Analisador de Caminho de Rede
Saiba mais sobre a ferramenta Analisador de Caminho de Rede.
Visão geral do Analisador de Caminho de Rede
O Analisador de Caminho de Rede (NPA) fornece uma ferramenta unificada e intuitiva que você pode usar para identificar problemas de configuração de rede virtual que afetam a conectividade. O NPA coleta e analisa a configuração de rede para determinar como os caminhos entre a origem e o destino funcionam ou falham. Nenhum tráfego real é enviado; em vez disso, a configuração é examinada e usada para confirmar a acessibilidade.
O NPA examina cuidadosamente as configurações de roteamento e segurança e identifica o caminho de rede potencial que o tráfego definido percorre, com informações sobre entidades de rede virtual no caminho. Além das informações de caminho, a saída dessas verificações inclui como as regras de roteamento e as listas de acesso à rede (listas de segurança, NSGs etc.) permitem ou negam o tráfego. As origens e os destinos podem estar dentro do OCI, no OCI e on-premises ou no OCI e na internet. O NPA analisa todos os elementos de rede do OCI padrão com suas configurações associadas.
Usando o NPA, você pode:
- Diagnosticar e solucionar configurações incorretas de roteamento e segurança que estejam causando problemas de conectividade
- Confirmar se os caminhos de rede lógicos correspondem à sua intenção
- Verificar se a configuração de conectividade da rede virtual funciona conforme o esperado antes de começar a enviar tráfego
Para atingir qualquer um desses objetivos, crie um teste que, na sua opinião, deva funcionar e execute o teste. Você também pode salvar essa definição de teste para executá-la novamente mais tarde. Os testes salvos são exibidos na página do Analisador de Caminho de Rede para seleção.
Os seguintes cenários de origem e destino são suportados:
- OCI para OCI
- OCI para on-premises
- On-premises para OCI
- Internet para OCI
- OCI para Internet
Os testes podem ser definidos para os seguintes parâmetros:
Opções de origem | Opções de destino | Protocolo | Informações da Porta | Flag bidirecional |
---|---|---|---|---|
|
|
Qualquer protocolo IP suportado na lista de segurança atual. |
Dependendo do tipo de protocolo fornecido:
|
Um flag de verificação bidirecional, ativado por padrão para TCP e UDP. Você tem a flexibilidade de desativar esse flag para verificar a conectividade e o caminho unidirecionais (de origem para destino). Esse flag está desativado para protocolos não TCP/UDP. |
Uma análise é feita usando um snapshot de configuração completo, mas o caminho de rede resultante exibido é limitado às entidades que você tem permissão para exibir. Quando você não tiver a permissão necessária para exibir objetos no caminho, a saída do teste não mostrará esses objetos nem qualquer outro detalhe.
O Analisador de Caminho de Rede usa o Batfish, uma biblioteca de análise de configuração de rede de código-fonte aberto. O NPA usa o Batfish para fazer análise de acessibilidade e identificar erros de configuração. O Intentionet mantém a biblioteca Batfish.
Permissões Obrigatórias
A Oracle recomenda que você sempre defina as seguintes políticas de permissões no nível da tenancy (a definição dessas permissões em um nível de compartimento pode tornar os resultados da análise de caminho menos precisos) para usar o Analisador de Caminho de Rede:
allow group <group-name> to manage vn-path-analyzer-test in tenancy
allow any-user to inspect compartments in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read instances in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read virtual-network-family in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read load-balancers in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read network-security-group in tenancy where all { request.principal.type = 'vnpa-service' }
Em que <group-name> é o nome do grupo de administradores para recursos de rede.
A concessão de permissões para usar essa ferramenta pode levar a uma superexposição de informações sobre configuração de rede e definições de segurança de rede para um usuário da ferramenta. A observação do status de acessibilidade pode ser usada por um usuário mal-intencionado para deduzir a presença de serviços de rede e informações de roteamento e segurança relacionadas. O acesso à ferramenta deve ser concedido apenas a usuários e administradores confiáveis.
Consulte a seção path-analyzer-test de Detalhes do Serviço de Monitoramento de Rede para obter mais detalhes sobre as permissões do NPA.
