El análisis de configuración de una prueba de conectividad pasa por una serie de estados de prueba a medida que verifica la configuración de cada recurso de Google Clouden una ruta de acceso a la red de un origen a un destino designados. Usa esta referencia para interpretar estos estados.
Para obtener más información sobre las pruebas de conectividad, incluidos los detalles sobre el análisis del plano de datos en vivo, consulta la descripción general.
Estados de la prueba
El análisis de configuración de una prueba de conectividad proporciona datos para los estados de prueba que se indican a continuación en el orden enumerado:
- Estado inicial
- Estado de verificación de la configuración
- Estado de reenvío
- Estado de transición
- Estado especial
- Estado final
- Resultado general de accesibilidad
Algunos de estos estados aparecen en cada traza, mientras que otros solo aparecen cuando se prueba la configuración de un recurso de Google Cloud específico o se realiza una tarea determinada.
El estado final y el resultado de accesibilidad general proporcionan el resultado de la prueba más importante.
Además, este resultado puede incluir metadatos de los recursos de Google Cloud que están asociados a uno o más de los estados. Por ejemplo, la información sobre el nombre de una instancia de máquina virtual (VM) y la dirección IP.
Cómo el análisis de configuración evalúa la accesibilidad
El análisis de configuración simula un paquete de prueba a través de una ruta de acceso a la red verificando los parámetros de configuración de los recursos de Google Cloud presentes en esa ruta. Algunos ejemplos de parámetros de configuración de red no válidos incluyen una regla de reenvío de Cloud Load Balancing que no tiene backends o una ruta de red que no existe.
Durante el estado de verificación de la configuración, las pruebas de conectividad recopilan información sobre las rutas de red, como las rutas configuradas por el usuario, las rutas dinámicas basadas en anuncios de BGP o las rutas basadas en políticas. Luego, el análisis de configuración elige una ruta de red según la aplicabilidad y el pedido.
En el estado de verificación de la configuración, verified
significa que las pruebas de conectividad confirman que una configuración
es válida para el recurso deGoogle Cloud que se probó. La configuración permite que el
paquete de prueba simulado continúe a través de la ruta de red que se prueba.
Para las reglas de firewall de entrada y salida,
verified significa que el análisis de configuración confirma que la regla de firewall es válida
y que permite que el paquete de prueba simulado pase.
Si las pruebas de conectividad determinan que una configuración no es válida,
el paquete recibirá el estado final Drop.
Resultado general de accesibilidad
El análisis de configuración proporciona un resumen general del estado
de accesibilidad, también conocido como “resultado”. Los resultados pueden tener uno de cuatro
valores: Reachable, Unreachable, Ambiguous o Undetermined.
Tabla de valores
En la tabla siguiente, se describe el valor de cada tipo de resultado general de accesibilidad.
| Resultado general de accesibilidad | Descripción |
|---|---|
Reachable |
Hay dos situaciones posibles. En ambos casos,
las pruebas de conectividad no detectan ningún problema de configuración.
Por lo tanto, las dos situaciones se consideran Reachable.
|
Unreachable |
Se espera que el paquete proveniente del origen se descarte antes de que llegue
a su destino. El estado final de todas las trazas es
Drop. |
Ambiguous |
Este resultado se devuelve si los extremos de origen y destino no identifican
de manera inequívoca la ubicación de la prueba en la red y el resultado de
accesibilidad general contiene varias trazas con estados
mixtos En este caso, los estados finales entre varias trazas devuelven diferentes
estados finales. El resultado |
Undetermined |
No se pudo determinar la accesibilidad. El estado final de una traza
es No se puede determinar la accesibilidad del origen al destino por uno de los motivos que se indican a continuación:
|
Varias trazas
Cada análisis de configuración puede contener varias trazas, y es
posible que el estado final de estas no sea el mismo. Por ejemplo, un paquete para el
VIP de un balanceador de cargas de Google Cloud podría tener trazas n si hay instancias
de VM de backend n configuradas para el balanceador de cargas. Es posible que estas n trazas no tengan los mismos estados finales.
Debido a que un análisis puede producir varias trazas posibles, se cumplen las condiciones que se indican a continuación:
- Si hay un solo resultado de traza, el resultado de accesibilidad general es el mismo que el estado final de la traza.
- Si hay varios resultados de trazas, el resultado de accesibilidad general se calcula en función de la distribución de los estados finales contenidos en todas las trazas.
