Analisador de Caminho de Rede

Visão geral do Analisador de Caminho de Rede

O Analisador de Caminho de Rede (NPA) fornece uma ferramenta unificada e intuitiva que você pode usar para identificar problemas de configuração de rede virtual que afetam a conectividade. O NPA coleta e analisa a configuração de rede para determinar como os caminhos entre a origem e o destino funcionam ou falham. Nenhum tráfego real é enviado; em vez disso, a configuração é examinada e usada para confirmar a acessibilidade.

O NPA examina cuidadosamente as configurações de roteamento e segurança e identifica o caminho de rede potencial que o tráfego definido percorre, com informações sobre entidades de rede virtual no caminho. Além das informações de caminho, a saída dessas verificações inclui como as regras de roteamento e as listas de acesso à rede (listas de segurança, NSGs etc.) permitem ou negam o tráfego. As origens e os destinos podem estar dentro do OCI, no OCI e on-premises ou no OCI e na internet. O NPA analisa todos os elementos de rede do OCI padrão com suas configurações associadas.

Usando o NPA, você pode:

• Diagnosticar e solucionar configurações incorretas de roteamento e segurança que estejam causando problemas de conectividade
• Confirmar se os caminhos de rede lógicos correspondem à sua intenção
• Verificar se a configuração de conectividade da rede virtual funciona conforme o esperado antes de começar a enviar tráfego

Para atingir qualquer um desses objetivos, crie um teste que, na sua opinião, deva funcionar e execute o teste. Você também pode salvar essa definição de teste para executá-la novamente mais tarde. Os testes salvos são exibidos na página do Analisador de Caminho de Rede para seleção.

Os seguintes cenários de origem e destino são suportados:

• OCI para OCI
• OCI para on-premises
• On-premises para OCI
• Internet para OCI
• OCI para Internet

Os testes podem ser definidos para os seguintes parâmetros:

Uma análise é feita usando um snapshot de configuração completo, mas o caminho de rede resultante exibido é limitado às entidades que você tem permissão para exibir. Quando você não tiver a permissão necessária para exibir objetos no caminho, a saída do teste não mostrará esses objetos nem qualquer outro detalhe.

O Analisador de Caminho de Rede usa o Batfish, uma biblioteca de análise de configuração de rede de código-fonte aberto. O NPA usa o Batfish para fazer análise de acessibilidade e identificar erros de configuração. O Intentionet mantém a biblioteca Batfish.

Permissões Obrigatórias

A Oracle recomenda que você sempre defina as seguintes políticas de permissões no nível da tenancy (a definição dessas permissões em um nível de compartimento pode tornar os resultados da análise de caminho menos precisos) para usar o Analisador de Caminho de Rede:

allow group <group-name> to manage vn-path-analyzer-test in tenancy 
allow any-user to inspect compartments in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read instances in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read virtual-network-family in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read load-balancers in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read network-security-group in tenancy where all { request.principal.type = 'vnpa-service' } 

Em que <group-name> é o nome do grupo de administradores para recursos de rede.

Consulte a seção path-analyzer-test de Detalhes do Serviço de Monitoramento de Rede para obter mais detalhes sobre as permissões do NPA.

Cuidados e limitações conhecidos

Os seguintes casos de uso de NPA não são suportados:

• A origem e os destinos que estão na mesma sub-rede e com outro IP Privado produzirão resultados incorretos.
• Quando a tabela de roteamento de uma sub-rede tiver um próximo hop definido como IP privado, poderá mostrar incorretamente o status como Sem Rota.
• Se os LPGs forem pareados entre tenancies, a resposta da Análise de Caminho será Indeterminada.
• Se as conexões RPC cruzarem tenancies ou regiões, a resposta da Análise de Caminho será Indeterminada.
• O NPA não suporta IPv6. Os endereços IPv6 não podem ser usados como origens ou destinos. As definições de roteamento e segurança IPv6 são ignoradas e não afetam os resultados.
• O NPA não detecta loops de roteamento e, se os loops de roteamento estiverem presentes, os resultados poderão ser inconclusivos ou indicar uma falha.
• O roteamento intra-VCN e o roteamento do gateway de internet ainda não são suportados no NPA e podem causar resultados de Análise de Caminho imprecisos.
• No momento, o NPA não funcionará se o número de compartimentos na tenancy que solicita a Análise de Caminho for maior que 100. Para elas, leve uma solicitação de suporte para usar o NPA.

Casos de uso especiais

Quando algumas entidades estão no caminho de uma análise de caminho e não são nem a origem nem o destino, os comportamentos a seguir são vistos. Você poderá usar a solução indicada para esses casos de uso, se houver uma disponível.

O diagrama a seguir mostra um dos casos de uso em que a análise de caminho deve ser dividida em duas.

Solicitações de Serviço de Análise do Caminho de Rede

As solicitações de serviço permitem monitorar operações de longa execução, como testes de análise de caminho de rede. Quando você inicia essa operação, o serviço gera uma solicitação de serviço . Uma solicitação de serviço é um log de atividades que permite rastrear cada etapa do andamento da operação. Cada solicitação de serviço tem um OCID (Oracle Cloud Identifier) que permite interagir com ela de forma programática e usá-la para automação. As solicitações de serviço são retidas por 12 horas.