סקירה כללית של בדיקות קישוריות

בדיקות קישוריות הן כלי אבחון שמאפשר לבדוק את הקישוריות בין נקודות קצה ברשת. הוא מנתח את ההגדרה שלכם, ובמקרים מסוימים מבצע ניתוח של מישור הנתונים בזמן אמת בין נקודות הקצה. נקודת קצה היא מקור או יעד של תעבורת נתונים ברשת, כמו מכונה וירטואלית, אשכול Google Kubernetes Engine‏ (GKE), כלל העברה של מאזן עומסים או כתובת IP באינטרנט.

כדי לנתח את הגדרות הרשת, הכלי לבדיקת קישוריות מדמה את נתיב ההעברה הצפוי של חבילת נתונים דרך רשת הענן הווירטואלי הפרטי (VPC), מנהרות Cloud VPN או חיבורי VLAN. בדיקות קישוריות יכולות גם לדמות את נתיב ההעברה הצפוי של תנועה נכנסת למשאבים ברשת ה-VPC.

בתרחישים מסוימים של קישוריות, הכלי לבדיקת קישוריות מבצע גם ניתוח של מישור הנתונים בזמן אמת. התכונה הזו שולחת חבילות דרך מישור הנתונים כדי לאמת את הקישוריות, ומספקת ניתוח בסיסי של זמן האחזור ואובדן החבילות. אם המסלול נתמך בתכונה, כל בדיקה שתריצו תכלול תוצאה של ניתוח מישור נתונים בזמן אמת.

במאמר יצירה והרצה של בדיקות קישוריות מוסבר איך ליצור ולהריץ בדיקות לתרחישים שונים.

ה-API לבדיקות קישוריות הוא Network Management API. מידע נוסף זמין במאמרי העזרה של ה-API.

למה כדאי להשתמש בבדיקות קישוריות?

בדיקות הקישוריות יכולות לעזור לכם לפתור את הבעיות הבאות בקישוריות לרשת:

  • הגדרות לא עקביות שלא התכוונתם להגדיר
  • הגדרות שיצאו משימוש בגלל שינויים או העברות בהגדרות הרשת
  • שגיאות בהגדרות של מגוון שירותי רשת ופונקציות

כשבודקים שירותים שמנוהלים על ידי Google, בדיקות הקישוריות יכולות לעזור לכם לקבוע אם יש בעיה ברשת ה-VPC שלכם או ברשת ה-VPC בבעלות Google שמשמשת למשאבי השירות.

איך בדיקות הקישוריות מנתחות את ההגדרות

כשמנתחים את הגדרות הרשת, כלי הבדיקות של הקישוריות משתמש במכונת מצבים מופשטת כדי ליצור מודל של אופן העיבוד של חבילות נתונים ברשת VPC. המכונהGoogle Cloud מעבדת חבילת נתונים בכמה שלבים לוגיים.

הניתוח יכול להתבצע בדרכים רבות

בגלל המגוון של שירותים ותכונות ברשת VPC שנתמכים בניתוח ההגדרות, חבילת בדיקה שעוברת בהגדרות של רשת VPC יכולה לעבור בנתיבים אפשריים רבים.

בתרשים הבא מוצג מודל שממחיש איך ניתוח התצורה מדמה תנועת נתונים למעקב בין שני מופעי Compute Engine – אחד בצד ימין ואחד בצד שמאל.

הניתוח תלוי בתשתית הרשת

בהתאם Google Cloud להגדרות הרשת והמשאבים, התנועה הזו עשויה לעבור דרך מנהרת Cloud VPN, רשת VPC, Google Cloud מאזן עומסים או רשת VPC שכנה לפני שהיא מגיעה למכונת היעד של Compute Engine.

מכונת המצבים המופשטת של הרשת.
מכונת מצבים מופשטת של הרשת (לחצו כדי להגדיל).

