Détection proactive des erreurs de configuration réseau dans Google Cloud avec Network Analyzer

Network Analyzer fait partie du Network Intelligence Center. C'est un service entièrement géré qui surveille automatiquement les configurations du réseau Virtual Private Cloud (VPC) et détecte les erreurs de configuration ainsi que les configurations sous-optimales qui auraient pu être déployées par inadvertance.

Il fournit des informations sur la topologie du réseau, les règles de pare-feu, les routes, les dépendances de configuration et la connectivité aux services et applications. Il identifie les défaillances réseau, en explique la cause racine et propose des pistes de résolution.

Network Analyzer s'exécute en continu et déclenche les analyses pertinentes en fonction des mises à jour de configuration de votre réseau, en quasi temps réel. Lorsqu'une défaillance réseau est détectée, il tente de la corréler aux changements de configuration récents pour en identifier les causes profondes. Dans la mesure du possible, il fournit des recommandations détaillées pour résoudre le problème.

Les résultats produits par Network Analyzer sont appelés insights. Ils sont actuellement répartis en 5 catégories :

• Réseau VPC : couvre la configuration de base du réseau VPC, notamment les informations ou problèmes liés aux adresses IP, aux routes, aux règles de pare-feu, au peering VPC et au VPC partagé.
• Services réseau : couvre les problèmes liés aux load balancers, comme les règles de pare-feu qui bloquent les health checks, ou un service backend qui utilise des ports différents pour les health checks et le trafic. Fournit également des insights informatifs présentant les bonnes pratiques.
• Kubernetes Engine : couvre les problèmes réseau liés à GKE susceptibles d'impacter son fonctionnement et sa connectivité. Analyse également l'utilisation des IP par les pods GKE et effectue divers contrôles pour vérifier l'application des bonnes pratiques sur les clusters GKE.
• Connectivité hybride : recense les problèmes de connectivité hybride et les bonnes pratiques pour Cloud VPN, Cloud Interconnect, Cloud Router, le peering BGP, les routes dynamiques et le Network Connectivity Center (NCC).
• Services managés : recense les problèmes de connectivité avec les services managés par Google. Network Analyzer détecte les problèmes de connectivité depuis une adresse IP située dans le même réseau et la même région vers des services managés tels que les instances Cloud SQL avec adresse IP privée.

Consultez la liste complète des analyseurs ici ; Google Cloud Platform (GCP) enrichit en permanence ce module de nouveaux analyseurs.

Network Analyzer est automatiquement activé sur les nouveaux projets. Il s'appuie sur le rôle Network Management Service Agent pour lire certaines configurations réseau utilisées pour découvrir les insights de connectivité entre GKE on-premises et le control plane.

Vous devez activer manuellement l'API Network Management networkmanagement.googleapis.com dans le projet cible pour obtenir ces insights.

Pour visualiser plusieurs projets dans Network Analyzer, vous devez d'abord créer un metrics scope. Une fois le scope créé, vous pouvez y ajouter les projets à surveiller. Vous pourrez ainsi suivre simultanément les données du projet de scope et celles des projets surveillés, et centraliser toutes les informations importantes au même endroit.

• Projet unique : pour accéder aux résultats d'analyse d'un projet, attribuez les permissions compute.networks.list et compute.instances.list.
• Plusieurs projets : si vous avez configuré un metrics scope Cloud Monitoring, attribuez les permissions compute.networks.list et compute.instances.list sur le projet de scope.

Le module Network Analyzer est actuellement disponible gratuitement pour tous les utilisateurs. Son coût peut apparaître dans le détail de votre facturation, mais il ne vous sera pas facturé. En cas de modification de la structure tarifaire, vous serez prévenu 90 jours avant son entrée en vigueur.

Vous pouvez consulter les insights de Network Analyzer depuis la Google Cloud Console via Network Intelligence Center -> Network analyzer, ou via la CLI / API Recommender.

• L'affichage des informations actualisées dans la console peut prendre 10 à 20 minutes ; vous pouvez aussi forcer la régénération des insights en cliquant sur Update.

Exemple de vue récapitulative de Network Analyzer

• Cliquez sur l'option d'affichage pour consulter le détail d'un insight. L'outil identifie la cause racine et fournit un lien vers la documentation contenant les recommandations pour résoudre le problème.

Voici quelques exemples de récapitulatifs d'insights.

Exemple d'insight : récapitulatif des problèmes de connectivité d'une instance SQL

Exemple d'insight : récapitulatif du pourcentage d'allocation des adresses IP d'un sous-réseau

Cloud Logging stocke les insights publiés par Network Analyzer. Les noms de logs respectent le format suivant :

projects/{project-id}/logs/networkanalyzer.googleapis.com%2Fanalyzer_reports

Exemple de logs Network Analyzer dans Cloud Logging

Network Analyzer ne publie pas de métriques dans Cloud Monitoring, mais vous pouvez utiliser les requêtes de logs pour configurer des alertes basées sur les logs et être notifié dès qu'un insight correspondant est détecté.

Reportez-vous aux log queries pour des exemples de requêtes adaptées à des insights Network Analyzer spécifiques, et aux alertes basées sur les logs pour un exemple de configuration.