Metadatos de los resultados
Además del resultado de accesibilidad general de las trazas, el resultado de cada prueba contiene los metadatos que se indican a continuación:
- La hora a la que se verificó el estado de la prueba
- Los detalles del error de una prueba o de su cancelación
- Los detalles de cada traza
Los detalles del error de una prueba o de su cancelación se muestran como códigos
y mensajes en el resultado general de accesibilidad. Por ejemplo, una prueba con un estado
final de Abort podría mostrar un mensaje
de error como Failed to pull initial config. An internal error occurred..
Estado inicial
Durante el estado inicial, el análisis de configuración simula el comienzo desde un extremo de red.
| Mensaje | Descripción |
|---|---|
START_FROM_INSTANCE |
El paquete se originó en una instancia de Compute Engine.
Los metadatos de InstanceInfo
se propagaron a través de pruebas de conectividad. |
START_FROM_INTERNET |
El paquete se originó en Internet.
Los metadatos de EndpointInfo
se propagaron a través de pruebas de conectividad. |
START_FROM_PRIVATE_NETWORK |
El paquete se originó en una red de VPC o en una
red local con una dirección IP de origen interna. Si el origen
era una red de VPC visible para el usuario, los
metadatos de NetworkInfo
se propagaron con detalles de la red a través de pruebas de conectividad. |
START_FROM_CLOUD_FUNCTION |
El paquete se originó en una función de Cloud Run.
Los metadatos de CloudFunctionInfo
se propagaron a través de pruebas de conectividad. |
START_FROM_CLOUD_RUN_REVISION |
El paquete se originó en una revisión de un
servicio de Cloud Run.
Los metadatos de CloudRunRevisionInfo
se propagaron a través de pruebas de conectividad. |
START_FROM_APP_ENGINE_VERSION |
El paquete se originó en una versión de un servicio del entorno estándar de App Engine.
Los metadatos de AppEngineVersionInfo
se propagaron a través de pruebas de conectividad. |
Estado final
Hay cuatro estados finales: Drop, Abort,
Forward y Deliver. Cada una de las
secciones siguientes tiene una tabla que contiene los mensajes y las descripciones de cada
estado.
Descarte
Las pruebas de conectividad descartaron el paquete de prueba simulada debido a que el destino de la prueba era inaccesible por los motivos siguientes.
| Mensaje | Descripción |
|---|---|
UNKNOWN_EXTERNAL_ADDRESS |
No se puede resolver la dirección externa de destino en un destino conocido. |
FOREIGN_IP_DISALLOWED |
La instancia de VM solo puede enviar o recibir un paquete
con una dirección IP externa si ip_forward está habilitado. En otras
palabras, la dirección IP externa falla en
una verificación de falsificación identidad. |
FIREWALL_RULE |
Se descartó debido a una regla de firewall, a menos que se haya permitido debido al seguimiento de conexión. Las pruebas de conectividad pueden denegar un paquete de prueba debido a que el paquete coincide con una regla de firewall de bloqueo. Sin embargo, el plano de datos real puede permitir que el paquete pase a causa del seguimiento de conexión de la regla de firewall. El seguimiento de conexión permite que los paquetes de una conexión existente regresen a pesar de la regla de firewall. |
NO_ROUTE |
Se descartó debido a la ausencia de rutas. |
ROUTE_BLACKHOLE |
Se descartó porque el próximo salto de la ruta coincidente no existe. |
ROUTE_WRONG_NETWORK |
El paquete se envió a la red incorrecta (no prevista), como se muestra en Detecta parámetros de configuración no válidos o inconsistentes. |
PRIVATE_TRAFFIC_TO_INTERNET |
Se envió un paquete con una dirección de destino interna a una puerta de enlace de Internet. |
PRIVATE_GOOGLE_ACCESS_DISALLOWED |
