接続テストを Flow Analyzer から直接実行して、2 つのエンドポイント間の接続を検証できます。これらのテストを実行して、2 つのリソース間のパスを確認することも可能です。なお、接続テストを実行する際は、既存の構成が使用されることにご注意ください。つまり、実際のログイベントが発生した 2 週間後にテストを実行しても、当時の構成は使用されません。
テストを実行する際、以下の属性がテスト定義に使用されます。
- 送信元 IP
- 送信元プロジェクト
- 送信元ネットワーク(内部 IP アドレスの場合)
- 宛先 IP(内部 IP アドレスの場合)
- 宛先プロジェクト(内部 IP アドレスの場合)
- 宛先ネットワーク(内部 IP アドレスの場合)
- 宛先ポート
- プロトコル
トラフィック情報でこれらのパラメータを使用できない場合、接続テストは失敗します。たとえば、Flow Analyzer でトラフィックを送信元 VPC と宛先 VPC のみでグループ化する場合、この情報は接続テストの実行に十分ではありません。
接続テストが失敗する場合は次の原因が考えられます。
- VPC Flow Logs に表示されているリソースが現在は存在しない。
- サーバーからクライアントへのテストが実行されているが、その方向のトラフィック(戻りトラフィックを除く)が開始できない。
始める前に
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
ユーザーロールに
compute.networks.listの権限があることを確認します。テストは内部 API を介して実行されるため、結果はエフェメラルであり、テストの実行に対してユーザーに請求されることはありません。結果は保存されず、結果パネルを閉じるとアクセスできなくなります。
接続テストを実施する
Flow Analyzer から接続テストを実施する手順は次のとおりです。
コンソール
Google Cloud コンソールで、[Flow Analyzer] ページに移動します。
ログバケットを選択します。デフォルトでは、フローログは _Default ログバケットに保存され、_Default ログビューでアクセスできます。
クエリを実行する時間の範囲を選択します。
[トラフィック] メニューで、次のいずれかのオプションを選択します。
- 送信元 - 宛先: 送信元から宛先へのトラフィックを集計します。
- クライアント - サーバー: ポート番号が小さいリソースとサービス定義をサーバーと見なして、両方向のトラフィックを集めます。
省略可: [フィルタ] リストで、フィルタを 1 つ以上選択します。
[フロー整理の基準] リストを使用して、クエリ結果を整理します。次のフィールドに値を入力する必要があります。
- 送信元 IP アドレス
- 送信元 VPC ネットワークまたは VPC ネットワークのプロジェクト ID
- 宛先 IP アドレス
[新しいクエリを実行] をクリックします。
[すべてのデータフロー] テーブルで、任意のフローの [実行] をクリックします。