Mengukur jangkauan

Halaman ini menjelaskan cara Pengujian Konektivitas mengukur jangkauan. Selain itu, artikel ini menjelaskan cara kerja analisis konfigurasi dan analisis bidang data live.

Apa itu keterjangkauan?

Resource dapat dijangkau dari endpoint lain jika konfigurasi jaringan seperti firewall dan rute memungkinkan traffic berpindah dari satu endpoint ke endpoint lainnya. Misalnya, jika konfigurasi jaringan harus mengizinkan VM1 mengirim paket ke VM2, maka VM2 dikatakan dapat dijangkau dari VM1.

Perhatikan aspek berikut tentang cara Uji Konektivitas mengukur keterjangkauan:

• Uji Konektivitas mengukur jangkauan dari sumber tertentu ke tujuan tertentu. Fakta bahwa VM1 dapat menjangkau VM2 tidak berarti VM3 dapat menjangkau VM2.
• Uji Konektivitas mengukur jangkauan satu arah. Fakta bahwa VM1 dapat membuka koneksi ke VM2 tidak berarti bahwa VM2 dapat membuka koneksi dengan VM1. Aturan firewall dapat mengizinkan traffic dalam satu arah, tetapi tidak dalam arah lainnya.
• Uji Konektivitas mengukur jangkauan untuk protokol dan port tujuan tertentu. Fakta bahwa VM1 dapat menjangkau VM2 di tcp:443 tidak berarti VM1 dapat menjangkau VM2 di tcp:80.
• Uji Konektivitas hanya menguji konfigurasi jaringan Google Cloud VPC yang dapat memengaruhi pengiriman paket dari sumber ke tujuan. Pengujian ini tidak memeriksa apakah server yang valid berjalan di tujuan, apakah aturan firewall sistem operasi dapat memblokir traffic, atau apakah software keamanan memblokir paket yang membawa payload virus.

Konsep Keterjangkauan berasal dari teori grafik. Secara konseptual, seluruh grafik keterjangkauan jaringan berisi semua endpoint sebagai node, dan tepi terarah yang menunjukkan keterjangkauan dari node sumber ke node tujuan.

Analisis jangkauan adalah istilah yang lebih umum yang mendeskripsikan kumpulan analisis yang dapat dilakukan untuk menentukan jangkauan jaringan. Salah satu kasus penggunaan dari analisis keterjangkauan adalah uji konektivitas. Konektivitas, dalam hal ini, mengacu pada status koneksi jaringan.

Untuk setiap langkah di sepanjang jalur penerusan jaringan, analisis jangkauan akan menguji dan memberikan hasil untuk konfigurasi jaringan yang mendasarinya. Misalnya, Uji Konektivitas menganalisis aturan firewall dan rute yang diterapkan ke paket uji simulasi. Google Cloud

Cara kerja Uji Konektivitas

Uji Konektivitas mencakup dua komponen utama: analisis konfigurasi dan analisis bidang data live. Bagian ini menjelaskan cara kerja kedua jenis analisis ini.

Cara kerja analisis konfigurasi

Bagian ini menjelaskan cara kerja Connectivity Tests dan komponennya.

Uji Konektivitas melakukan analisis keterjangkauan yang mengevaluasi Google Cloud resource di jalur pengujian Anda terhadap model konfigurasi yang ideal. Fitur ini dilengkapi dengan fitur analisis bidang data live, yang mengirimkan paket untuk memverifikasi status bidang data dan memberikan informasi dasar untuk konfigurasi yang didukung. Untuk mengetahui detail tentang cara kerja analisis bidang data live, lihat Cara kerja analisis bidang data live.

Sebagai administrator jaringan, Anda memiliki kontrol atas banyak konfigurasi yang dapat memengaruhi hasil analisis, meskipun beberapa pengecualian berlaku. Misalnya, Anda tidak memiliki kontrol atas jaringan VPC yang menghosting layanan yang dikelola Google seperti instance Cloud SQL. Selain itu, karena batasan izin, Anda mungkin tidak memiliki kontrol atas aturan kebijakan firewall hierarkis yang memengaruhi jaringan Anda.

Saat menjalankan Uji Konektivitas, Anda memasukkan serangkaian parameter tertentu dan menerima hasil yang diformat dalam bentuk rekaman aktivitas jaringan, atau kueri. Uji Konektivitas menghasilkan lebih dari satu rekaman aktivitas jika suatu pengujian memiliki beberapa kemungkinan jalur dalam jaringan (misalnya, saat endpoint tujuan adalah load balancer dengan beberapa backend). Google Cloud

• Kecocokan berarti Uji Konektivitas menemukan konfigurasi Google Cloud yang memungkinkan paket yang disimulasikan terus melalui jalur pengujian.
• Tidak ada kecocokan berarti bahwa Uji Konektivitas tidak dapat menemukan kecocokan. Oleh karena itu, konfigurasi tidak ada.
• Kecocokan ditolak berarti Uji Konektivitas menemukan konfigurasiGoogle Cloud tempat paket uji simulasi harus di-drop.

Komponen Uji Konektivitas

Uji Konektivitas adalah komponen tingkat teratas yang berisi semua sub-komponen pengujian lainnya yang diperlukan untuk analisis konfigurasi. Komponen ini mencakup:

• Endpoint sumber dan tujuan
• Detail aksesibilitas untuk pengujian dan rekaman aktivitasnya, termasuk hasil aksesibilitas keseluruhan yang ditentukan oleh analisis konfigurasi
• Satu atau beberapa rekaman aktivitas yang masing-masing berisi satu atau beberapa langkah
• Status untuk setiap langkah

Setiap pengujian memiliki nama unik dan setiap langkah memiliki status dan metadata Info yang terkait dengannya. Misalnya, jika suatu langkah memeriksa rute, metadata RouteInfo disertakan dalam langkah tersebut.