Una instancia de VM con una sola dirección IP interna intentó acceder a una API o a un servicio de Google, pero el Acceso privado a Google no estaba habilitado. |
NO_EXTERNAL_ADDRESS |
Una instancia de VM con una sola dirección IP interna intentó acceder a hosts externos a través de una ruta cuyo próximo salto es la puerta de enlace de Internet predeterminada. Esto es de esperar cuando Cloud NAT no está habilitado en la subred o cuando no hay otra ruta predeterminada cuyo próximo salto sea de un tipo diferente (como una VM de proxy). |
UNKNOWN_INTERNAL_ADDRESS |
No se pudo resolver una dirección interna de destino en un destino conocido. |
FORWARDING_RULE_MISMATCH |
El protocolo y los puertos de una regla de reenvío no coincidían con el encabezado del paquete, o el paquete no se origina o no está dirigido a la misma región que el balanceador de cargas regional. |
FORWARDING_RULE_NO_INSTANCES |
Una regla de reenvío no tiene backends configurados. |
FIREWALL_BLOCKING_LOAD_BALANCER_BACKEND_HEALTH_CHECK |
Una regla de firewall bloqueó los sondeos de verificación de estado de los backends y causó que los backends no estuvieran disponibles para el tráfico del balanceador de cargas. Como parte de la secuencia de prueba para Cloud Load Balancing,
el análisis de configuración verifica que se hayan
configurado las reglas de firewall existentes para permitir que se envíe un paquete
de sondeo de verificación de estado a los backends de Cloud Load Balancing. Esta
verificación de configuración da como resultado un estado |
INSTANCE_NOT_RUNNING |
Se envió un paquete desde o hacia una instancia de VM que no estaba en estado de ejecución. |
TRAFFIC_TYPE_BLOCKED |
El tipo de tráfico se bloqueó y el usuario no pudo configurar una regla de firewall para habilitarlo. Para obtener más detalles, consulta Tráfico siempre bloqueado. |
GKE_MASTER_UNAUTHORIZED_ACCESS |
No se autorizó el acceso al extremo del plano de control de Google Kubernetes Engine. Para obtener detalles, consulta Accede a los extremos del clúster. |
DROPPED_INSIDE_GKE_SERVICE |
El paquete se descartó dentro del servicio de Google Kubernetes Engine. |
CLOUD_SQL_INSTANCE_UNAUTHORIZED_ACCESS |
No se autorizó el acceso al extremo de la instancia de Cloud SQL. Para obtener más información, consulta Autoriza con redes autorizadas. |
DROPPED_INSIDE_CLOUD_SQL_SERVICE |
El paquete se descartó dentro del servicio de Cloud SQL. |
GOOGLE_MANAGED_SERVICE_NO_PEERING |
El paquete se descartó porque no hay intercambio de tráfico entre la red de origen y la red de servicios administrados por Google. |
CLOUD_SQL_INSTANCE_NO_IP_ADDRESS |
El paquete se descartó porque la instancia de Cloud SQL no tiene una dirección IP privada ni pública. |
PSC_CONNECTION_NOT_ACCEPTED |
El paquete se descartó porque no se aceptó la conexión al servicio publicado que usa Private Service Connect. |
CLOUD_FUNCTION_NOT_ACTIVE |
El paquete se descartó porque la función de Cloud Run no está activa. |
VPC_CONNECTOR_NOT_SET |
El paquete se descartó porque el servicio del entorno estándar de App Engine, la función de Cloud Run o la revisión de Cloud Run no tienen configurado un conector de Acceso a VPC sin servidores. |
VPC_CONNECTOR_NOT_RUNNING |
El paquete se descartó porque el conector de Acceso a VPC sin servidores no se está ejecutando. |
CLOUD_RUN_REVISION_NOT_READY |
El paquete se descartó porque la revisión de Cloud Run no está lista y no puede entregar tráfico. |
Anular
El análisis de configuración se detuvo debido a la falta de información básica, como la falta de acceso a la configuración de red.
Este estado suele generarse cuando las pruebas de conectividad no tienen los permisos correctos para obtener la configuración del proyecto host de un proyecto de servicio, como se muestra en la tabla a continuación.
