Network Analyzer te permite detectar parámetros de configuración que no funcionan como se espera. Estos parámetros de configuración no válidos pueden deberse a algunos errores de configuración o regresiones causadas por otros cambios. Cuando diferentes equipos son propietarios de los servicios afectados por esa configuración no válida, puede ser difícil solucionar estos problemas. Descubrir estos errores a medida que ocurren y, también, identificar las causas raíz puede ayudar a solucionar problemas de forma más rápida y a lograr una comunicación eficaz entre los diferentes equipos.
Errores de configuración debido al bloqueo de firewalls
Los errores de configuración de firewall que bloquean los servicios de Google Cloud pueden ocurrir durante la configuración inicial o luego de esta.
Durante la configuración inicial
Estos son algunos de los errores comunes de firewall que bloquean el funcionamiento de los servicios de Google Cloud :
- Falta la configuración del firewall. Por ejemplo, no se configuró el firewall de verificación de estado del balanceador de cargas.
- Errores tipográficos en el proceso de configuración manual que da como resultado una configuración incorrecta.
- Configuración incoherente a causa de etiquetas de VM faltantes. Por ejemplo, se configura la regla de firewall con las etiquetas de VM de destino esperadas, pero algunas de las VMs de backend no se asociaron con la etiqueta específica.
Después de la configuración inicial
Un cambio de configuración de firewall no deseado puede interrumpir un servicio que está funcionando de forma correcta. Por ejemplo, se puede crear de forma involuntaria una regla de denegación de firewall de mayor prioridad que bloquea la conectividad a los servicios de GKE o Cloud SQL.
Situación: el firewall de verificación de estado no está configurado para el balanceador de cargas
En este ejemplo, Network Analyzer informa una estadística en la categoría de Estadísticas del balanceador de cargas de tipo No se configuró el firewall de verificación de estado. La página de detalles de las estadísticas muestra la regla de denegación de entrada implícita en la red en la que se configura el balanceador de cargas. La regla de denegación de entrada bloquea el rango de verificación de estado. Esto indica que los backends del balanceador de cargas no tienen reglas de firewall configuradas para permitir el rango de verificación de estado.
Configura la regla de firewall de verificación de estado para que permita de forma explícita que el rango de verificación de estado acceda a los backends del balanceador de cargas.
Situación: la conectividad del nodo de GKE al plano de control se encuentra bloqueada por una regla de firewall
En este ejemplo, se genera una estadística que pertenece a la categoría de Estadísticas de conectividad del nodo de GKE de tipo Conectividad del nodo de GKE al plano de control.
En la página de detalles de la estadística, se muestra que una regla de firewall deniega la conexión del nodo de GKE al plano de control en un clúster. Este problema se debe a una regla de denegación. Quita esta regla o configura una regla de permiso con una prioridad más alta para resolver el problema.
Errores de configuración de enrutamiento
Las rutas con próximos saltos no válidos pueden causar una pérdida de tráfico parcial o total. Esta pérdida puede deberse a la existencia de rutas a las VMs de próximo salto que no están en ejecución o se borraron.
Entre los cambios de configuración que pueden causar un cambio no deseado en el enrutamiento se incluyen las siguientes situaciones:
- Agregar una subred nueva con rangos de direcciones IP que se superpongan con una ruta dinámica, lo que genera un bloqueo de la ruta dinámica y puede causar que el tráfico disminuya.
- Agregar una ruta predeterminada nueva por una VPN puede provocar cuellos de botella de capacidad que afecten el rendimiento de la red.
Situación: se borró la VM del próximo salto
En este ejemplo, aparece una estadística de la categoría de rutas con próximos saltos no válidos con el tipo Se borró la VM.
En la página de detalles de la estadística, se muestra que se borró la VM de próximo salto en esta ruta, por lo que esta ruta se señala como no válida.
Borra la ruta o crea una instancia de VM nueva para que se use como el próximo salto de la ruta. En la página de detalles de la estadística, se muestra un cambio de configuración que podría causar esta estadística. Haz clic en el vínculo para ir a la página de Cloud Logging y ver los detalles de la configuración, como el usuario que realizó el cambio y la hora en la que este se produjo.
Situación: Se bloqueó la ruta dinámica
En este ejemplo, se genera una estadística de la categoría estadísticas de rutas dinámicas bloqueadas del tipo bloqueo completo por una ruta de subred de intercambio de tráfico.
En esta página de detalles de estadísticas, se muestra que una ruta dinámica importada aprendida del intercambio de tráfico de red con rutas dinámicas de red de intercambio de tráfico de próximo salto se encuentra bloqueada. El rango de direcciones IP de la ruta dinámica se superpone con una ruta de subred nueva y, por lo tanto, se bloquea por completo. El tráfico que se dirige a la red de intercambio de tráfico a este rango de direcciones IP se reenvía a una subred en la red de VPC.