgreSQL | PostgreSQL to AlloyDB

Debug della connettività

Hai configurato la connettività tra i database di origine e di destinazione, ma come fai a sapere se sono connessi? Quando le comunicazioni tra loro non vanno a buon fine, come puoi scoprire cosa è andato storto e dove?

Gli strumenti più basilari sono ping e traceroute.

Dindin

Ping esegue un test di base per determinare se la destinazione ("host remoto") è disponibile dall'origine. Ping invia un pacchetto ICMP Echo Request a un host remoto e si aspetta una risposta ICMP Echo Reply in cambio. Se ping non va a buon fine, non esiste una route dall'origine alla destinazione. Tuttavia, il successo non significa che i pacchetti possano passare, ma solo che, in generale, l'host remoto è raggiungibile.

Sebbene ping possa indicare se un host è attivo e risponde, non è garantito che sia affidabile. Alcuni provider di rete bloccano ICMP come misura di sicurezza, il che può rendere più difficile il debug della connettività.

Traceroute

Traceroute testa la route completa dei pacchetti di rete da un host a un altro. Mostra tutti i passaggi ("hop") che il pacchetto esegue lungo il percorso e la durata di ogni passaggio. Se il pacchetto non raggiunge la destinazione, traceroute non viene completato, ma termina con una serie di asterischi. In questo caso, cerca l'ultimo indirizzo IP raggiunto correttamente lungo il percorso. È qui che la connettività si è interrotta.

Traceroute può andare in timeout. Può anche non essere completato se un gateway lungo il percorso non è configurato correttamente per inoltrare il pacchetto all'hop successivo.

Quando traceroute non viene completato, potresti essere in grado di capire dove si è interrotto. Trova l'ultimo indirizzo IP elencato nell'output di traceroute ed esegui una ricerca nel browser per who owns [IP_ADDRESS]. I risultati potrebbero mostrare o meno il proprietario dell'indirizzo, ma vale la pena provare.

mtr

Lo strumento mtr è una forma di traceroute che rimane attiva e viene aggiornata continuamente, in modo simile al funzionamento del comando top per i processi locali.

Individuare l'indirizzo IP locale

Se non conosci l'indirizzo locale dell'host, esegui il comando ip -br address show. Su Linux, questo comando mostra l'interfaccia di rete, lo stato dell'interfaccia, l'IP locale e gli indirizzi MAC. Ad esempio: eth0 UP 10.128.0.7/32 fe80::4001:aff:fe80:7/64.

In alternativa, puoi eseguire ipconfig o ifconfig per visualizzare lo stato delle interfacce di rete.

Individuare l'indirizzo IP in uscita

Se non conosci l'indirizzo IP utilizzato dai database di origine e di destinazione per comunicare tra loro (l'indirizzo IP in uscita), completa i seguenti passaggi:

Vai alla pagina dei cluster AlloyDB in the Google Cloud console.

Vai alla pagina dei cluster AlloyDB
Individua il cluster associato al job di migrazione di cui stai eseguendo il debug.
L'IP in uscita dovrebbe essere visualizzato accanto al nome dell'istanza principale del cluster.

Aprire le porte locali

Per verificare che l'host sia in ascolto sulle porte che ritieni, esegui il comando ss -tunlp4. Questo comando indica quali porte sono aperte e in ascolto. Ad esempio, se è in esecuzione un database PostgreSQL, la porta 5432 deve essere attiva e in ascolto. Per SSH, dovresti vedere la porta 22.

Tutta l'attività delle porte locali

Utilizza il comando netstat per visualizzare tutta l'attività delle porte locali. Ad esempio, netstat -lt mostra tutte le porte attualmente attive.

Connettersi all'host remoto utilizzando telnet

Per verificare di poterti connettere all'host remoto utilizzando TCP, esegui il comando telnet. Telnet tenta di connettersi all'indirizzo IP e alla porta che gli fornisci.

Se, ad esempio, l'host remoto esegue un database PostgreSQL, dovresti essere in grado di eseguire telnet sulla porta 5432: telnet 35.193.198.159 5432.

Se l'operazione va a buon fine, viene visualizzato il seguente messaggio:

Trying 35.193.198.159...

