Prueba la conectividad dentro de las redes de VPC

Un caso de uso común de las pruebas de conectividad es realizar pruebas entre dos instancias de máquina virtual (VM) de Compute Engine en las mismas redes de nube privada virtual (VPC) o en las que se intercambió tráfico.

Para ello, las pruebas de conectividad evalúan la accesibilidad analizando la configuración y el plano de datos activo. Para analizar la configuración, las pruebas de conectividad identifican y evalúan una ruta de seguimiento.

En los diagramas de seguimiento de esta página, se usan los símbolos que se describen en la siguiente leyenda.
Símbolo Nombre Significado
Diamante gris
Leyenda para el diagrama de seguimiento de paquetes: diamante gris.
Punto de control Es un punto de decisión en el que las pruebas de conectividad verifican un parámetro de configuración y deciden si un paquete de seguimiento se debe reenviar, entregar o descartar.
Rectángulo azul
Leyenda para el diagrama de seguimiento de paquetes: rectángulo azul.
Salto Es un paso en la ruta de reenvío de un paquete de seguimiento, que representa un recurso de Google Cloud que reenvía un paquete al próximo salto en una red de VPC (por ejemplo, a un proxy de Cloud Load Balancing o un túnel de Cloud VPN).
Hexágono naranja
Leyenda para el diagrama de seguimiento de paquetes: hexágono naranja.
Extremo Es el origen o el destino de un paquete de seguimiento.

En el diagrama siguiente, se muestra la ruta de la traza habitual entre dos instancias de VM. El objeto Match routes puede representar rutas que dirigen el tráfico en una sola red de VPC o entre dos redes de VPC con intercambio de tráfico.

Traza de VM de origen a VM de destino.
Traza de VM de origen a VM de destino (haz clic para ampliar).

En los pasos siguientes, se describen los puntos de control que corresponden a cada punto del diagrama de la traza. La verificación puede fallar en cualquier punto de control. En los resultados de la consulta, se muestra el motivo de cada falla. Para ver una lista completa de los mensajes y los estados de la prueba, consulta los estados de los análisis de configuración.

  1. Las pruebas de conectividad verifican que la VM de origen pueda enviar paquetes de salida con la dirección IP de origen especificada o que, de lo contrario, pueda ejecutar el proceso de comprobación de falsificación de identidad de forma predeterminada.

  2. Las pruebas de conectividad realizan una verificación de falsificación de identidad cuando un paquete simulado desde o hacia una instancia de VM usa una dirección IP que no es propiedad de esa instancia. Las direcciones IP que pertenecen a una VM incluyen todas las direcciones IP internas de la VM y las direcciones IP secundarias.

    Si la dirección es una dirección que parece originarse en el tráfico externo, también llamada dirección extranjera, entonces la dirección IP no pasa la verificación de falsificación de identidad.

  3. Para determinar si se pueden enviar paquetes de traza desde el origen, las pruebas de conectividad verifican que haya reglas de firewall de salida adecuadas. Como parte de este proceso, las pruebas de conectividad empiezan por evaluar cualquier regla de política de firewall jerárquica que exista. Para obtener detalles sobre cómo las reglas de políticas de firewall jerárquicas y las reglas de firewall de VPC afectan la conectividad, consulta Ejemplos de políticas jerárquicas de firewall.

  4. Las pruebas de conectividad encuentran (hacen coincidir) una ruta para la dirección IP de destino según el orden de enrutamiento. Si no hay otras rutas disponibles para la instancia de VM de destino, las pruebas de conectividad usan la ruta estática predeterminada con el próximo salto como la puerta de enlace de Internet. Todas las redes de VPC usan esta ruta predeterminada, a menos que la hayas quitado.

  5. Las pruebas de conectividad verifican que las reglas de firewall de entrada de la red permitan que el paquete llegue a la VM de destino. Una vez más, las pruebas de conectividad empiezan por evaluar las reglas de políticas de firewall jerárquicas que existen.

  6. Si es necesario, las pruebas de conectividad ejecutan una comprobación de falsificación de identidad en el paquete que llega a la segunda VM.

  7. Las pruebas de conectividad verifican que la VM de destino pueda recibir un paquete con la dirección IP de destino especificada. Si esta dirección es una dirección IP externa, la VM de destino debe tener habilitado el reenvío de IP. Una dirección IP externa es una dirección que no pertenece a la VM.

En la siguiente captura de pantalla de la consola de Google Cloud , se muestran los resultados de una prueba de VM a VM.

El análisis de configuración muestra el resultado Es posible que se haya entregado el paquete. En la respuesta de la API, esta etiqueta corresponde a un estado final de Deliver.

En este resultado, se muestra que el análisis de configuración validó la conectividad de red para cada recurso de Google Cloud en la ruta de acceso de la VM de origen a la VM de destino. En este caso, la ruta incluía dos reglas de firewall de VPC: una regla de firewall de VPC implícita (llamada default) y una que se creó para esta red de VPC.

Además, las pruebas de conectividad verificaron de forma dinámica que se puede acceder a la VM de destino con el sondeo activo. En el campo Resultado de la última transmisión de paquetes, se muestran los detalles de este resultado.

Captura de pantalla de la consola deGoogle Cloud para la traza de VM a VM.
Captura de pantalla de la consola deGoogle Cloud para la traza de VM a VM (haz clic para ampliar)

Puedes expandir cada una de las tarjetas en la ruta de la traza para ver más detalles.

En el ejemplo siguiente, se muestra una tarjeta expandida para una regla de firewall de entrada. Esta tarjeta incluye información sobre la red de VPC, la acción configurada para la regla de firewall (permitir) y la prioridad de la regla.

