測試與 Google 代管服務間的往來連線能力

本頁面說明測試與 Google 代管服務間的往來連線能力的常見情境,例如 Google Kubernetes Engine (GKE) 控制層和 Cloud SQL 執行個體。

您可以針對往返 Google 代管服務的路徑取得連線測試設定分析。即使您沒有存取這些資源所在的 Google 專案的權限,連線測試仍可分析專案的虛擬私有雲 (VPC) 網路設定,並提供整體可及性結果。連線能力測試不會提供 Google 專案內的設定詳細資料供分析。

根據預設,連線能力測試會嘗試使用 Google 管理服務端點的私人 IP 位址,以及您網路和 Google 自有網路之間的虛擬私有雲對等互連連線,執行測試。如果端點沒有私人 IP 位址,連線測試會使用公開 IP 位址。Connectivity Tests 會分析封包是否能到達端點,包括分析端點在 Google 自有 VPC 網路中的設定。如果連線測試偵測到專案中的設定問題,分析作業會在抵達 Google 自有網路前停止。

本頁的追蹤圖表使用下列圖例中所述的符號。
符號 名稱 意義
灰色鑽石圖示
封包追蹤圖表的圖例:灰色菱形。
Checkpoint 決定點,連線能力測試會檢查設定,並決定是否要轉送、傳送或捨棄追蹤封包。
藍色矩形
封包追蹤圖表的圖例:藍色矩形。
Hop 追蹤封包轉送路徑中的一個步驟,代表將封包轉送至虛擬私人雲端網路中下一個躍點的 Google Cloud 資源,例如 Cloud Load Balancing 代理程式或 Cloud VPN 通道。
橘色六邊形
封包追蹤圖表的圖例:橘色六邊形。
端點 追蹤封包的來源或目的地。

下圖顯示測試與 Google 代管服務連線時的追蹤路徑。此圖表以 GKE 節點為例,說明如何控制平面測試。

來源 GKE 節點到目的地 GKE 控制層追蹤記錄。
來源 GKE 節點到目的地 GKE 控制層追蹤記錄

將 Cloud SQL 連線至 VM

下列 Google Cloud 控制台螢幕截圖顯示 Cloud SQL 執行個體的追蹤記錄,指出整體結果為 Reachable

這項結果顯示,連線測試已驗證從來源 Cloud SQL 執行個體到目的地 VM 的網路連線。這包括分析 Cloud SQL 執行個體執行的 Google 專案內設定。由於您沒有查看 Google 專案資源的權限,因此追蹤記錄不會提供這些資源的詳細資料。

從 Cloud SQL 到 VM 追蹤記錄的控制台螢幕截圖。
Google Cloud Cloud SQL 執行個體的控制台螢幕截圖,用於 VM 追蹤記錄

VM 到 Cloud SQL

本節提供從 VM 到 Cloud SQL 執行個體的成功測試結果範例。在這個範例中,設定分析結果顯示整體結果為 Reachable

這項結果顯示,連線測試已驗證從來源 VM 到目的地 Cloud SQL 執行個體的網路連線。這包括分析 Cloud SQL 執行個體執行的 Google 專案內設定。由於您沒有查看 Google 專案資源的權限,因此追蹤記錄不會提供這些資源的詳細資料。

Google Cloud 控制台螢幕截圖,顯示 VM 到 Cloud SQL 的追蹤記錄。
Google Cloud VM 到 Cloud SQL 執行個體追蹤記錄的控制台螢幕截圖

透過公開 IP 位址將 VM 連線至 Cloud SQL

本節提供透過公開 IP 位址,從 VM 成功連線至 Cloud SQL 執行個體的測試結果範例。在這個範例中,設定分析結果顯示整體結果為 Reachable

這項結果顯示,連線測試已驗證從來源 VM 到目的地 Cloud SQL 執行個體的網路連線,是透過公開 IP 位址進行。這包括分析 Cloud SQL 執行個體執行的 Google 專案內設定。您沒有權限查看 Google 專案中的資源,因此追蹤記錄不會提供這些資源的詳細資料。