Connected to 35.193.198.159..

In caso di errore, telnet smette di rispondere finché non forzi la chiusura del tentativo:

Trying 35.193.198.159...

^C..

Autenticazione client

L'autenticazione client è controllata da un file di configurazione denominato pg_hba.conf (HBA sta per autenticazione basata sull'host).

Assicurati che la sezione delle connessioni di replica del file pg_hba.conf sul database di origine sia aggiornata in modo da accettare connessioni dall'intervallo di indirizzi IP del VPC di AlloyDB.

Cloud Logging

Database Migration Service e AlloyDB utilizzano Cloud Logging. Per informazioni complete, consulta la documentazione di Cloud Logging e le query di esempio di Cloud SQL.

Visualizza i log

Puoi visualizzare i log per le istanze AlloyDB e altri Google Cloud progetti, come le istanze Cloud VPN o Compute Engine. Per visualizzare le voci di log dell'istanza AlloyDB:

Console

Vai a Esplora log
Seleziona un progetto AlloyDB esistente nella parte superiore della pagina.
In Query Builder, aggiungi quanto segue:

Risorsa: seleziona Database AlloyDB. Nella finestra di dialogo, seleziona un' istanza AlloyDB.
Nomi dei log: scorri fino alla sezione AlloyDB e seleziona file di log appropriati per l'istanza. Ad esempio:
- alloydb.googlapis.com/postgres.log
Gravità: seleziona un livello di log.
Intervallo di tempo: seleziona un intervallo preimpostato o creane uno personalizzato.

gcloud

Utilizza il gcloud logging comando per visualizzare le voci di log. Nell'esempio seguente, sostituisci PROJECT_ID. Il limit flag è un parametro facoltativo che indica il numero massimo di voci da restituire.

gcloud logging read "projects/[PROJECT_ID]/logs/alloydb.googleapis.com/postgres.log" --limit=10

Risoluzione dei problemi relativi alla VPN

Consulta la Google Cloud pagina di risoluzione dei problemi di Cloud VPN.

Risolvere gli errori del proxy TCP

Anche la configurazione del proxy TCP potrebbe causare errori. Per risolvere un errore del proxy TCP, consulta i seguenti esempi di problemi e le relative soluzioni:

Impossibile avviare la macchina virtuale (VM)

Quando avvii l'istanza VM in Compute Engine, viene visualizzato il seguente messaggio:

You do not currently have an active account selected.

Cosa provare

Esegui uno dei seguenti comandi per configurare un account attivo:

Per ottenere nuove credenziali, esegui il seguente comando:
```
gcloud auth login
```
Per selezionare un account già autenticato, esegui il seguente comando:
```
gcloud config set account ACCOUNT
```
Sostituisci ACCOUNT con il nome dell'account che vuoi configurare.

Impossibile connettersi all'istanza del database di origine

Quando testi il job di migrazione, viene visualizzato il seguente messaggio di errore:

Failure connecting to the source database. Make sure the connectivity information on the connection profile is correct and the source database is reachable.

Cosa provare

Segui i passaggi riportati di seguito per capire dove potrebbe trovarsi il problema:

Controlla se la VM che ospita il container del proxy TCP è in esecuzione:
1. Nella console, vai alla pagina Istanze VM di Compute Engine.
  
  Vai a Istanze VM
2. Cerca la VM creata nell'ambito della procedura di configurazione del proxy. Se non è elencata o non è in esecuzione, configura il proxy TCP da zero e aggiorna le impostazioni dell'istanza di origine nel job di migrazione con l'indirizzo IP corretto.
Se la VM è in esecuzione, verifica che non si sia verificato alcun errore durante il download dell'immagine container del proxy TCP:
1. Seleziona la VM creata nell'ambito della procedura di configurazione del proxy TCP. In Log, fai clic su Porta seriale 1 (console).
2. Se non vedi la voce Launching user container 'gcr.io/dms-images/tcp-proxy' nei log, il problema potrebbe essere che l'istanza non è riuscita a eseguire il pull dell'immagine da Container Registry. Per verificare se è questo il caso, connettiti alla VM e prova manualmente a eseguire il pull dell'immagine da Container Registry utilizzando il seguente comando:
  