הניתוח מתבצע לפי אחד מהמצבים הסופיים הרבים

מספר השלבים המוגבל בין מצבים נפרדים עד שמנה נמסרת או מושמטת מוגדר כמכונת מצבים סופית. מכונת המצבים הסופית הזו יכולה להיות בדיוק באחד מתוך הרבה מצבים סופיים בכל רגע נתון, ויכולים להיות לה כמה מצבים עוקבים.

לדוגמה, אם בדיקות הקישוריות מתאימות לכמה מסלולים לפי סדר העדיפות של המסלולים, Google Cloud יכול לבחור מסלול מבין כמה מסלולים על סמך פונקציית גיבוב לא מוגדרת במישור הנתונים. אם מוגדר מסלול מבוסס-מדיניות, כלי הבדיקה של הקישוריות מעביר את המנה (packet) לניתור הבא, שהוא מאזן עומסים פנימי.

במקרה הקודם, המעקב של בדיקות הקישוריות מחזיר את כל המסלולים האפשריים, אבל לא יכול לקבוע את השיטה Google Cloud שמשמשת להחזרת המסלולים. הסיבה לכך היא שהשיטה הזו היא פנימית ל- Google Cloud ועשויה להשתנות.

שירותים מנוהלים של Google

שירותים מנוהלים של Google, כמו Cloud SQL ו-Google Kubernetes Engine‏ (GKE), מקצים משאבים ללקוחות בפרויקטים וברשתות VPC שבבעלות Google ושמנוהלים על ידה. ללקוחות אין הרשאה לגשת למשאבים האלה.

ניתוח התצורה של בדיקות הקישוריות עדיין יכול להריץ בדיקה ולספק תוצאת נגישות כללית לשירותים שמנוהלים על ידי Google, אבל הוא לא מספק פרטים על המשאבים שנבדקו בפרויקט שבבעלות Google.

בתרשים הבא מוצג מודל שממחיש איך ניתוח ההגדרות מדמה תעבורת נתונים למעקב ממכונת Compute Engine וירטואלית ברשת VPC של לקוח למכונת Cloud SQL וירטואלית ברשת VPC בבעלות Google. בדוגמה הזו, הרשתות מחוברות באמצעות קישור בין רשתות VPC שכנות.

בדומה לבדיקה רגילה בין שני מופעים של Compute Engine, השלבים הלוגיים כוללים בדיקה של כללי חומת האש הרלוונטיים לתעבורת נתונים יוצאת והתאמה של המסלול. כשמריצים בדיקה, ניתוח ההגדרה של בדיקות הקישוריות מספק פרטים על השלבים האלה. עם זאת, בשלב הלוגי הסופי של ניתוח ההגדרה ברשת ה-VPC שבבעלות Google, הניתוח מספק רק תוצאה כללית של נגישות. הכלי לבדיקת קישוריות לא מספק פרטים על המשאבים בפרויקט שבבעלות Google כי אין לכם הרשאה לצפות בהם.

למידע נוסף, אפשר לעיין בדוגמאות לבדיקות במאמר בדיקת הקישוריות לשירותים שמנוהלים על ידי Google וממנה.

מכונת מצבים מופשטת של הרשת לשירותים בניהול Google.
מכונת מצבים מופשטת של הרשת לשירותים מנוהלים של Google (לחצו כדי להגדיל).

הגדרות נתמכות

ניתוח ההגדרות של בדיקות הקישוריות תומך בבדיקה של הגדרות הרשת שמתוארות בקטעים הבאים.

נקודות קצה של מקורות

ניתוח ההגדרות של בדיקות הקישוריות תומך בנקודות הקצה הבאות של המקור:

נקודות קצה של היעד

ניתוח ההגדרות של בדיקות הקישוריות תומך בנקודות היעד הבאות:

Google Cloud תכונות רישות

אפשר לבדוק את הקישוריות בין משאבים שמשתמשים בתכונות הבאות (יש תמיכה גם ב-IPv4 וגם ב-IPv6, בכל מקום שרלוונטי):

שיקולים לגבי Cloud Load Balancing

ב-Cloud Load Balancing, ניתוח ההגדרות של בדיקות הקישוריות תומך בתכונות הבאות:

