Network Path Analyzer

Überblick über Network Path Analyzer

Network Path Analyzer (NPA) bietet eine einheitliche und intuitive Funktion zum Identifizieren von Konfigurationsproblemen bei virtuellen Netzwerken, die sich auf die Konnektivität auswirken können. NPA erfasst und analysiert die Netzwerkkonfiguration, um festzustellen, wie die Pfade zwischen der Quelle und dem Ziel funktionieren oder nicht funktionieren. Es wird kein tatsächlicher Traffic gesendet. Vielmehr wird die Konfiguration geprüft und zur Bestätigung der Erreichbarkeit verwendet.

NPA untersucht die Routing- und Sicherheitskonfigurationen sorgfältig und identifiziert den potenziellen Netzwerkpfad, den Ihr definierter Traffic durchläuft, zusammen mit Informationen zu virtuellen Netzwerkentitys im Pfad. Zusätzlich zu den Pfadinformationen enthält die Ausgabe dieser Prüfungen Angaben dazu, wie Routingregeln und Netzwerkzugriffslisten (Sicherheitslisten, NSGs usw.) Traffic zulassen oder ablehnen. Die Quellen und Ziele können sich innerhalb von OCI, in OCI und On Premise oder in OCI und Internet befinden. NPA analysiert alle standardmäßigen OCI-Netzwerkelemente mit der jeweils zugehörigen Konfiguration.

NPA bietet folgende Möglichkeiten:

• Fehlerhafte Routing- und Sicherheitskonfigurationen korrigieren, die Konnektivitätsprobleme verursachen
• Übereinstimmung der logischen Netzwerkpfade mit Ihrer Absicht validieren
• Erwartungsgemäße Funktionsweise des Setups der virtuellen Netzwerkkonnektivität prüfen, bevor Sie mit dem Senden von Traffic beginnen

Um diese Ziele zu erreichen, erstellen Sie einen Test, der Ihrer Meinung nach funktionieren sollte, und führen ihn dann aus. Sie können diese Testdefinition auch speichern, um sie später erneut auszuführen. Gespeicherte Tests werden auf der Seite Network Path Analyzer angezeigt, und Sie können sie dort auswählen.

Die folgenden Quell- und Zielszenarios werden unterstützt:

• Von OCI zu OCI
• Von OCI zu On Premise
• Von On Premise zu OCI
• Vom Internet zu OCI
• Von OCI zum Internet

Tests können für folgende Parameter definiert werden:

Eine Analyse erfolgt anhand eines vollständigen Konfigurations-Snapshots. Der daraufhin angezeigte Netzwerkpfad ist jedoch auf die Entitys beschränkt, zu deren Anzeige Sie berechtigt sind. Wenn Sie nicht über die erforderliche Berechtigung zum Anzeigen von Objekten im Pfad verfügen, zeigt die Testausgabe weder diese Objekte noch weitere Details an.

Network Path Analyzer verwendet Batfish, eine Open Source Library zur Netzwerkkonfigurationsanalyse. NPA verwendet Batfish, um eine Erreichbarkeitsanalyse durchzuführen und Konfigurationsfehler zu identifizieren. Die Batfish Library wird von Intentionet verwaltet.

Erforderliche Berechtigungen

Oracle empfiehlt, die folgenden Berechtigungs-Policys immer auf Mandantenebene festzulegen (auf Compartment-Ebene könnten die Ergebnisse der Pfadanalyse weniger genau ausfallen), um Network Path Analyzer zu verwenden:

allow group <group-name> to manage vn-path-analyzer-test in tenancy 
allow any-user to inspect compartments in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read instances in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read virtual-network-family in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read load-balancers in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read network-security-group in tenancy where all { request.principal.type = 'vnpa-service' } 

Dabei ist <group-name> der Name der Administratorgruppe für Netzwerkressourcen.

Weitere Informationen zu NPA-Berechtigungen finden Sie unter Details zum Netzwerkmonitoringservice im Abschnitt path-analyzer-test.

Bekannte Bedingungen und Einschränkungen

Die folgenden NPA-Anwendungsfälle werden nicht unterstützt:

• Wenn sich Quelle und Ziele in demselben Subnetz befinden und eine unterschiedliche private IP haben, sind die Ergebnisse falsch.
• Wenn in der Routentabelle eines Subnetzes ein nächster Hop als private IP definiert ist, wird der Status möglicherweise fälschlicherweise als "Keine Route" angezeigt.
• Wenn LPGs mandantenübergreifend per Peering verbunden sind, ist die Antwort für die Pfadanalyse "Unbestimmt".
• Wenn RPC-Verbindungen mandanten- oder regionsübergreifend sind, ist die Antwort für die Pfadanalyse "Unbestimmt".
• NPA unterstützt IPv6 nicht. IPv6-Adressen können nicht als Quellen oder Ziele verwendet werden. IPv6-Routing- und -Sicherheitseinstellungen werden ignoriert und wirken sich nicht auf die Ergebnisse aus.
• NPA erkennt keine Routingschleifen, und falls Routingschleifen vorhanden sind, können die Ergebnisse nicht eindeutig sein oder auf einen Fehler hinweisen.
• Intra-VCN-Routing und Internetgateway-Routing werden in NPA noch nicht unterstützt und können zu falschen Pfadanalyseergebnissen führen.
• Derzeit funktioniert NPA nicht, wenn die Anzahl der Compartments im Mandanten, für den die Pfadanalyse angefordert wird, mehr als 100 beträgt. Für diese Mandanten müssen Sie eine Supportanfrage erstellen, um NPA zu verwenden.

Spezielle Anwendungsfälle

Wenn sich einige Entitys im Pfad für eine Pfadanalyse befinden und weder die Quelle noch das Ziel sind, kommt es zu den folgenden Verhaltensweisen. Für diese Anwendungsfälle können Sie die angegebene Lösung verwenden, sofern verfügbar.

Das folgende Diagramm zeigt einen der Anwendungsfälle, bei denen die Pfadanalyse zweigeteilt werden muss.

Arbeitsanforderungen für Netzwerkpfadanalysen

Mit Arbeitsanforderungen können Sie Vorgänge mit langer Ausführungszeit wie Netzwerkpfadanalysetests überwachen. Wenn Sie einen solchen Vorgang starten, startet der Service eine Arbeitsanforderung . Eine Arbeitsanforderung ist ein Aktivitätslog, mit dem Sie die einzelnen Schritte im Fortschritt des Vorgangs verfolgen können. Jede Arbeitsanforderung hat eine OCID (Oracle Cloud Identifier), mit der Sie programmgesteuert mit ihr interagieren und sie zur Automatisierung verwenden können. Arbeitsanforderungen werden 12 Stunden lang aufbewahrt.