Network Path Analyzer

Erfahren Sie mehr über das Netzwerkpfad-Analysetool.

Überblick über Network Path Analyzer

Network Path Analyzer (NPA) bietet eine einheitliche und intuitive Funktion zur Identifizierung von Konfigurationsproblemen bei virtuellen Netzwerken, die sich auf die Verbindung auswirken können. NPA erfasst und analysiert die Netzwerkkonfiguration, um zu entscheiden, wie die Pfade zwischen der Quelle und dem Ziel funktionieren oder nicht funktionieren. Es wird kein tatsächlicher Traffic gesendet. Vielmehr wird die Konfiguration geprüft und zur Bestätigung der Erreichbarkeit verwendet.

NPA untersucht Routing- und Sicherheitskonfigurationen sorgfältig und identifiziert den potenziellen Netzwerkpfad, den der definierte Traffic durchläuft, zusammen mit Informationen zu virtuellen Netzwerkentitys im Pfad. Zusätzlich zu den Pfadinformationen enthält die Ausgabe dieser Prüfungen Angaben dazu, wie Routingregeln und Netzwerksicherheitsfunktionen (Sicherheitslisten, NSGs, Zero Trust Packet Routing usw.) Traffic zulassen oder ablehnen. Die Quellen und Ziele können sich innerhalb von OCI, in OCI und On Premise oder in OCI und Internet befinden. NPA analysiert alle standardmäßigen OCI-Netzwerkelemente mit der jeweils zugehörigen Konfiguration.

NPA bietet folgende Möglichkeiten:

Fehlerhafte Routing- und Sicherheitskonfigurationen korrigieren, die Konnektivitätsprobleme verursachen
Übereinstimmung der logischen Netzwerkpfade mit Intent validieren
Erwartungsgemäße Funktionsweise des Setups der virtuellen Netzwerkkonnektivität prüfen, bevor Sie mit dem Senden von Traffic beginnen

Um diese Ziele zu erreichen, erstellen Sie einen Test, der Ihrer Meinung nach funktioniert, und führen Sie den Test aus. Sie können diese Testdefinition auch speichern, um sie später erneut auszuführen. Gespeicherte Tests werden auf der Seite "NPA" angezeigt, die Sie auswählen können.

Die folgenden Quell- und Zielszenarios werden unterstützt:

Von OCI zu OCI
Von OCI zu On Premise
Von On Premise zu OCI
Vom Internet zu OCI
Von OCI zum Internet

Tests können für folgende Parameter definiert werden:

Quelloptionen	Zieloptionen	Protokoll	Portinformationen	Bidirektionales Flag
Eine IP-Adresse (innerhalb von OCI, On Premise oder im Internet) Compute-Instanz-VNIC LBaaS NLB	Eine IP-Adresse (innerhalb von OCI, On Premise oder im Internet) Compute-Instanz-VNIC LBaaS NLB	Jedes IP-Protokoll, das in der aktuellen Sicherheitsliste unterstützt wird.	Abhängig vom bereitgestellten Protokolltyp: Zielport Quellport ICMP-Optionen	Ein Flag zur bidirektionalen Prüfung, standardmäßig aktiviert für TCP und UDP. Sie können dieses Flag bei Bedarf deaktivieren, um unidirektionale Konnektivität und Pfade (Quelle zu Ziel) zu prüfen. Dieses Flag ist für Nicht-TCP/UDP-Protokolle deaktiviert.

Quelloptionen

Zieloptionen

Protokoll

Portinformationen

Bidirektionales Flag

Eine IP-Adresse (innerhalb von OCI, On Premise oder im Internet)
Compute-Instanz-VNIC
LBaaS
NLB

Eine IP-Adresse (innerhalb von OCI, On Premise oder im Internet)
Compute-Instanz-VNIC
LBaaS
NLB

Jedes IP-Protokoll, das in der aktuellen Sicherheitsliste unterstützt wird.

Abhängig vom bereitgestellten Protokolltyp:

Zielport
Quellport
ICMP-Optionen

Ein Flag zur bidirektionalen Prüfung, standardmäßig aktiviert für TCP und UDP. Sie können dieses Flag bei Bedarf deaktivieren, um unidirektionale Konnektivität und Pfade (Quelle zu Ziel) zu prüfen. Dieses Flag ist für Nicht-TCP/UDP-Protokolle deaktiviert.