| Mensaje | Descripción |
|---|---|
UNKNOWN_NETWORK |
Se anuló debido a una red desconocida. El análisis no puede continuar porque, en una red de VPC compartida, el usuario que ejecuta la prueba no tiene acceso a los parámetros de configuración de red del proyecto host, incluidas las reglas de firewall y las rutas. Ejecutar una prueba de conectividad requiere que el usuario que ejecuta la prueba pueda leer los parámetros de configuración para recursos como las rutas del proyecto host. Esto sucede porque los recursos de red se asignan en el proyecto host, pero los recursos reales existen en el proyecto de servicio. |
UNKNOWN_IP |
El análisis se anuló porque no se conocen las direcciones IP que se requieren para realizarlo. Esto se debe a una entrada incorrecta del usuario o a que el análisis de configuración no pudo determinar un extremo válido basado en los parámetros de entrada proporcionados. En una red de VPC compartida, el usuario que ejecuta la prueba no tiene acceso a los parámetros de configuración de red del proyecto host. Este acceso es necesario para realizar la prueba con base en las direcciones IP del proyecto de servicio. |
UNKNOWN_PROJECT |
El análisis se anuló porque no se derivó información sobre el proyecto de la entrada de la prueba de conectividad. Esto se debe a una entrada incorrecta del usuario o, en función de los parámetros de entrada proporcionados, el análisis no pudo determinar un proyecto válido. |
PERMISSION_DENIED |
El análisis se anuló debido a que el usuario no tenía el permiso para acceder a todos los parámetros de configuración de red necesarios para ejecutar la prueba o a algunos de ellos. |
NO_SOURCE_LOCATION |
El análisis se anuló porque no se pudo derivar un extremo de origen válido de la entrada de prueba. Esto se debe a una entrada incorrecta del usuario o, en función de los parámetros de entrada proporcionados, el análisis no pudo determinar un extremo de origen válido. |
INVALID_ARGUMENT |
El análisis se anuló porque el extremo de origen o destino especificados en la entrada de la prueba no eran válidos. Entre los posibles motivos de este mensaje, se incluyen los siguientes:
|
NO_EXTERNAL_IP |
El análisis se anuló porque se envió tráfico desde una dirección IP pública a una instancia de VM que no tenía una dirección IP externa. |
UNINTENDED_DESTINATION |
El análisis se anuló porque ninguna de las trazas pudo coincidir con la información de destino especificada en la entrada de la prueba. |
TRACE_TOO_LONG |
El análisis se anuló porque la cantidad de pasos de la traza superó un límite determinado. Este problema puede deberse a un bucle de enrutamiento. |
INTERNAL_ERROR |
Se anuló debido a un error interno del servidor. |
SOURCE_ENDPOINT_NOT_FOUND |
Se anuló porque no se pudo encontrar el extremo de origen. |
MISMATCHED_SOURCE_NETWORK |
Se anuló porque la red de origen no coincide con el extremo de origen. |
DESTINATION_ENDPOINT_NOT_FOUND |
Se anuló porque no se pudo encontrar el extremo de destino. |
MISMATCHED_DESTINATION_NETWORK |
Se anuló porque la red de destino no coincide con el extremo de destino. |
Reenvío
El análisis se detuvo en un extremo específico y no pudo continuar debido a los motivos que se indican a continuación:
- El análisis se completó de forma parcial en función de los parámetros de configuración para los que el usuario tiene permiso.
- El paquete de prueba se reenvió a una red con una configuración desconocida.
- El destino de la prueba no se descartó según la configuración conocida, y el paquete de prueba se reenvió a una red en la que las pruebas de conectividad no tienen visibilidad.
| Mensaje | Reenviado |
|---|---|
PEERING_VPC |
A una red de VPC de intercambio de tráfico |
VPN_GATEWAY |
A una puerta de enlace de Cloud VPN |
INTERCONNECT |
A una conexión de Cloud Interconnect |
GKE_MASTER |
A un plano de control de GKE |
IMPORTED_CUSTOM_ROUTE_NEXT_HOP |
Al próximo salto de una ruta personalizada importada desde una red de VPC con intercambio de tráfico |
CLOUD_SQL_INSTANCE |
A una instancia de Cloud SQL |
Entrega
El análisis pudo alcanzar el destino y entregar el paquete de prueba simulado.
Un estado final de Deliver no garantiza que el tráfico pueda pasar a través del plano
de datos. El propósito del análisis es validar los problemas de configuración
que podrían causar una disminución del tráfico.
| Mensaje | Destino |
|---|---|
INSTANCE |
Una instancia de VM de Compute Engine |
INTERNET |
El Internet |
GOOGLE_API |
Una API de Google |
GKE_MASTER |
Un plano de control de GKE |
CLOUD_SQL_INSTANCE |
Una instancia de Cloud SQL |
PSC_GOOGLE_API |
Todas las APIs y los servicios de Google que usan Private Service Connect |
PSC_VPC_SC |
Los Controles del servicio de VPC que usan Private Service Connect |
PSC_PUBLISHED_SERVICE |
Un servicio publicado que usa Private Service Connect |
Metadatos
El análisis de configuración muestra los metadatos que se indican a continuación para el estado final.
| Nombre de los metadatos | Descripción |
|---|---|
AbortInfo |
Es la causa de un estado final de Abort y el URI del recurso
que causó ese estado. |
DropInfo |
Es la causa de un estado final de Drop y el URI del recurso
que causó ese estado. |
ForwardInfo |
Es el tipo de destino y el URI de recurso de destino al que se reenvió
finalmente un paquete de prueba (estado final Forward). |
Otros estados
Antes de que el paquete de prueba llegue a uno de los estados finales, pasa por los siguientes estados intermedios: estado de verificación de la configuración, estado de reenvío, estado de transición y estado especial.
