El análisis de configuración de una prueba de conectividad pasa por una serie de estados de prueba mientras comprueba la configuración de cada Google Cloud recurso de una ruta de red desde una fuente designada hasta un destino designado. Usa esta referencia para interpretar estos estados.
Para obtener más información sobre las pruebas de conectividad, incluidos los detalles sobre el análisis del plano de datos activo, consulta la información general.
Estados de la prueba
Un análisis de la configuración de una prueba de conectividad proporciona datos sobre los siguientes estados de la prueba, en el orden indicado:
- Estado inicial
- Estado de comprobación de la configuración
- Estado de reenvío
- Estado de transición
- Estado especial
- Estado final
- Resultado general de la accesibilidad
Algunos de estos estados aparecen en todos los rastreos, mientras que otros solo se muestran cuando se prueba la configuración de un recurso específico o cuando se realiza una tarea determinada. Google Cloud
El estado final y el resultado general de accesibilidad proporcionan la información más importante de la prueba.
Además, el resultado de la prueba puede incluir metadatos de los Google Cloud recursos asociados a uno o varios de los estados; por ejemplo, información sobre el nombre y la dirección IP de una instancia de máquina virtual (VM).
Cómo evalúa la accesibilidad el análisis de configuración
El análisis de configuración simula un paquete de prueba a través de una ruta de red verificando las configuraciones de los Google Cloud recursos de esa ruta. Algunos ejemplos de configuraciones de red no válidas son una regla de reenvío de Cloud Load Balancing que no tiene back-ends o una ruta de red que no existe.
Durante el estado de comprobación de la configuración, Pruebas de conectividad recoge información sobre las rutas de red, como las rutas configuradas por el usuario, las rutas dinámicas basadas en anuncios BGP o las rutas basadas en políticas. A continuación, el análisis de configuración elige una ruta de red en función de la aplicabilidad y el orden.
En el caso del estado de comprobación de la configuración, verified significa que las pruebas de conectividad confirman que una configuración del recursoGoogle Cloud probado es válida. La configuración permite que el paquete de prueba simulado continúe por la ruta de red que se está probando.
En el caso de las reglas de cortafuegos de entrada y salida, verified significa que el análisis de configuración confirma que la regla de cortafuegos es válida.
La regla de cortafuegos permite que pase el paquete de prueba simulado.
Si las pruebas de conectividad determinan que una configuración no es válida, el paquete tiene el estado final Drop.
Resultado general de la accesibilidad
El análisis de configuración proporciona un resumen general del estado de accesibilidad, también conocido como resultado. Los resultados pueden tener uno de estos cuatro valores: Reachable, Unreachable, Ambiguous y Undetermined.
Tabla de valores
En la siguiente tabla se describe el valor de cada tipo de resultado de accesibilidad general.
| Resultado general de la accesibilidad | Descripción |
|---|---|
Reachable |
Hay dos situaciones posibles. En ambos casos,
Pruebas de conectividad no detecta ningún problema de configuración.
Por lo tanto, ambos casos se consideran Reachable.
|
Unreachable |
Se espera que el paquete procedente de la fuente se descarte antes de
llegar a su destino. El estado final de todas las trazas es Drop. |
Ambiguous |
Este resultado se devuelve si los endpoints de origen y destino no identifican de forma única la ubicación de la prueba en la red y el resultado general de accesibilidad contiene varias trazas con estados En este caso, los estados finales de varias trazas devuelven estados finales diferentes. El resultado |
Undetermined |
No se ha podido determinar la accesibilidad. El estado final de una traza
es No se puede determinar la accesibilidad del origen al destino por uno de los siguientes motivos:
|
Varias trazas
Cada análisis de configuración puede contener varias trazas y el estado final de estas trazas puede no ser el mismo. Por ejemplo, un paquete a la dirección IP virtual de un balanceador de carga Google Cloud puede tener n trazas si hay n instancias de máquina virtual de backend configuradas para el balanceador de carga. Es posible que estas trazas n no tengan los mismos estados finales.
Como un análisis puede generar varias trazas posibles, se cumple lo siguiente:
- Si solo hay un resultado de la traza, el resultado general de la accesibilidad es el mismo que el estado final de la traza.
- Si hay varios resultados de la traza, la accesibilidad general se calcula en función de la distribución de los estados finales contenidos en todas las trazas.
