Network Path Analyzer

Descripción general de Network Path Analyzer

Network Path Analyzer (NPA) proporciona una capacidad unificada e intuitiva que puede utilizar para identificar incidencias de configuración de red virtual que afecten a la conectividad. NPA recopila y analiza la configuración de red para determinar si funcionan o fallan las rutas entre el origen y el destino. El lugar de enviar tráfico real, se examina y se utiliza la configuración para confirmar la accesibilidad.

NPA examina detenidamente las configuraciones de enrutamiento y seguridad e identifica la posible ruta de red que recorre el tráfico definido, junto con información sobre las entidades de red virtual en la ruta. Además de la información de ruta, la salida de estas comprobaciones incluye de qué modo las reglas de enrutamiento y las listas de acceso a la red (listas de seguridad, NSG, etc.) permiten o deniegan el tráfico. Los orígenes y los destinos pueden estar en OCI, o en OCI y entornos locales, o en OCI e internet. NPA analiza todos los elementos de red de OCI estándar con su configuración asociada.

Mediante NPA, puede:

• Solucionar problemas de configuración de enrutamiento y seguridad que causan incidencias de conectividad
• Validar que las rutas de red lógicas coinciden con su intención
• Verifique que la configuración de conectividad de red virtual funcione como se espera antes de empezar a enviar tráfico

Para lograr cualquiera de estos objetivos, cree una prueba que crea que debería funcionar y, a continuación, ejecute la prueba. También puede guardar esta definición de prueba para volver a ejecutarla más tarde. Las pruebas guardadas se muestran en la página Analizador de rutas de red para que las seleccione.

Están soportados los siguientes escenarios de origen y destino:

• De OCI a OCI
• De OCI a local
• De local a OCI
• De Internet a OCI
• De OCI a internet

Las pruebas se pueden definir para los siguientes parámetros:

Se realiza un análisis mediante una instantánea de configuración completa, pero la ruta de red resultante que se muestra está limitada a las entidades para las que tiene permiso de visualización. Si no tiene el permiso necesario para ver objetos en la ruta, la salida de la prueba no muestra esos objetos ni ningún otro detalle.

Network Path Analyzer utiliza Batfish, una biblioteca de análisis de configuración de red de código abierto. NPA utiliza Batfish para realizar análisis de accesibilidad e identificar errores de configuración. Intentionet mantiene la biblioteca Batfish.

Permisos necesarios

Oracle recomienda que defina siempre las siguientes políticas de permisos en el nivel de arrendamiento (la definición de estos permisos en un nivel de compartimento puede hacer que los resultados del análisis de ruta sean menos precisos) para utilizar Network Path Analyzer:

allow group <group-name> to manage vn-path-analyzer-test in tenancy 
allow any-user to inspect compartments in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read instances in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read virtual-network-family in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read load-balancers in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read network-security-group in tenancy where all { request.principal.type = 'vnpa-service' } 

Donde <group-name> es el nombre del grupo de administradores para los recursos de red.

Consulte la sección path-analyzer-test de Detalles del servicio de supervisión de red para obtener más información sobre los permisos de NPA.

Advertencias y limitaciones conocidas

Los siguientes casos de uso de NPA no están soportados:

• Los orígenes y los destinos que estén en la misma subred y con una IP privada diferente producirán resultados incorrectos.
• Cuando la tabla de rutas de una subred tiene definido el siguiente salto como una IP privada, es posible que el estado aparezca incorrectamente como Sin ruta.
• Si los LPG se intercambian entre arrendamientos, la respuesta para el análisis de ruta es Indeterminado.
• Si las conexiones de RPC son entre arrendamientos o regiones, la respuesta para el análisis de ruta es Indeterminado.
• NPA no soporta IPv6. Las direcciones IPv6 no se pueden utilizar como orígenes o destinos. Los valores de enrutamiento y seguridad de IPv6 se ignoran y no afectan a los resultados.
• NPA no detecta bucles de enrutamiento y, si hay bucles de enrutamiento presentes, es posible que los resultados no sean concluyentes o que indiquen un fallo.
• El enrutamiento dentro de la VCN y el enrutamiento de gateway de internet aún no están soportados en NPA y pueden causar resultados inexactos en el análisis de ruta.
• Actualmente, NPA no funcionará si el número de compartimentos del arrendamiento que solicita el análisis de ruta es superior a 100. Para estos arrendamientos, debe generar una solicitud de soporte para utilizar NPA.

Casos de uso especiales

Cuando algunas entidades están en la ruta de un análisis de ruta y no son ni el origen ni el destino, se observan los siguientes comportamientos. Puede utilizar la solución indicada para estos casos de uso, si hay una disponible.

En el siguiente diagrama se muestra uno de los casos de uso en los que el análisis de ruta se debe dividir en dos.

Solicitudes de trabajo de análisis de ruta de red

Las solicitudes de trabajo permiten supervisar operaciones de larga duración, como pruebas de análisis de rutas de red. Al iniciar una operación de este tipo, el servicio genera una solicitud de trabajo . Una solicitud de trabajo es un log de actividad que permite realizar un seguimiento de cada paso del progreso de la operación. Cada solicitud de trabajo tiene un OCID (identificador de Oracle Cloud) que le permite interactuar con ella mediante programación y utilizarla para su automatización. Las solicitudes de trabajo se conservan durante 12 horas.