  • בדיקת הקישוריות לכתובת ה-IP של מאזן העומסים, כולל ניתוח של המשאבים הבסיסיים שלו (כמו שירותים לקצה העורפי, מאגרי קצה עורפי ומאגרי יעד)
  • אימות הקישוריות של בדיקות התקינות של Cloud Load Balancing לשרתי קצה עורפיים
  • ניתוח מסלולים סטטיים שמשתמשים במאזן עומסים פנימי של רשת להעברת סיגנל ללא שינוי כצעד הבא (מציינים כתובת IP מטווח כתובות ה-IP של המסלול הסטטי כנקודת היעד)

בקטע 'הגדרות שלא נתמכות' מפורטות התכונות של Cloud Load Balancing שלא נתמכות.

במאמר מספר העקבות בבדיקה של מאזן עומסים מוסבר איך בדיקות הקישוריות מנתחות את הקצוות העורפיים של מאזן עומסים.

שיקולים לגבי Google Kubernetes Engine

ב-GKE, ניתוח ההגדרה של בדיקות הקישוריות תומך בתכונות הבאות:

יש תמיכה בבדיקת הקישוריות לשירות GKE דרך Cloud Load Balancing. עם זאת, כדי להעריך את מדיניות הרשת של GKE ואת הסתרת כתובות ה-IP, צריך להשתמש ב-Pods כנקודות הקצה של הבדיקה.

שיקולים לגבי נקודות קצה ללא שרת

כתובות ה-IP של המקור של נקודות קצה ללא שרתים הן בדרך כלל לא דטרמיניסטיות. בכל הרצת בדיקה, הכלי Connectivity Tests בוחר כתובת IP אקראית ממאגר הכתובות שזמינות לנקודת הקצה ללא שרת. מידע כללי על הקצאת כתובות IP לנקודות קצה ללא שרת זמין במאמרים הבאים:

במקרים מסוימים, תעבורת נתונים יוצאת (egress) ישירה של VPC ומחברים של חיבור לרשת (VPC) מאפליקציית serverless מוגדרים לניתוב תעבורה מנקודות קצה של serverless דרך קישוריות חיצונית במקום דרך רשת הענן הווירטואלי הפרטי (VPC), בהתאם להגדרות של תעבורת הנתונים היוצאת.

לגבי תכונות ללא שרת שלא נתמכות, אפשר לעיין בקטע 'הגדרות שלא נתמכות'.

הגדרות שלא נתמכות

ניתוח ההגדרות של בדיקות הקישוריות לא תומך בבדיקה של הגדרות הרשת הבאות:

איך הכלי Connectivity Tests מנתח את מישור הנתונים הפעיל

תכונת הניתוח של מישור הנתונים בזמן אמת בודקת את הקישוריות על ידי שליחה של כמה מנות בדיקה מנקודת הקצה של המקור ליעד. אם היעד לא Google Cloud משאב, הקישוריות נבדקת בין נקודת הקצה של המקור לבין מיקום קצה הרשת.

בתוצאות הניתוח של מישור הנתונים בזמן אמת מוצג מספר הבדיקות שנשלחו, מספר הבדיקות שהגיעו ליעד בהצלחה וסטטוס הנגישות. הסטטוס הזה נקבע על סמך מספר הבדיקות שהועברו בהצלחה, כפי שמתואר בטבלה הבאה.

סטטוס מספר הבדיקות שהגיעו ליעד
הגישה אפשרית לפחות 95%
הגישה אינה אפשרית ללא
ניתן להגיע לחלק מהמשתמשים יותר מ-0% ופחות מ-95%

בנוסף לנתונים על מספר החבילות שהועברו בהצלחה, בניתוח של מישור הנתונים בזמן אמת מוצגים גם נתונים על חביון חד-כיווני (median) ועל אחוזון 95. כשהיעד הוא כתובת IP באינטרנט, ניתוח של מישור הנתונים בזמן אמת שולח בדיקות ומציג את התוצאות של כל נתב קצה של רשת Google שהתנועה עשויה לעבור דרכו.