Metadatos de los resultados
Además del resultado general de accesibilidad de las trazas, cada resultado de la prueba contiene los siguientes metadatos:
- La hora en la que se verificó el estado de la prueba
- Detalles del error de un fallo o una cancelación de una prueba
- Detalles de cada traza
Los detalles de los errores de una prueba o de una cancelación se muestran como códigos y mensajes
en el resultado general de accesibilidad. Por ejemplo, una prueba con un estado final de Abort podría mostrar un mensaje de error como el siguiente:
Failed to pull initial config. An internal error occurred.
Estado inicial
Durante el estado inicial, el análisis de configuración simula el inicio desde un endpoint de red.
| Mensaje | Descripción |
|---|---|
START_FROM_INSTANCE |
El paquete procede de una instancia de Compute Engine.
Las pruebas de conectividad rellenaron los metadatos de InstanceInfo. |
START_FROM_INTERNET |
El paquete procede de Internet.
Las pruebas de conectividad rellenaron los metadatos de EndpointInfo. |
START_FROM_PRIVATE_NETWORK |
El paquete procede de una red de VPC o de una red local con una dirección IP de origen interna. Si la fuente era una red de VPC visible para el usuario, los metadatos NetworkInfo se rellenaban con los detalles de la red mediante pruebas de conectividad. |
START_FROM_CLOUD_FUNCTION |
El paquete procede de una función de Cloud Run.
Las pruebas de conectividad rellenaron los metadatos de CloudFunctionInfo. |
START_FROM_CLOUD_RUN_REVISION |
El paquete procede de una revisión de un servicio de Cloud Run.
Las pruebas de conectividad rellenaron los metadatos de CloudRunRevisionInfo. |
START_FROM_APP_ENGINE_VERSION |
El paquete procedía de una versión de un servicio del entorno estándar de App Engine.
Los metadatos de AppEngineVersionInfo se han rellenado con pruebas de conectividad. |
Estado final
Hay cuatro estados finales: Drop, Abort, Forward y Deliver. Cada una de las siguientes secciones tiene una tabla que contiene mensajes y descripciones de cada estado.
Soltar
Pruebas de conectividad ha descartado el paquete de prueba simulado porque no se ha podido acceder al destino de la prueba por los siguientes motivos.
| Mensaje | Descripción |
|---|---|
UNKNOWN_EXTERNAL_ADDRESS |
No se ha podido resolver la dirección externa de destino porque el destino es desconocido. |
FOREIGN_IP_DISALLOWED |
La instancia de VM solo puede enviar o recibir un paquete con una dirección IP externa si ip_forward está habilitado. En otras palabras, la dirección IP extranjera no ha superado una comprobación de suplantación de identidad. |
FIREWALL_RULE |
Se ha eliminado por una regla de cortafuegos o a causa del seguimiento de conexiones. Es posible que las pruebas de conectividad denieguen un paquete de prueba porque coincide con una regla de cortafuegos de bloqueo. Sin embargo, el plano de datos real podría permitir que el paquete pase a través de la regla de cortafuegos debido al seguimiento de conexiones. El seguimiento de conexiones permite que los paquetes de una conexión ya establecida vuelvan a pesar de la regla de cortafuegos. |
NO_ROUTE |
Se ha eliminado porque no hay ninguna ruta. |
ROUTE_BLACKHOLE |
Se ha descartado porque no existe el siguiente salto de la ruta coincidente. |
ROUTE_WRONG_NETWORK |
El paquete se ha enviado a una red incorrecta por equivocación, tal como se muestra en la sección Detectar configuraciones no válidas o incoherentes. |
PRIVATE_TRAFFIC_TO_INTERNET |
Se ha enviado un paquete con una dirección de destino interna a una pasarela de Internet. |
PRIVATE_GOOGLE_ACCESS_DISALLOWED |
Una instancia de VM que solo tiene una dirección IP interna ha intentado acceder a una API o un servicio de Google, pero Acceso privado de Google no estaba habilitado. |
