Netzwerk-Fehlkonfigurationen in Google Cloud proaktiv mit dem Network Analyzer aufspüren

Der Network Analyzer ist Bestandteil des Network Intelligence Center und ein vollständig verwalteter Dienst, der die Konfigurationen Ihrer Virtual Private Cloud (VPC) automatisch überwacht und Fehlkonfigurationen sowie suboptimale Einstellungen aufspürt, die unbeabsichtigt ausgerollt wurden.

Er liefert Einblicke in Netzwerktopologie, Firewall-Regeln, Routen, Konfigurationsabhängigkeiten sowie die Konnektivität zu Diensten und Anwendungen. Dabei erkennt er Netzwerkfehler, zeigt deren Ursachen auf und schlägt mögliche Lösungswege vor.

Der Network Analyzer läuft kontinuierlich und stößt nahezu in Echtzeit relevante Analysen an, sobald sich Konfigurationen in Ihrem Netzwerk ändern. Wird ein Fehler erkannt, versucht er, ihn mit kürzlich vorgenommenen Konfigurationsänderungen in Verbindung zu bringen, um die Ursache zu ermitteln. Wo immer möglich, gibt er konkrete Empfehlungen zur Behebung.

Die Ergebnisse der Analysen des Network Analyzers heißen Insights. Sie sind aktuell in 5 Kategorien gegliedert:

• VPC-Netzwerk: Grundlegende Setup- und Konfigurationsthemen rund um VPC-Netzwerke – etwa Informationen zu oder Probleme mit IP-Adressen, Routen, Firewall-Regeln, VPC-Peering und Shared VPC.
• Network Services: Probleme rund um Load Balancer, etwa Firewall-Regeln, die Health Checks blockieren, oder Backend-Services, die für Health Checks und Datenverkehr unterschiedliche Ports nutzen. Außerdem gibt es informative Hinweise zu Best Practices.
• Kubernetes Engine: GKE-bezogene Netzwerkthemen, die Betrieb und Konnektivität von GKE beeinträchtigen können. Zusätzlich werden die IP-Auslastung der GKE-Pods analysiert sowie verschiedene Prüfungen zur Umsetzung von Best Practices für GKE-Cluster ausgeführt.
• Hybrid Connectivity: Probleme und Best-Practice-Hinweise rund um hybride Konnektivität – für Cloud VPN, Cloud Interconnect, Cloud Router, BGP-Peering, dynamische Routen und das Network Connectivity Center (NCC).
• Managed Services: Konnektivitätsprobleme mit von Google verwalteten Diensten. Der Network Analyzer erkennt Konnektivitätsprobleme von einer IP-Adresse im selben Netzwerk und in derselben Region zu Managed Services wie etwa Cloud-SQL-Instanzen mit privater IP-Adresse.

Die vollständige Liste der Analyzer finden Sie hier; die Google Cloud Platform (GCP) erweitert dieses Modul laufend um neue Analyzer.

In neuen Projekten ist der Network Analyzer automatisch aktiviert. Er nutzt die Rolle Network Management Service Agent, um bestimmte Netzwerkkonfigurationen auszulesen, die für die Erkennung von Insights zur Konnektivität zwischen GKE on-premises und der Control Plane benötigt werden.

Damit diese Insights ermittelt werden, müssen Sie die Network Management API networkmanagement.googleapis.com im Zielprojekt manuell aktivieren.

Um mehrere Projekte im Network Analyzer einzusehen, müssen Sie zunächst einen Metrics Scope anlegen. Anschließend fügen Sie diesem Scope die Projekte hinzu, die Sie überwachen möchten. So behalten Sie die Daten des Scoping-Projekts und der überwachten Projekte gleichzeitig im Blick – alle wichtigen Informationen an einem Ort.

• Einzelnes Projekt: Um auf die Analyseergebnisse eines Projekts zuzugreifen, weisen Sie die Berechtigungen compute.networks.list und compute.instances.list zu.
• Mehrere Projekte: Wenn Sie einen Cloud-Monitoring-Metrics Scope konfiguriert haben, weisen Sie die Berechtigungen compute.networks.list und compute.instances.list auf dem Scoping-Projekt zu.

Aktuell steht das Network-Analyzer-Modul allen Nutzern kostenfrei zur Verfügung. Auch wenn die Kosten des Moduls in Ihren Abrechnungsdetails auftauchen, werden sie Ihnen nicht in Rechnung gestellt. Sollte sich an der Rabattstruktur etwas ändern, erhalten Sie 90 Tage vor Inkrafttreten eine Benachrichtigung.

Sie können die Insights des Network Analyzers in der Google Cloud Console unter Network Intelligence Center -> Network Analyzer einsehen oder die Recommender CLI / API verwenden.

• Es kann 10–20 Minuten dauern, bis aktualisierte Informationen in der Console erscheinen. Über die Schaltfläche Update lässt sich die Neuberechnung der Insights auch manuell auslösen.

Beispielhafte Übersicht des Network Analyzers

• Klicken Sie auf die Anzeigeoption, um die Details eines Insights aufzurufen. Dort wird die Ursache benannt und ein Link zur Dokumentation mit Empfehlungen zur Behebung bereitgestellt.

Die folgenden Screenshots zeigen Beispiele für Insight-Übersichten.

Beispiel-Insight: Übersicht zu Konnektivitätsproblemen einer SQL-Instanz

Beispiel-Insight: Übersicht zur prozentualen IP-Adress-Auslastung eines Subnetzes

Cloud Logging speichert die vom Network Analyzer veröffentlichten Insights. Die Lognamen sind wie folgt aufgebaut:

projects/{project-id}/logs/networkanalyzer.googleapis.com%2Fanalyzer_reports

Beispielhafte Logs des Network Analyzers in Cloud Logging

Der Network Analyzer veröffentlicht keine Metriken in Cloud Monitoring. Mit Log-Abfragen lassen sich aber log-basierte Alerts einrichten, die Sie benachrichtigen, sobald der Network Analyzer entsprechende Insights entdeckt.

Beispiele für Log-Abfragen zu bestimmten Network-Analyzer-Insights finden Sie unter Log Queries; ein Beispiel-Setup zeigt die Dokumentation zu log-basierten Alerts.