Eine Analyse erfolgt anhand eines vollständigen Konfigurations-Snapshots. Der daraufhin angezeigte Netzwerkpfad ist jedoch auf die Entitys beschränkt, zu deren Anzeige Sie berechtigt sind. Wenn Sie nicht über die erforderliche Berechtigung zum Anzeigen von Objekten im Pfad verfügen, zeigt die Testausgabe weder diese Objekte noch weitere Details an.

NPA verwendet Batfish, eine Open Source-Bibliothek zur Netzwerkkonfigurationsanalyse. NPA verwendet Batfish, um eine Erreichbarkeitsanalyse durchzuführen und Konfigurationsfehler zu identifizieren. Die Batfish Library wird von Intentionet verwaltet.

Hinweis

Wenn ein Endpunkt ein Zero Trust Packet Routing-(ZPR-)Sicherheitsattribut aufweist, muss der Traffic zum Endpunkt ZPR-Policys sowie alle NSG- und Sicherheitslistenregeln erfüllen. Beispiel: Wenn Sie bereits NSGs verwenden und einem Endpunkt ein Sicherheitsattribut hinzufügen, wird der gesamte Traffic zum Endpunkt blockiert. Ab diesem Zeitpunkt muss eine ZPR-Policy den Traffic zum Endpunkt explizit zulassen.

NPA hilft bei der Identifizierung von Problemen mit Sicherheitsattributen und ZPR-Policys für Zero Trust Packet Routing. Einzelheiten zu den Voraussetzungen und zur Konfiguration von Zero Trust Packet Routing finden Sie in den verknüpften Dokumenten.

Erforderliche Berechtigungen

Es wird empfohlen, die folgenden Berechtigungs-Policys immer auf Mandantenebene festzulegen (durch Festlegen dieser Berechtigungen auf Compartment-Ebene können die Ergebnisse der Pfadanalyse weniger genau ausfallen), um Network Path Analyzer zu verwenden.

Benutzerberechtigungen
- Konfigurieren Sie die folgenden Berechtigungen, um Benutzern in der Benutzergruppe <group-name> die Möglichkeit zu erteilen, NPA zu verwenden, wobei <group-name> der Name der Administratorgruppe für Netzwerkressourcen ist.
```
allow group <group-name> to manage vn-path-analyzer-test in tenancy
```

Serviceberechtigungen

Konfigurieren Sie die folgenden Berechtigungen, damit der NPA-Service zur Pfadanalyse auf Ressourcen und Services im Mandanten zugreifen kann.


allow any-user to inspect compartments in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read instances in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read virtual-network-family in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read load-balancers in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read network-security-group in tenancy where all { request.principal.type = 'vnpa-service' } 
allow any-user to read zpr-family in tenancy where all { request.principal.type = 'vnpa-service' }

Hinweis

Wenn Sie Berechtigungen zur Verwendung dieses Tools erteilen, könnte ein Toolbenutzer zu viele Informationen über Netzwerkkonfigurations- und Netzwerksicherheitseinstellungen erhalten. Durch Beobachten des Erreichbarkeitsstatus kann ein böswilliger Benutzer Rückschlüsse auf das Vorhandensein von Netzwerkservices und zugehörige Routing- und Sicherheitsinformationen ziehen. Gewähren Sie nur vertrauenswürdigen Benutzern und Administratoren Zugriff auf das Tool.

Weitere Informationen zu NPA-Berechtigungen finden Sie unter Details zum Network Monitoring Service im Abschnitt path-analyzer-test.