NO_EXTERNAL_ADDRESS |
Una instancia de VM que solo tiene una dirección IP interna ha intentado acceder a hosts externos a través de una ruta cuyo siguiente salto es la pasarela de Internet predeterminada. Se espera cuando Cloud NAT no está habilitado en la subred o cuando no hay otra ruta predeterminada que use otro tipo de salto siguiente (como una VM proxy). |
UNKNOWN_INTERNAL_ADDRESS |
No se ha podido resolver la dirección interna de destino porque el destino es desconocido. |
FORWARDING_RULE_MISMATCH |
El protocolo y los puertos de una regla de reenvío no coinciden con el encabezado del paquete, o el paquete no se ha generado o no se ha dirigido a la misma región que el balanceador de carga regional. |
FORWARDING_RULE_NO_INSTANCES |
No se ha configurado ningún backend en una regla de reenvío. |
FIREWALL_BLOCKING_LOAD_BALANCER_BACKEND_HEALTH_CHECK |
Una regla de cortafuegos ha bloqueado las comprobaciones de estado en los backends y ha provocado que estos no estén disponibles para el tráfico del balanceador de carga. Como parte de su secuencia de pruebas para Cloud Load Balancing, el análisis de configuración verifica que las reglas de cortafuegos se hayan configurado para permitir que se envíe un paquete de sondeo de comprobación del estado a los backends de Cloud Load Balancing. Esta
comprobación de la configuración da como resultado un |
INSTANCE_NOT_RUNNING |
Se ha enviado un paquete desde o hacia una instancia de VM que no estaba en estado de ejecución. |
TRAFFIC_TYPE_BLOCKED |
Este tipo de tráfico se ha bloqueado y el usuario no ha podido configurar una regla de cortafuegos para habilitarlo. Para obtener más información, consulta Tráfico siempre bloqueado. |
GKE_MASTER_UNAUTHORIZED_ACCESS |
No tienes autorización para acceder al punto final del plano de control de Google Kubernetes Engine. Para obtener más información, consulta Acceso a los endpoints del clúster. |
DROPPED_INSIDE_GKE_SERVICE |
Se ha perdido un paquete en el servicio de Google Kubernetes Engine. |
CLOUD_SQL_INSTANCE_UNAUTHORIZED_ACCESS |
No tienes autorización para acceder al punto final de la instancia de Cloud SQL. Para obtener más información, consulta el artículo Autorizar con redes autorizadas. |
DROPPED_INSIDE_CLOUD_SQL_SERVICE |
Se ha perdido un paquete en el servicio Cloud SQL. |
GOOGLE_MANAGED_SERVICE_NO_PEERING |
Se ha descartado un paquete porque no hay peering entre la red de origen y la red de servicios gestionada por Google. |
CLOUD_SQL_INSTANCE_NO_IP_ADDRESS |
Se ha descartado un paquete porque la instancia de Cloud SQL no tiene una dirección IP privada ni pública. |
PSC_CONNECTION_NOT_ACCEPTED |
Se ha descartado un paquete porque no se ha aceptado la conexión al servicio publicado que usa Private Service Connect. |
CLOUD_FUNCTION_NOT_ACTIVE |
Se ha descartado un paquete porque la función de Cloud Run no está activa. |
VPC_CONNECTOR_NOT_SET |
Se ha descartado un paquete porque el servicio del entorno estándar de App Engine, la función de Cloud Run o la revisión de Cloud Run no tienen configurado un conector de acceso a VPC sin servidor. |
VPC_CONNECTOR_NOT_RUNNING |
Se ha descartado un paquete porque el conector de acceso a VPC sin servidor no está en ejecución. |
CLOUD_RUN_REVISION_NOT_READY |
Se ha descartado un paquete porque la revisión de Cloud Run no está lista y no puede servir tráfico. |
Anular
El análisis de configuración se ha detenido porque no se ha proporcionado información básica, como el acceso a la configuración de red.
Este estado suele producirse cuando Pruebas de conectividad no tiene los permisos correctos para obtener la configuración del proyecto host de un proyecto de servicio, tal como se muestra en la siguiente tabla.