Tarjeta de la regla de firewall de entrada expandida.
Tarjeta de la regla de firewall de entrada expandida (haz clic para ampliar)

Cuando una traza contiene una ruta de red de VPC con el próximo salto como una red de VPC con intercambio de tráfico, el inicio de la traza no es una instancia de VM, sino una red de VPC. Este tipo de traza valida las rutas y las reglas de firewall a nivel de red, ya que la dirección IP que pruebas proviene de un rango de red y no de una instancia de VM.

Las redes con intercambio de tráfico pueden existir en el mismo proyecto o en proyectos diferentes. En el siguiente ejemplo de traza, se muestran redes con intercambio de tráfico en proyectos diferentes.

Traza de VM a VM a través de una red de VPC accesible con intercambio de tráfico en un proyecto diferente.
Traza de VM a VM a través de una red de VPC accesible con intercambio de tráfico en un proyecto diferente (haz clic para ampliar)

Pruebas fallidas de redes de VPC

En la tabla siguiente, se enumeran los errores comunes de las pruebas dentro de las redes de VPC.

Tipo de error Descripción Resultados de la traza
Bloqueado por una regla de firewall Una regla de política de firewall jerárquica o una regla de firewall de VPC bloquean el tráfico que sale de un extremo de origen o que ingresa a un extremo de destino.
  • Si una regla de política de firewall jerárquica bloquea la conectividad, la traza incluirá el nombre de la política. Es posible que la persona que ejecuta la prueba no tenga permiso para ver los detalles de la política. Para obtener más detalles sobre esta situación, consulta Soluciona problemas de la política de firewall jerárquica.
  • Si una regla de firewall de VPC bloquea la conectividad, la traza incluirá en una lista el nombre de la regla de firewall de entrada o salida correspondiente.
No hay rutas que coincidan No se pudo encontrar una ruta al extremo de destino.
  • Si las instancias de VM de origen y destino se encuentran en redes de VPC diferentes y esas redes no intercambian tráfico, el análisis determina que es posible que se descarte el paquete.
  • Si las VMs están en la misma red, pero no se encuentra una ruta que coincida, el tráfico se envía a través de la ruta estática predeterminada, con un próximo salto a la puerta de enlace de Internet. En este caso, el tráfico nunca llega a la VM de destino, y el análisis determina que es posible que se haya perdido el paquete.
  • Si no hay una ruta a una puerta de enlace de Internet, el análisis determina que es posible que se descarte el paquete.
La instancia no se ejecuta La instancia de VM de destino existe, pero no se encuentra en un estado de ejecución. El análisis determina que es posible que se descarte el paquete.
Próximo salto no válido El próximo salto configurado para una instancia de VM ya no existe, y la ruta a ella no es válida. El análisis determina que es posible que se descarte el paquete.

En la siguiente captura de pantalla, se muestra una traza que falló porque la conectividad se bloqueó con una regla de política de firewall jerárquica de entrada.

Captura de pantalla de la consola deGoogle Cloud de una traza que se bloqueó debido a una regla de política de firewall jerárquica.
Captura de pantalla de la consola deGoogle Cloud de una traza que se bloqueó debido a una regla de política de firewall jerárquica (haz clic para agrandar)

Pruebas fallidas de redes de VPC compartidas

En las redes de VPC compartidas, no tener permisos para el proyecto host o el de servicio puede generar las pruebas fallidas incluidas en la tabla siguiente.

Tipo de error Comportamiento Resultados de la traza
Permisos solo para el proyecto host No puedes ejecutar la traza porque no tienes los permisos para el proyecto de servicio en el que se encuentra la dirección IP de destino. El análisis de configuración muestra el resultado Se anuló el análisis de configuración. En la respuesta de la API, esta etiqueta corresponde a un estado final de Abort.
Permisos solo para el proyecto de servicio

No puedes ejecutar la traza ni elegir la red del proyecto host en la consola de Google Cloud porque no tienes permiso.

Debido a que el proyecto host posee parámetros de configuración de red, la traza de los recursos del proyecto de servicio no puede continuar si no tiene acceso a reglas de firewall de VPC, rutas de red o direcciones IP en el proyecto host.

 El resultado de accesibilidad general es Undetermined, ya que las pruebas de conectividad no pueden determinar si el paquete se puede entregar al destino.

Pruebas fallidas de redes de intercambio de tráfico entre redes de VPC

Con el intercambio de tráfico entre redes de VPC, no tener permiso para el proyecto Google Cloud de la red peered desde la red primary puede provocar el resultado de la prueba incluido en la tabla siguiente.

Tipo de error Comportamiento Resultados de la traza
No tienes permisos para configurar el proyecto en la red de VPC con intercambio de tráfico. Las pruebas de conectividad solo pueden analizar los parámetros de configuración en el proyecto de la red principal. El análisis de configuración muestra el resultado Es posible que se reenvíe el paquete. Este resultado indica que un paquete dejará la red y se enviará a una red a la que no tienes acceso. En este caso, el paquete se reenvió a una puerta de enlace de red con intercambio de tráfico. En la respuesta de la API, este estado corresponde a un estado final de Forward.

En la siguiente ruta de la traza, se muestra el estado de reenvío de las redes de VPC con intercambio de tráfico.

Traza de VM a VM a través de una red de VPC inaccesible con intercambio de tráfico en un proyecto diferente.
Traza de VM a VM a través de una red de VPC inaccesible con intercambio de tráfico en un proyecto diferente (haz clic para ampliar)

¿Qué sigue?