Bekannte Bedingungen und Einschränkungen

Die folgenden NPA-Anwendungsfälle werden nicht unterstützt:

Quellen und Ziele in demselben Subnetz und mit einer anderen privaten IP haben falsche Ergebnisse.
Wenn in der Routentabelle eines Subnetzes ein nächster Hop als private IP definiert ist, wird der Status möglicherweise fälschlicherweise als "Keine Route" angezeigt.
Wenn LPGs mandantenübergreifend per Peering verbunden sind, ist die Antwort für die Pfadanalyse "Unbestimmt".
Wenn RPC-Verbindungen mandanten- oder regionsübergreifend sind, ist die Antwort für die Pfadanalyse "Unbestimmt".
NPA unterstützt IPv6 nicht. IPv6-Adressen können nicht als Quellen oder Ziele verwendet werden. IPv6 Routing- und Sicherheitseinstellungen werden ignoriert und wirken sich nicht auf die Ergebnisse aus.
NPA erkennt keine Routingschleifen, und wenn Routingschleifen vorhanden sind, können die Ergebnisse nicht eindeutig sein oder auf einen Fehler hinweisen.
Intra-VCN-Routing und Internetgatewayrouting werden in NPA noch nicht unterstützt und können zu falschen Pfadanalyseergebnissen führen.
NPA funktioniert nicht, wenn die Anzahl der Compartments im Mandanten, für den die Pfadanalyse erforderlich ist, mehr als 100 beträgt. Für diese Mandanten müssen Sie eine Supportanfrage erstellen, um NPA zu verwenden.
NPA kann ZPR-Policys nicht auswerten, wenn das Ziel aufgrund eines Problems mit dem Routing, der Sicherheitsliste oder der Netzwerksicherheitsgruppe nicht erreicht werden kann. In solchen Fällen zeigt NPA eine Benachrichtigung ZPR konnte nicht ausgewertet werden an.
Das Festlegen eines PSA-Endpunkts als Quellendpunkt wird nicht unterstützt. Ein PSA-Endpunkt kann nur ein Zielendpunkt für die Pfadanalyse sein.

Spezielle Anwendungsfälle

Wenn sich einige Entitys im Pfad für eine Pfadanalyse befinden und weder die Quelle noch das Ziel sind, tritt das folgende Verhalten auf. Für diese Anwendungsfälle können Sie die angegebene Lösung verwenden, sofern verfügbar.

Knoten in Pfad	NPA-Ergebnis	Lösung
Virtuelle Netzwerk-Appliance (NVA)	Unbestimmt	Erstellen Sie zwei Pfadanalyseprüfungen: eine von der Quelle zur NVA und eine von der NVA zum Ziel.
NLB im nicht transparenten Modus mit konfiguriertem SNAT bereitgestellt	Keine Route	Erstellen Sie zwei Pfadanalyseprüfungen: eine von der Quelle zum NLB und eine vom NLB zum Ziel.
Network Load Balancer im transparenten Modus	Unbestimmt	Erstellen Sie zwei Pfadanalyseprüfungen: eine von der Quelle zum NLB und eine vom NLB zum Ziel.
Load Balancer	Keine Route	Erstellen Sie zwei Pfadanalyseprüfungen: eine von der Quelle zum LB und eine vom LB zum Ziel.
FWaaS	Unbestimmt	Erstellen Sie zwei Pfadanalyseprüfungen: eine von der Quelle zum FWaaS und eine vom FWaaS zum Ziel.
Regionsübergreifend mit RPC	Unbestimmt	Erstellen Sie zwei Pfadanalyseprüfungen, eine für jede Region.
Mandantenübergreifend mit LPG	Unbestimmt	Erstellen Sie zwei Pfadanalyseprüfungen, eine für jeden Mandanten.
DRG v1	Unbestimmt	Führen Sie ein Upgrade auf DRG v2 durch.

Das folgende Diagramm zeigt einen der Anwendungsfälle, bei denen die Pfadanalyse zweigeteilt werden muss.

Abbildung, die eine Situation zeigt, bei der die Pfadanalyse zweigeteilt werden muss.

Arbeitsanforderungen für Netzwerkpfadanalysen

Mit Arbeitsanforderungen können Sie Vorgänge mit langer Ausführungszeit überwachen, wie Netzwerkpfadanalysetests. Wenn Sie einen solchen Vorgang ausführen, startet der Service eine Arbeitsanforderung . Eine Arbeitsanforderung ist ein Aktivitätslog, mit dem Sie jeden Schritt im Vorgangsstatus verfolgen können. Jede Arbeitsanforderung verfügt über eine OCID (Oracle Cloud-ID), die Sie für die programmgesteuerte Interaktion und die Verwendung zur Automatisierung verwenden können. Arbeitsanforderungen werden 12 Stunden lang aufbewahrt.