| Mensaje | Descripción |
|---|---|
UNKNOWN_NETWORK |
Se ha anulado debido a una red desconocida. No se puede continuar con el análisis porque, en una red de VPC compartida, el usuario que ejecuta la prueba no tiene acceso a las configuraciones de red del proyecto host, incluidas las reglas de cortafuegos y las rutas. Para ejecutar una prueba de conectividad, el usuario que la ejecute debe poder leer las configuraciones de recursos como las rutas del proyecto host. Esto ocurre porque los recursos de red se asignan en el proyecto host, pero los recursos reales se encuentran en el proyecto de servicio. |
UNKNOWN_IP |
El análisis se ha anulado porque se desconocían las direcciones IP necesarias para el análisis. Esto se debe a que el usuario ha introducido datos incorrectos o a que el análisis de configuración no ha podido determinar un endpoint válido a partir de los parámetros de entrada proporcionados. En una red de VPC compartida, el usuario que ha ejecutado la prueba no tenía acceso a las configuraciones de red del proyecto del host. Este acceso es necesario para hacer pruebas con direcciones IP del proyecto de servicio. |
UNKNOWN_PROJECT |
El análisis se ha cancelado porque no se ha podido obtener información del proyecto a partir de la entrada de la prueba de conectividad. Esto se debe a que el usuario ha introducido datos incorrectos o, según los parámetros de entrada proporcionados, el análisis no ha podido determinar un proyecto válido. |
PERMISSION_DENIED |
El análisis se ha anulado porque el usuario no tenía permiso para acceder a todas o a parte de las configuraciones de red necesarias para ejecutar la prueba. |
NO_SOURCE_LOCATION |
El análisis se ha anulado porque no se ha podido obtener ningún punto final de origen válido a partir de la entrada de prueba. Esto se debe a que el usuario ha introducido datos incorrectos o a que, según los parámetros de entrada proporcionados, el análisis no ha podido determinar un punto final de origen válido. |
INVALID_ARGUMENT |
El análisis se ha anulado porque el punto final de origen o de destino especificado en la entrada de prueba no era válido. Estos son algunos de los motivos por los que puede aparecer este mensaje:
|
NO_EXTERNAL_IP |
El análisis se ha anulado porque se ha enviado tráfico desde una dirección IP pública a una instancia de VM que no tenía una dirección IP externa. |
UNINTENDED_DESTINATION |
El análisis se ha anulado porque ninguna de las trazas ha podido coincidir con la información de destino especificada en la entrada de prueba. |
TRACE_TOO_LONG |
El análisis se ha cancelado porque el número de pasos de la traza ha superado un límite. Este problema puede deberse a un bucle de enrutamiento. |
INTERNAL_ERROR |
Anulado debido a un error de servidor interno. |
SOURCE_ENDPOINT_NOT_FOUND |
Se ha anulado porque no se ha encontrado el endpoint de origen. |
MISMATCHED_SOURCE_NETWORK |
Se ha anulado porque la red de origen no coincide con el punto final de origen. |
DESTINATION_ENDPOINT_NOT_FOUND |
Se ha anulado porque no se ha encontrado el endpoint de destino. |
MISMATCHED_DESTINATION_NETWORK |
Se ha anulado porque la red de destino no coincide con el punto final de destino. |
Reenviar
El análisis se ha detenido en un endpoint específico y no ha podido continuar:
- El análisis se ha completado parcialmente en función de las configuraciones en las que el usuario tiene permiso.
- El paquete de prueba se ha reenviado a una red con una configuración desconocida.
- El destino de la prueba no se ha descartado según la configuración conocida y el paquete de prueba se ha reenviado a una red en la que las pruebas de conectividad no tienen visibilidad.
| Mensaje | Reenviado |
|---|---|
PEERING_VPC |
A una red de VPC emparejada |
VPN_GATEWAY |
A una pasarela VPN de Cloud |
INTERCONNECT |
A una conexión de Cloud Interconnect |
GKE_MASTER |
A un plano de control de GKE |
IMPORTED_CUSTOM_ROUTE_NEXT_HOP |
Al siguiente salto de una ruta personalizada importada desde una red de VPC emparejada |
CLOUD_SQL_INSTANCE |
A una instancia de Cloud SQL |
Entregar
El análisis ha podido llegar al destino y entregar el paquete de prueba simulado.
El estado final Deliver no garantiza que el tráfico pueda pasar por el plano de datos. El objetivo del análisis es validar los problemas de configuración que pueden provocar que el tráfico se pierda.
| Mensaje | Objetivo |
|---|---|
INSTANCE |
Una instancia de VM de Compute Engine |
INTERNET |
Internet |
GOOGLE_API |
Una API de Google |
GKE_MASTER |
Un plano de control de GKE |
CLOUD_SQL_INSTANCE |
Una instancia de Cloud SQL |
PSC_GOOGLE_API |
Todas las APIs y servicios de Google que usan Private Service Connect |
PSC_VPC_SC |
Controles de Servicio de VPC que usan Private Service Connect |
PSC_PUBLISHED_SERVICE |
Un servicio publicado que usa Private Service Connect |
Metadatos
El análisis de configuración muestra los siguientes metadatos del estado final.
| Nombre de metadatos | Descripción |
|---|---|
AbortInfo |
Causa de un estado final Abort y el URI del recurso que
ha provocado ese estado. |
DropInfo |
Causa de un estado final Drop y el URI del recurso que
ha provocado ese estado. |
ForwardInfo |
El tipo de destino y el URI del recurso de destino al que se ha reenviado finalmente un paquete de prueba (Forward estado final). |
Otros estados
Antes de que el paquete de prueba llegue a uno de los estados finales, pasa por los siguientes estados intermedios: estado de comprobación de la configuración, estado de reenvío, estado de transición y estado especial.