מגבלות

ניתוח של מישור הנתונים בזמן אמת לא יכול לכסות את כל נתיבי הרשת האפשריים:

  • אם נקודת הקצה של היעד היא Google Cloud מאזן עומסים עם כמה קצוות עורפיים, כל בדיקה של מישור הנתונים בזמן אמת נשלחת לקצה עורפי אקראי. יכול להיות שיהיו כמה בדיקות לשרתי קצה עורפיים מסוימים, אבל לא יהיו בדיקות לשרתי קצה עורפיים אחרים.
  • במקרה של ניתוב שווה-עלות (ECMP), כל בדיקה של ניתוח מישור הנתונים בזמן אמת מועברת על ידי מסלול אקראי. יכול להיות שיהיו נתיבי ניתוב שייבדקו על ידי הרבה בדיקות, ונתיבי ניתוב אחרים שלא ייבדקו בכלל.
  • מספר הבדיקות של ניתוח מישור הנתונים הפעיל לא תלוי במספר הנתיבים הקיימים ברשת, ויכול להיות שלא יהיה מספיק בדיקות של ניתוח מישור הנתונים הפעיל כדי לבדוק כל נתיב אפשרי.

אם אתם רואים חוסר התאמה בין תוצאות הניתוח של הגדרות ה-VPN לבין תוצאות הניתוח של נתוני המישור הפעיל, כדאי לעיין במאמר בנושא פתרון בעיות בבדיקות הקישוריות.

הגדרות נתמכות

ניתוח של מישור הנתונים בזמן אמת תומך בקבוצת משנה של ההגדרות שנבדקות בניתוח ההגדרות של בדיקות הקישוריות.

נקודות קצה של מקורות

ניתוח של מישור הנתונים בזמן אמת תומך בנקודות הקצה הבאות של המקור:

נקודות קצה של היעד

ניתוח של מישור הנתונים בזמן אמת תומך בנקודות הקצה הבאות של היעד:

פרוטוקולים

ניתוח של מישור הנתונים בזמן אמת תומך בפרוטוקולים TCP ו-UDP.

Google Cloud תכונות רישות

ניתוח של מישור הנתונים בזמן אמת תומך בתכונות הבאות:

הגדרות שלא נתמכות

ניתוח של מישור הנתונים בזמן אמת לא תומך בהגדרות הרשת הבאות ולא מבוצע עבורן:

שיקולים ומגבלות

כדאי לשקול את הנקודות הבאות כשמחליטים אם להשתמש בבדיקות קישוריות.

  • ניתוח ההגדרות שמבוצע בבדיקות הקישוריות מבוסס כולו על פרטי ההגדרה של Google Cloud המשאבים, ויכול להיות שהוא לא מייצג את המצב או הסטטוס בפועל של מישור הנתונים ברשת VPC.
  • הכלי לבדיקת קישוריות אכן אוסף מידע מסוים על הגדרות דינמיות, כמו מצב מנהרת Cloud VPN ומסלולים דינמיים ב-Cloud Router, אבל הוא לא ניגש למצב התקינות של רכיבי מישור הנתונים ותשתית הייצור הפנימית של Google ולא מתחזק אותו.
  • סטטוס Packet could be delivered בבדיקת קישוריות לא מבטיח שאפשר להעביר תנועה דרך מישור הנתונים. מטרת הבדיקה היא לאמת בעיות בהגדרות שיכולות לגרום לירידה בתנועה.

במסלולים נתמכים, תוצאות הניתוח של מישור הנתונים בזמן אמת משלימות את תוצאות הניתוח של ההגדרה. הניתוח הזה בודק אם חבילות הנתונים שמועברות מגיעות ליעד.