Google Cloud 主控台螢幕截圖,顯示透過公開 IP 位址追蹤 VM 到 Cloud SQL 的連線。
Google Cloud 透過公用 IP 位址追蹤 VM 到 Cloud SQL 執行個體的追蹤記錄主控台螢幕截圖

GKE 控制層到 GKE 節點

本節提供成功測試 GKE 節點的結果範例。在本例中,設定分析指出整體結果為 Reachable

這項結果顯示,連線測試已驗證從來源 GKE 控制層到目的地 GKE 節點的網路連線。這包括分析節點執行所在的 Google 專案內資源設定。由於您沒有權限查看 Google 專案中的資源,因此追蹤記錄不會提供這些資源的詳細資料。

顯示 GKE 控制層到節點追蹤的Google Cloud 控制台螢幕截圖。
Google Cloud 主控台到節點追蹤的 GKE 控制層螢幕截圖

GKE 節點到 GKE 控制層

本節提供 GKE 控制層成功測試的範例結果。在這個範例中,設定分析結果顯示整體結果為 Reachable

這項結果顯示,連線測試已驗證從來源 GKE 節點到目的地 GKE 控制層的網路連線。這包括分析控制層執行時,Google 自有專案內的資源設定。由於您沒有權限查看 Google 專案中的資源,因此追蹤記錄不會提供這些資源的詳細資料。

顯示 GKE 節點到控制層追蹤記錄的Google Cloud 控制台螢幕截圖。
Google Cloud 主控台螢幕截圖,顯示 GKE 節點到控制平面追蹤記錄

透過公開 IP 位址將 GKE 節點連線至 GKE 控制層

本節將說明透過公開 IP 位址成功測試 GKE 控制層的範例。在本例中,設定分析指出整體結果為 Reachable

這項結果顯示,連線測試已驗證從來源 GKE 節點到 GKE 控制層執行所在網路的網路連線,但未驗證與 GKE 控制層的連線。透過公開 IP 位址進行測試時,連線測試不會分析控制平面執行的 Google 專屬專案內資源設定。

透過公開 IP 位址追蹤 GKE 節點至控制層的螢幕截圖。
Google Cloud 主控台螢幕截圖:透過公開 IP 位址追蹤 GKE 節點到控制層的追蹤記錄

Google 代管服務的測試失敗

測試 Google 代管的服務時,測試可能會失敗,並顯示封包在服務內部遭到捨棄的錯誤訊息 (例如 DROPPED_INSIDE_GKE_SERVICEDROPPED_INSIDE_CLOUD_SQL_SERVICE)。在下列情況下,這則訊息可能表示 Google 自有專案 (代管服務) 發生了設定問題:

  • 您測試了 GKE 控制層與同一叢集中的 GKE 節點之間的連線 (雙向)。
  • 您測試了從 VPC 網路連線至已連線至網路的 Cloud SQL 執行個體,其中來源和目的地都位於相同的區域。

如果您在上述情況中收到上述錯誤訊息,請與支援團隊聯絡。否則,錯誤訊息可能表示輸入內容無效。請確認您要測試的端點是否存在,以及您預期可存取 Google 專屬專案中的受控資源。舉例來說,如果您要測試從 GKE 節點連線至 GKE 控制層,請確認節點是否存在,且預期可連線至控制層。

下列 Google Cloud 控制台的螢幕截圖顯示了前往目標 Cloud SQL 執行個體的追蹤記錄,指出整體結果為 Unreachable。測試失敗,因為測試是使用通訊埠 80 建立,而非通訊埠 5432,後者是目標 Cloud SQL 執行個體 (Postgres) 接受連線的通訊埠。

失敗的 VM 到 Cloud SQL 追蹤記錄的控制台螢幕截圖。
Google Cloud 主控台螢幕截圖,顯示從 VM 到 Cloud SQL 追蹤記錄的失敗情況

後續步驟