Cuidados e limitações conhecidos
Os seguintes casos de uso de NPA não são suportados:
- A origem e os destinos que estão na mesma sub-rede e com outro IP Privado produzirão resultados incorretos.
- Quando a tabela de roteamento de uma sub-rede tiver um próximo hop definido como IP privado, poderá mostrar incorretamente o status como Sem Rota.
- Se os LPGs forem pareados entre tenancies, a resposta da Análise de Caminho será Indeterminada.
- Se as conexões RPC cruzarem tenancies ou regiões, a resposta da Análise de Caminho será Indeterminada.
- O NPA não suporta IPv6. Os endereços IPv6 não podem ser usados como origens ou destinos. As definições de roteamento e segurança IPv6 são ignoradas e não afetam os resultados.
- O NPA não detecta loops de roteamento e, se os loops de roteamento estiverem presentes, os resultados poderão ser inconclusivos ou indicar uma falha.
- O roteamento intra-VCN e o roteamento do gateway de internet ainda não são suportados no NPA e podem causar resultados de Análise de Caminho imprecisos.
- No momento, o NPA não funcionará se o número de compartimentos na tenancy que solicita a Análise de Caminho for maior que 100. Para elas, leve uma solicitação de suporte para usar o NPA.
Casos de uso especiais
Quando algumas entidades estão no caminho de uma análise de caminho e não são nem a origem nem o destino, os comportamentos a seguir são vistos. Você poderá usar a solução indicada para esses casos de uso, se houver uma disponível.
Nó no Caminho | Resultado do NPA | Solução |
---|---|---|
NVA (Network Virtual Appliance) |
Indeterminado |
Crie duas verificações de Análise de Caminho, uma da origem para o NVA e outra do NVA para o destino. |
NLB implantado no modo não transparente com SNAT configurado |
Nenhuma Rota |
Crie duas verificações de Análise de Caminho, uma da origem para o NLB e outra do NLB para o destino. |
Network Load Balancer no modo transparente |
Indeterminado |
Crie duas verificações de Análise de Caminho, uma da origem para o NLB e outra do NLB para o destino. |
Balanceador de Carga |
Nenhuma Rota |
Crie duas verificações de Análise de Caminho, uma da origem para o LB e outra do LB para o destino. |
FWaaS |
Indeterminado |
Crie duas verificações de Análise de Caminho, uma da origem para o FWaaS e outra do FWaaS para o destino. |
Região cruzada usando RPC |
Indeterminado |
Crie duas verificações de Análise de Caminho, uma para cada região. |
Tenancy cruzada usando LPG |
Indeterminado |
Crie duas verificações de Análise de Caminho, uma para cada tenancy. |
DRG v1 |
Indeterminado |
Faça upgrade para o DRG v2. |
O diagrama a seguir mostra um dos casos de uso em que a análise de caminho deve ser dividida em duas.
Solicitações de Serviço de Análise do Caminho de Rede
As solicitações de serviço permitem monitorar operações de longa execução, como testes de análise de caminho de rede. Quando você inicia essa operação, o serviço gera uma solicitação de serviço . Uma solicitação de serviço é um log de atividades que permite rastrear cada etapa do andamento da operação. Cada solicitação de serviço tem um OCID (Oracle Cloud Identifier) que permite interagir com ela de forma programática e usá-la para automação. As solicitações de serviço são retidas por 12 horas.
Tarefas do Analisador de Caminho de Rede
Você pode executar as seguintes tarefas usando a ferramenta Network Path Analyzer:
Tarefas de Teste de Análise do Caminho
- Criando um Teste de Análise de Caminho
- Executando um Teste de Análise de Caminho
- Listando Testes de Análise de Caminho
- Obtendo Detalhes do Teste de Análise de Caminho
- Editando um Teste de Análise de Caminho
- Movendo um Teste de Análise de Caminho para outro compartimento
- Excluindo um Teste de Análise de Caminho
Tarefas de Solicitação de Serviço de Análise do Caminho
- Listando Solicitações de Serviço de Análise do Caminho
- Obtendo Detalhes da Solicitação de Serviço de Análise de Caminho
- Listando Erros de Solicitação de Serviço de Análise de Caminho
- Listando Logs de Solicitação de Serviço de Análise de Caminho
- Listando Resultados da Solicitação de Serviço de Análise de Caminho