בכלי לבדיקת קישוריות אין מידע על רשתות מחוץ ל Google Cloud

רשתות חיצוניות מוגדרות כך:

  • רשתות מקומיות שנמצאות במרכז הנתונים או במתקן אחר שבו מופעלים מכשירי החומרה ואפליקציות התוכנה.
  • ספקי ענן אחרים שבהם אתם מפעילים משאבים.
  • מארח באינטרנט ששולח תעבורה לרשת ה-VPC.

בדיקות הקישוריות לא מבצעות מעקב אחר חיבורים לחומת האש

מעקב אחר חיבורים בחומות אש של VPC מאחסן מידע על חיבורים חדשים וקיימים, ומאפשר לאשר או להגביל תנועה עתידית על סמך המידע הזה.

ניתוח ההגדרות של בדיקות הקישוריות לא תומך במעקב אחר חיבורים לחומת אש, כי טבלת החיבורים לחומת האש נמצאת במישור הנתונים של מופע Compute Engine ואין אליה גישה. עם זאת, ניתוח ההגדרות יכול לדמות מעקב אחר חיבורים על ידי מתן אפשרות לחיבור חוזר, שבדרך כלל היה נדחה על ידי כלל חומת אש של תנועה נכנסת, כל עוד בדיקות הקישוריות יוזמות את החיבור היוצא.

ניתוח פעיל של מישור הנתונים לא תומך בבדיקה של מעקב אחר חיבורים לחומת אש.

בדיקות הקישוריות לא יכולות לבדוק מכונות ב-Compute Engine שהוגדרו לשנות את התנהגות ההעברה

בדיקות הקישוריות לא יכולות לבדוק מכונות של Compute Engine שהוגדרו לפעול במישור הנתונים כנתבים, חומות אש, שערים של NAT או רשתות VPN. בסוג כזה של הגדרה קשה להעריך את הסביבה שפועלת במכונה של Compute Engine. בנוסף, ניתוח של מישור נתונים בזמן אמת לא תומך בתרחיש הבדיקה הזה.

משך הזמן של בדיקות הקישוריות עשוי להשתנות

קבלת התוצאות של בדיקות הקישוריות יכולה להימשך בין 30 שניות ל-10 דקות. משך הזמן של הבדיקה מבוסס על הגודל של הגדרת רשת ה-VPC ומספר Google Cloud המשאבים שבהם אתם משתמשים.

בטבלה הבאה מוצגים זמני התגובה שאפשר לצפות להם עבור כל המשתמשים שמריצים בדיקה מול הגדרת מדגם בשאילתה. ההגדרה הזו כוללת מכונות ב-Compute Engine, מנהרת Cloud VPN ומאזני עומסים. Google Cloud

זמני תגובה לכל שאילתה
גודל הפרויקט מספר המשאבים Google Cloud זמן האחזור של התגובה
פרויקט קטן פחות מ-50 ‫60 שניות ל-95% מהשאילתות מכל המשתמשים
פרויקט בינוני יותר מ-50 אבל פחות מ-5,000 ‫120 שניות ל-95% מהשאילתות מכל המשתמשים
פרויקט גדול יותר מ-5,000 ‫600 שניות ל-95% מהשאילתות מכל המשתמשים

ניתוח של מישור הנתונים בזמן אמת לא מיועד לניטור רציף

ניתוח של מישור הנתונים בזמן אמת מבצע אימות חד-פעמי של קישוריות הרשת למטרות אבחון. כדי לעקוב באופן רציף אחרי הקישוריות ואחרי אובדן מנות, אפשר להשתמש בלוח הבקרה של הביצועים.

תמיכה ב-VPC Service Controls

שירות VPC Service Controls יכול לספק אבטחה נוספת ל-Connectivity Tests כדי לצמצם את הסיכון לזליגת נתונים. בעזרת VPC Service Controls אפשר להוסיף פרויקטים לגבולות גזרה לשירות שמגינים על המשאבים והשירותים מפני בקשות שמקורן מחוץ לגבולות הגזרה.

מידע נוסף על גבולות גזרה לשירות זמין בדף פרטים והגדרה של גבולות גזרה לשירות במסמכי העזרה של VPC Service Controls.

המאמרים הבאים