  docker pull gcr.io/dms-images/tcp-proxy
  
  Se viene visualizzato il seguente errore: Error response from daemon: Get "https://gcr.io/v2/": net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers), significa che la VM non è riuscita a connettersi a Container Registry. Se la VM ha solo un indirizzo IP privato, devi abilitare l'accesso privato Google nella subnet di cui fa parte l'indirizzo IP; in caso contrario, la VM non avrà accesso alle API Google Enterprise, come Container Registry.
Verifica che il container possa connettersi all'istanza di origine:
1. Seleziona la VM creata nell'ambito della procedura di configurazione del proxy. In Log, fai clic su Cloud Logging.
2. Se viene visualizzato il seguente messaggio: Connection refused, please verify that the machine you are using to run the script can connect to the source database at, significa che il container del proxy TCP non è riuscito a connettersi all'istanza del database di origine. Questo può accadere per diversi motivi:
  - L'indirizzo IP dell'istanza di origine non è corretto.
  - Esiste una policy del firewall che rifiuta le connessioni dal proxy TCP all'istanza di origine.
  - L'istanza di origine si trova in una rete Virtual Private Cloud (VPC) diversa dalla VM che ospita il proxy TCP.
Puoi eseguire il debug del problema di connettività utilizzando Google Cloud's Connectivity Tests per assicurarti che esista una connettività tra il database di destinazione e la VM che ospita il proxy TCP:
1. Nella console, vai alla pagina Connectivity Tests.
  
  Vai a Connectivity Tests
2. Fai clic su Crea test di connettività.
3. Inserisci un nome per il test.
4. Seleziona TCP come protocollo.
5. Seleziona Indirizzo IP dall'elenco Endpoint di origine. Inserisci l'indirizzo IP pubblico del proxy TCP appena creato se il database di origine è accessibile utilizzando un indirizzo IP pubblico; in caso contrario, inserisci l'indirizzo IP privato del proxy TCP.
6. Seleziona Indirizzo IP dall'elenco Endpoint di destinazione e inserisci l'indirizzo IP del database di origine.
7. Inserisci il numero di porta utilizzato per connetterti al database di origine nel campo Porta di destinazione.
8. Fai clic su Crea.
Esegui il test di connettività e risolvi eventuali problemi di connettività. Dopo aver risolto il problema di connettività, verifica che il proxy TCP possa connettersi all'istanza di origine:
1. Vai a Istanze VM in Compute Engine.
  
  Vai a Istanze VM
2. Seleziona la VM creata nell'ambito della procedura di configurazione del proxy. In Log, fai clic su Cloud Logging.
3. Se vedi la voce di log Connection to source DB verified, significa che il proxy TCP può ora connettersi all'istanza di origine.
Verifica che il test di migrazione non fallisca a causa di problemi di connessione.

Impossibile connettersi all'istanza del database di destinazione

Se il container del proxy TCP può connettersi all'istanza di origine, ma il test di migrazione continua a non riuscire a causa di problemi di connessione, il problema potrebbe essere la connettività tra l'istanza di destinazione e la VM che ospita il container del proxy TCP.

Eseguire il debug del problema

Per eseguire il debug del problema, puoi utilizzare Google Cloud's Connectivity Tests per assicurarti che esista una connettività tra il database di destinazione e la VM che ospita il proxy TCP:

Nella console, vai alla pagina Connectivity Tests.

Vai a Connectivity Tests
Fai clic su Crea test di connettività.
Imposta i seguenti parametri per il test:
1. Inserisci un nome per il test.
2. Seleziona TCP come protocollo.
3. Seleziona Indirizzo IP dall'elenco Endpoint di origine e inserisci l'indirizzo IP del cluster AlloyDB appena creato.
4. Seleziona Indirizzo IP dall'elenco Endpoint di destinazione e inserisci l'indirizzo IP privato del proxy TCP.
5. Inserisci 5432 nel campo Porta di destinazione.
Fai clic su Crea.
Esegui il test di connettività e risolvi eventuali problemi di connettività.

Possibili cause

Esiste una regola firewall che nega la comunicazione tra l'istanza di destinazione e la VM del proxy TCP.