Estado de comprobación de la configuración
Durante el estado de comprobación de la configuración, Pruebas de conectividad comprueba la configuración de los recursos en la ruta de red simulada, verifica que la configuración de los recursos sea válida y comprueba que la configuración permita que el paquete de prueba simulado continúe por la ruta de red. Google Cloud
Si es necesario, el análisis de configuración realiza una comprobación de suplantación.
| Mensaje | Descripción |
|---|---|
APPLY_INGRESS_FIREWALL_RULE |
Regla de cortafuegos de entrada verificada. |
APPLY_EGRESS_FIREWALL_RULE |
Regla de cortafuegos de salida verificada. |
APPLY_ROUTE |
Ruta verificada. |
APPLY_FORWARDING_RULE |
Regla de reenvío coincidente. |
SPOOFING_APPROVED |
El paquete se ha enviado o recibido con una dirección IP externa, pero se ha permitido. Para obtener más información, consulta Comprobación de suplantación de identidad. |
Estado de reenvío
Durante el estado de reenvío, Pruebas de conectividad simula un paquete que llega a un recurso intermedio Google Cloud en la ruta de prueba (por ejemplo, un paquete que llega a una pasarela Cloud VPN o a un balanceador de cargaGoogle Cloud ).
| Mensaje | Descripción |
|---|---|
ARRIVE_AT_INSTANCE |
Se ha llegado a una instancia de VM de Compute Engine. |
ARRIVE_AT_INTERNAL_LOAD_BALANCER |
Ha llegado a un Google Cloud balanceador de carga que usa una dirección IP privada como IP virtual. |
ARRIVE_AT_EXTERNAL_LOAD_BALANCER |
Se ha llegado a la dirección IP pública de un balanceador de carga Google Cloud . |
ARRIVE_AT_VPN_GATEWAY |
Ha llegado a una pasarela de Cloud VPN. |
ARRIVE_AT_VPN_TUNNEL |
Se ha llegado a un túnel de Cloud VPN. |
ARRIVE_AT_VPC_CONNECTOR |
Se ha llegado a un conector de Acceso a VPC sin servidor. |
Estado de transición
Durante el estado de transición, Pruebas de conectividad verifica las configuraciones simuladas en las que se cambia un paquete (por ejemplo, cuando Cloud NAT traduce un encabezado de paquete o cuando un proxy de balanceo de carga termina y reinicia una sesión TCP entrante a instancias de VM). Google Cloud
| Mensaje | Descripción |
|---|---|
NAT |
Se ha traducido el encabezado del paquete. |
PROXY_CONNECTION |
La conexión original se ha terminado y se ha iniciado una nueva conexión proxy. |
Estado especial
En este estado, un lector de prueba no tiene permiso para ver uno o varios recursos.Google Cloud Para obtener más información, consulta Permisos de prueba.
| Nombre de metadatos | Descripción |
|---|---|
VIEWER_PERMISSION_MISSING |
El usuario que ve el resultado de la prueba no tiene permiso para ver la configuración del recurso Google Cloud en este paso. |
Metadatos de recursos
Pruebas de conectividad muestra los siguientes metadatos de las configuraciones de recursosGoogle Cloud que comprueba.
| Nombre de metadatos | Descripción |
|---|---|
EndpointInfo |
Puntos de conexión usados en la prueba. Pruebas de conectividad
obtiene EndpointInfo de los endpoints de origen y de destino
y valida la información mediante el modelo del plano de datos. |
FirewallInfo |
Metadatos asociados a una regla de cortafuegos. |
ForwardingRuleInfo |
Metadatos asociados a una regla de reenvío de VPC. |
InstanceInfo |
Metadatos asociados a una instancia de VM de Compute Engine. |
LoadBalancerInfo |
Metadatos asociados a un Google Cloud balanceador de carga. |
NetworkInfo |
Metadatos asociados a una red de VPC. |
RouteInfo |
Metadatos asociados a una ruta de red de VPC. |
AppEngineVersionInfo |
Metadatos asociados a una versión de un servicio del entorno estándar de App Engine. |
CloudRunRevisionInfo |
Metadatos asociados a una revisión de Cloud Run. |
CloudFunctionInfo |
Metadatos asociados a una función de Cloud Run. |
VpcConnectorInfo |
Metadatos asociados a un conector de acceso a VPC sin servidor. |