Estado de verificación de la configuración
Durante el estado de verificación de la configuración, las pruebas de conectividad comprueban la configuración de los recursos de Google Cloud en la ruta de red simulada y verifican que la configuración de recursos sea válida y que permita que el paquete de prueba simulado continúe a través de la ruta de acceso a la red.
Si es necesario, el análisis de configuración realiza una verificación de falsificación de identidad.
| Mensaje | Descripción |
|---|---|
APPLY_INGRESS_FIREWALL_RULE |
Es la regla de firewall de entrada verificada. |
APPLY_EGRESS_FIREWALL_RULE |
Es la regla de firewall de salida verificada. |
APPLY_ROUTE |
Es la ruta verificada. |
APPLY_FORWARDING_RULE |
Es la regla de reenvío coincidente. |
SPOOFING_APPROVED |
El paquete permitido se envió o recibió en una dirección IP externa. Para obtener más detalles, consulta Verificación de falsificación de identidad. |
Estado de reenvío
Durante el estado de reenvío, las pruebas de conectividad simulan un paquete que llega a un recurso de Google Cloud intermedio en la ruta de acceso a la prueba (por ejemplo, un paquete que llega a una puerta de enlace de Cloud VPN o un balanceador de cargas deGoogle Cloud ).
| Mensaje | Descripción |
|---|---|
ARRIVE_AT_INSTANCE |
Llegó a una instancia de VM de Compute Engine. |
ARRIVE_AT_INTERNAL_LOAD_BALANCER |
Llegó a un balanceador de cargas de Google Cloud que usa una dirección IP privada como VIP. |
ARRIVE_AT_EXTERNAL_LOAD_BALANCER |
Llegó a la dirección IP pública de un balanceador de cargas de Google Cloud . |
ARRIVE_AT_VPN_GATEWAY |
Llegó a una puerta de enlace de Cloud VPN. |
ARRIVE_AT_VPN_TUNNEL |
Llegó a un túnel de Cloud VPN. |
ARRIVE_AT_VPC_CONNECTOR |
Llegó a un conector de Acceso a VPC sin servidores. |
Estado de transición
Durante el estado de transición, las pruebas de conectividad verifican los parámetros de configuración simulados en los que se cambia un paquete (por ejemplo, en los que Cloud NAT traduce un encabezado de paquete o cuando un proxy de balanceo de cargas de Google Cloud finaliza y reinicia una sesión de TCP de entrada en instancias de VM).
| Mensaje | Descripción |
|---|---|
NAT |
Se tradujo el encabezado del paquete. |
PROXY_CONNECTION |
Se finalizó la conexión original y se inició una nueva conexión con proxy. |
Estado especial
En este estado, un visualizador de pruebas no tiene permiso para ver uno o más recursos deGoogle Cloud . Para obtener más información, consulta Permisos de prueba.
| Nombre de los metadatos | Descripción |
|---|---|
VIEWER_PERMISSION_MISSING |
El visualizador del resultado de la prueba no tiene permiso para ver la configuración del recurso de Google Cloud en este paso. |
Metadatos de recursos
Las pruebas de conectividad muestran los metadatos siguientes para los parámetros de configuración de recursos deGoogle Cloud que verifican.
| Nombre de los metadatos | Descripción |
|---|---|
EndpointInfo |
Son los extremos que se usaron para la prueba. Las pruebas de conectividad
obtienen EndpointInfo de los extremos de origen y destino y validan
la información a través del modelo del plano de datos. |
FirewallInfo |
Son los metadatos asociados a una regla de firewall. |
ForwardingRuleInfo |
Son los metadatos asociados a una regla de reenvío de VPC. |
InstanceInfo |
Son los metadatos asociados a una instancia de VM de Compute Engine. |
LoadBalancerInfo |
Son los metadatos asociados a un balanceador de cargas de Google Cloud . |
NetworkInfo |
Son los metadatos asociados a una red de VPC. |
RouteInfo |
Son los metadatos asociados a una ruta de red de VPC. |
AppEngineVersionInfo |
Son los metadatos asociados a una versión de un servicio del entorno estándar de App Engine. |
CloudRunRevisionInfo |
Son los metadatos asociados a una revisión de Cloud Run. |
CloudFunctionInfo |
Son los metadatos asociados a una función de Cloud Run. |
VpcConnectorInfo |
Son los metadatos asociados a un conector de Acceso a VPC sin servidores. |
¿Qué sigue?
- Obten más información sobre las pruebas de conectividad.
- Soluciona problemas relacionados con las pruebas de conectividad.