Cosa provare

Aggiungi una regola firewall che consenta all'istanza di destinazione di comunicare con il proxy TCP utilizzando la porta 5432.

Possibili cause

Esiste una mancata corrispondenza del VPC tra l'istanza di destinazione e la VM che esegue il container del proxy TCP.

Cosa provare

Seleziona lo stesso VPC per l'istanza di destinazione.

Risolvere i problemi relativi al tunnel SSH inverso

Il tunneling SSH è un metodo per inoltrare alcune comunicazioni tramite una connessione SSH. Il tunneling SSH inverso consente di configurare un tunnel SSH, ma mantenendo la rete di destinazione come quella che avvia la connessione del tunnel. Questa opzione è utile quando non vuoi aprire una porta nella tua rete per motivi di sicurezza.

L'obiettivo è configurare quanto segue: AlloyDB DB ---> Compute Engine VM bastion ---> tunnel ---> source network bastion ---> source DB

Si presuppone che:

Il AlloyDB destination può accedere al Compute Engine VM bastion.
Il source network bastion possa accedere al source DB (questo risultato si ottiene eseguendo il peering della rete AlloyDB con la rete VM di Compute Engine).

Quindi, configura un tunnel SSH dal source network bastion al Compute Engine VM bastion, che instrada tutte le connessioni in entrata a una porta sul Compute Engine VM bastion tramite il tunnel al source DB.

Ogni link nello scenario precedente può essere configurato in modo errato e impedire il funzionamento dell'intero flusso. Risolvi i problemi di ogni link, uno alla volta:

`source network bastion` ---> `source DB`

Connettiti al source network bastion utilizzando SSH o dal terminale se si tratta della macchina locale.
Verifica la connettività al database di origine utilizzando uno dei seguenti metodi:
- telnet [source_db_host_or_ip] [source_db_port] - dovresti visualizzare le stringhe di connessione telnet, che terminano con Connected to x.x.x.x.
- [db_client] -h[source_db_host_or_ip] -P[source_db_port] - dovresti visualizzare l'accesso negato

Se l'operazione non va a buon fine, devi verificare di aver abilitato l'accesso da questo bastion al database di origine.

`Compute Engine VM bastion` ---> `source DB`

Esegui SSH sul Compute Engine VM bastion (utilizzando gcloud compute ssh VM_INSTANCE_NAME)
Verifica la connettività al database di origine utilizzando uno dei seguenti metodi:
- telnet 127.0.0.1 [tunnel_port] - dovresti visualizzare le stringhe di connessione telnet, che terminano con Connected to x.x.x.x.
- [db_client] -h127.0.0.1 -P[tunnel_port] - dovresti visualizzare l'accesso negato

Se l'operazione non va a buon fine, devi verificare che il tunnel sia attivo e in esecuzione correttamente. L'esecuzione di sudo netstat -tupln mostra tutti i processi in ascolto su questa VM e dovresti vedere sshd listening on the tunnel_port.

`AlloyDB DB` ---> `source DB`

Il modo migliore per testare questa configurazione è testing the migration job da Database Migration Service. Se l'operazione non va a buon fine, significa che si è verificato un problema con il peering VPC o il routing tra la rete AlloyDB e la Compute Engine VM bastion rete.

Il firewall del server del database di origine deve essere configurato per consentire l'intero intervallo IP interno allocato per la connessione di servizio privato della rete VPC che l'istanza di destinazione AlloyDB utilizzerà come campo privateNetwork delle impostazioni ipConfiguration.

Per trovare l'intervallo IP interno nella console:

Vai alla pagina Reti VPC nella Google Cloud console.
Seleziona la rete VPC che vuoi utilizzare.

Seleziona Accesso privato ai servizi > Intervalli IP allocati per i servizi.
Trova l'intervallo IP interno associato alla connessione creata da servicenetworking-googleapis-com.

Puoi anche visualizzare il traffico tra l'istanza AlloyDB e l'istanza VM di Compute Engine in nella console Cloud Logging nel Cloud VPN gateway progetto. Nei log della VM di Compute Engine, cerca il traffico proveniente dall'istanza AlloyDB. Nei log dell'istanza AlloyDB, cerca il traffico proveniente dalla VM di Compute Engine.

Debug della connettività Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.