זיהוי הגדרות לא תקינות

בעזרת הכלי Network Analyzer אפשר לזהות הגדרות שלא פועלות כמצופה. הגדרות לא תקינות יכולות לנבוע משגיאות בהגדרה או מרגרסיות שנגרמות משינויים אחרים. כשצוותים שונים אחראים על השירותים שמושפעים מהגדרה לא תקינה כזו, קשה לפתור את הבעיות האלה. גילוי כשלים כאלה בזמן שהם קורים וזיהוי שורשי הבעיות יכולים לעזור בפתרון בעיות מהיר ובתקשורת יעילה בין צוותים שונים.

שגיאות בהגדרות בגלל חומות אש חוסמות

שגיאות בהגדרת חומת האש שחוסמות שירותים יכולות לקרות במהלך ההגדרה הראשונית או אחריה. Google Cloud

במהלך ההגדרה הראשונית

אלה כמה שגיאות נפוצות בחומת האש שמונעות את הפעולה של שירותים: Google Cloud

  • הגדרת חומת האש חסרה. לדוגמה, חומת האש של בדיקת תקינות מאזן העומסים לא הוגדרה.
  • שגיאות הקלדה בתהליך ההגדרה הידנית שגורמות להגדרות פגומות.
  • הגדרה לא עקבית שנגרמת בגלל תגי VM חסרים. לדוגמה, אתם מגדירים את כלל חומת האש עם תגי המכונות הווירטואליות הצפויים, אבל חלק מהמכונות הווירטואליות של השרת העורפי לא שויכו לתג הספציפי.

אחרי ההגדרה הראשונית

שינוי לא מכוון בהגדרות חומת האש עלול לגרום לשירות שפעל בצורה תקינה להפסיק לפעול. לדוגמה, יכול להיות שתיצרו בטעות כלל דחייה בחומת האש עם עדיפות גבוהה יותר, שיחסום את הקישוריות לשירותי GKE או Cloud SQL.

תרחיש: חומת האש של בדיקת התקינות לא מוגדרת למאזן העומסים

בדוגמה הזו, הכלי Network Analyzer מדווח על תובנה בקטגוריה load balancer insights (תובנות לגבי איזון עומסים) מסוג health check firewall is not configured (חומת האש של בדיקת התקינות לא מוגדרת). בדף פרטי התובנה מוצג כלל ברירת המחדל לסירוב תעבורת נתונים נכנסת ברשת שבה מאזן העומסים מוגדר. כלל הדחייה של תעבורת נתונים נכנסת (ingress) חוסם את טווח בדיקת תקינות. המשמעות היא שלא הוגדרו בקצה העורפי של מאזן העומסים כללי חומת אש שמאפשרים את טווח בדיקות התקינות.

מגדירים את כלל חומת האש של בדיקת התקינות כך שיאפשר באופן מפורש לטווח של בדיקת התקינות לגשת לשרתים העורפיים של מאזן העומסים.

תרחיש: קישוריות מצומת GKE למישור הבקרה נחסמת על ידי כלל חומת אש

בדוגמה הזו, נוצר תובנה ששייכת לקטגוריה GKE node connectivity insights מהסוג GKE node to control plane connectivity.

בדף הפרטים של התובנה מוצג שכלל חומת אש דוחה את החיבור מצומת GKE למישור הבקרה באשכול. הבעיה הזו נובעת מכלל שחוסם את הגישה. כדי לפתור את הבעיה, צריך להסיר את הכלל הזה או להגדיר כלל עם עדיפות גבוהה יותר שמאפשר גישה.

שגיאות בהגדרת הניתוב

מסלולים עם קפיצות לא חוקיות יכולים לגרום לאובדן חלקי או מלא של תנועה. האובדן הזה יכול לקרות אם יש מסלולים למכונות וירטואליות של הנתב הבא שלא פועלות או שנמחקו.

שינויים בהגדרות שעלולים לגרום לשינוי לא מכוון בניווט כוללים את התרחישים הבאים:

  • הוספה של רשת משנה חדשה עם טווחי כתובות IP שחופפים למסלול דינמי, גורמת להצללה של המסלול הדינמי, וזה עלול להוביל לירידה בתנועה.
  • הוספה של נתיב ברירת מחדל חדש דרך VPN עלולה לגרום לצווארי בקבוק בקיבולת, שישפיעו על ביצועי הרשת.

תרחיש: ה-VM בקפיצה הבאה נמחק

בדוגמה הזו, תובנה מהקטגוריה של מסלולים עם קפיצות לא תקפות לשלב הבא עם הסוג VM is deleted מופיעה.

בדף פרטי התובנה מוצג שהמכונה הווירטואלית של הקפיצה הבאה במסלול הזה נמחקה, ולכן המסלול הזה מדווח כלא תקין.

מוחקים את המסלול או יוצרים מכונה וירטואלית חדשה שתשמש כנקודת הקפיצה הבאה של המסלול. שינוי בהגדרות שעלול לגרום לתובנה הזו מוצג בדף פרטי התובנה. לוחצים על הקישור כדי לעבור לדף Cloud Logging ולראות את פרטי ההגדרה, כמו המשתמש שביצע את השינוי ושעת השינוי.

תרחיש: המסלול הדינמי מוצל

בדוגמה הזו, נוצרת תובנה מהקטגוריה shadowed dynamic routes insights מהסוג fully shadowed by peering subnet route.

בדף הפרטים של התובנות הזה מוצג שדרך דינמית שיובאה מהרשת המקבילה עם רשת הקישור בין רשתות שכנות (peering) של הצעד הבא dynamic-routes מוצלת. טווח כתובות ה-IP של הנתיב הדינמי חופף לנתיב של תת-רשת חדשה, ולכן הוא מוצלל לחלוטין. תעבורת נתונים שמועברת לרשת הקישור בין רשתות שכנות (peering) לטווח כתובות ה-IP הזה מועברת לרשת משנה ברשת ה-VPC.