Diagram berikut menunjukkan pengujian dari satu instance VM Compute Engine ke instance VM Compute Engine lainnya. Untuk mengetahui deskripsi komponen pengujian, lihat bagian berikutnya.

Endpoint sumber dan tujuan

Analisis konfigurasi Uji Konektivitas mendukung header paket 5-tuple tanpa port sumber. Hal ini karena port sumber tidak digunakan untuk memvalidasi resource dalam konfigurasi jaringan Google Cloud . Oleh karena itu, Anda tidak perlu menyediakannya saat menjalankan pengujian.

Header paket berisi komponen berikut:

• Protokol jaringan
• Endpoint sumber, yang terdiri dari salah satu dari berikut ini:
  • Nama instance VM
  • Alamat IP sumber
  • Layanan App Engine sumber
  • Lingkungan fungsi Cloud Run (generasi ke-1)
  • Layanan Cloud Run
  • Nama instance Cloud SQL
  • Nama cluster untuk bidang kontrol GKE
• Endpoint tujuan, yang terdiri dari salah satu opsi berikut dan nomor port:
  • Nama instance VM
  • Alamat IP tujuan
  • Nama instance Cloud SQL
  • Nama cluster untuk bidang kontrol GKE
  • Endpoint Private Service Connect

Anda juga dapat menentukan jenis jaringan Google Cloud atau non-Google Cloud atau kombinasi jenis jaringan dan alamat IP atau nama instance VM untuk mengidentifikasi lokasi jaringan secara unik.

Protokol jaringan berikut didukung untuk VM, alamat IP, dan layanan yang dikelola Google:

• TCP
• UDP
• ICMP
• ESP
• AH
• SCTP
• IPIP

Protokol jaringan berikut didukung oleh konektor Akses VPC Serverless:

• TCP
• UDP

Port tujuan untuk protokol TCP atau UDP didukung. Jika Anda tidak menentukan port, setelan defaultnya adalah port 80.

Trace, langkah, dan status

Analisis konfigurasi berisi satu atau beberapa rekaman aktivitas. Setiap rekaman aktivitas mewakili satu jalur penerusan paket yang disimulasikan dan unik dalam pengujian.

• Setiap rekaman aktivitas berisi beberapa langkah yang diurutkan.
• Setiap langkah berisi status yang terkait dengan Google Cloud konfigurasi yang diperiksa oleh Uji Konektivitas untuk langkah tersebut.
• Status dikategorikan menjadi status non-final dan final.

Status non-final

Status non-final merepresentasikan pemeriksaan konfigurasi untuk setiap Google Cloud resource di jalur pengujian, seperti instance VM, endpoint, aturan firewall, rute, atau load balancer Google Cloud .

Ada empat status non-final:

• Inisial
• Pemeriksaan konfigurasi
• Penerusan
• Transisi

Untuk mengetahui informasi selengkapnya, lihat Status analisis konfigurasi.

Status final

Setiap rekaman aktivitas harus diakhiri dengan status akhir, yang merupakan langkah terakhir dalam rekaman aktivitas.

Ada empat kemungkinan status akhir:

• Drop
• Abort
• Forward
• Deliver

Setiap status memiliki alasan yang terkait dengannya. Untuk mengetahui informasi selengkapnya, lihat detail untuk setiap status akhir.

Hasil jangkauan keseluruhan

Analisis konfigurasi juga memberikan hasil keterjangkauan keseluruhan yang dapat mengambil salah satu dari empat nilai: Reachable, Unreachable, Ambiguous, atau Undetermined.

Mengetahui hasil keseluruhan jangkauan dapat membantu menyiapkan pemantauan atau otomatisasi.

Untuk mengetahui informasi selengkapnya, lihat Hasil keterjangkauan keseluruhan.

Pemeriksaan spoofing

Uji Konektivitas melakukan pemeriksaan spoofing saat paket simulasi ke atau dari instance VM menggunakan alamat IP yang tidak dimiliki oleh instance tersebut. Alamat IP yang dimiliki VM mencakup semua alamat IP internal VM dan alamat IP sekunder.

Jika alamat tersebut adalah alamat yang tampaknya berasal dari traffic eksternal, yang juga disebut alamat asing, alamat IP akan gagal dalam pemeriksaan spoof.

Metadata

Setiap status dapat memiliki metadata yang terkait dengannya dalam bentuk kolom Info. Misalnya, InstanceInfo berisi detail untuk instance VM, termasuk nama dan alamat IP.

Analisis konfigurasi menyediakan metadata untuk pengujian itu sendiri dan metadata untuk setiap langkah dalam pengujian.

Cara kerja analisis bidang data live

Mekanisme penyelidikan untuk analisis bidang data live tidak melibatkan OS tamu dan sepenuhnya transparan bagi pengguna. Probe disuntikkan atas nama endpoint sumber ke jaringan dan dihentikan tepat sebelum dikirim ke endpoint tujuan. Probe dikecualikan dari penagihan jaringan reguler, metrik telemetri, dan log alur.

Langkah berikutnya

• Peran dan izin

• Membuat dan menjalankan Uji Konektivitas

• Menggunakan Uji Konektivitas untuk berbagai kasus penggunaan konektivitas

• Mendeteksi konfigurasi yang tidak valid atau tidak konsisten

• Mengidentifikasi dan memperbaiki masalah ICMP (tutorial)

• Memecahkan masalah Uji Konektivitas