Analyseur de chemin de réseau
Découvrez l'outil d'analyse de chemins réseau.
Aperçu de l'analyseur de chemin de réseau
L'analyseur de chemin de réseau (NPA) offre une capacité unifiée et intuitive qui vous permet d'identifier les problèmes de configuration du réseau virtuel qui ont une incidence sur la connectivité. Le NPA collecte et analyse la configuration du réseau pour déterminer le fonctionnement et les défaillances des chemins entre la source et la destination. Aucun trafic réel n'est envoyé, mais la configuration est examinée et utilisée pour confirmer l'accessibilité.
Le NPA examine attentivement les configurations de routage et de sécurité, et identifie le chemin de réseau potentiel parcouru par le trafic défini, ainsi que des informations sur les entités de réseau virtuel dans le chemin. En plus des informations sur le chemin, la sortie de ces vérifications comprend la façon dont les règles de routage et les listes d'accès au réseau (listes de sécurité, groupes de sécurité de réseau, etc.) permettent ou refusent le trafic. Les sources et les destinations peuvent se trouver au sein d'OCI, ou entre OCI et le réseau sur place, ou OCI et Internet. Le NPA analyse tous les éléments de réseau OCI standard avec leur configuration associée.
À l'aide de NPA, vous pouvez :
- Résoudre les erreurs de configuration du routage et de la sécurité qui causent des problèmes de connectivité.
- Valider que les chemins de réseau logiques correspondent à l'intention
- Vérifier que la configuration de la connectivité du réseau virtuel fonctionne comme prévu avant de commencer à envoyer du trafic
Pour atteindre ces objectifs, créez un test qui, selon vous, fonctionne, puis exécutez le test. Vous pouvez également enregistrer cette définition de test pour l'exécuter à nouveau plus tard. Les tests enregistrés sont affichés dans la page Analyseur de chemin de réseau pour vous permettre de les sélectionner.
Les scénarios de source et de destination suivants sont pris en charge :
- OCI vers OCI
- OCI vers réseau sur place
- Réseau sur place vers OCI
- Internet vers OCI
- OCI vers Internet
Des tests peuvent être définis pour les paramètres suivants :
| Options de source | Options de destination | Protocole | Informations sur le port | Indicateur bidirectionnel |
|---|---|---|---|---|
|
|
Tout protocole IP pris en charge dans la liste de sécurité courante. |
Selon le type de protocole fourni :
|
Indicateur de contrôle bidirectionnel, activé par défaut pour TCP et UDP. Vous avez la possibilité de désactiver cet indicateur pour contrôler la connectivité unidirectionnelle et le chemin (source vers destination). Cet indicateur est désactivé pour les protocoles non TCP/UDP. |
Une analyse est effectuée à l'aide d'un instantané de configuration complète, mais le chemin de réseau affiché est limité aux entités que vous êtes autorisé à consulter. Si vous n'avez pas l'autorisation nécessaire pour voir les objets du chemin, ceux-ci ou d'autres détails ne s'affichent pas sur la sortie de test.
L'analyseur de chemin de réseau utilise Batfish, une bibliothèque d'analyse de configuration de réseau à code source libre. Le NPA utilise Batfish pour effectuer une analyse d'accessibilité et identifier les erreurs de configuration. Intentionet tient à jour la bibliothèque Batfish.
Autorisations requises
Nous vous recommandons de toujours définir les politiques d'autorisation suivantes au niveau de la location (si ces autorisations sont définies au niveau du compartiment, les résultats de l'analyse de chemin peuvent être moins exacts) pour utiliser l'analyseur de chemin de réseau :
allow group <group-name> to manage vn-path-analyzer-test in tenancy
allow any-user to inspect compartments in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read instances in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read virtual-network-family in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read load-balancers in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read network-security-group in tenancy where all { request.principal.type = 'vnpa-service' } Où <group-name> est le nom du groupe d'administrateurs pour les ressources de réseau.
L'octroi des autorisations d'utilisation de cet outil peut entraîner une surexposition des informations sur la configuration du réseau et ses paramètres de sécurité à un utilisateur. En observant le statut d'accessibilité, un utilisateur malveillant peut déduire la présence de services de réseau et des informations de routage et de sécurité connexes. Accordez uniquement l'accès à l'outil aux utilisateurs et administrateurs de confiance.
Voir la section path-analyzer-test sous Informations détaillées sur le service de surveillance de réseau pour plus de détails sur les autorisations relatives aux NPA.
Restrictions et limites connues
Les cas d'utilisation du NPA suivants ne sont pas pris en charge :
- Si la source et les destinations se trouvent dans le même sous-réseau et avec une adresse IP privée différente, cela produira des résultats incorrects.
- Lorsque la table de routage d'un sous-réseau comporte un saut suivant défini comme adresse IP privée, il est possible qu'elle affiche incorrectement le statut Aucune route.
- Si les passerelles LPG sont appairées entre les locations, la réponse concernant l'analyse de chemin est indéterminée.
- Si des connexions RPC traversent des locations ou des régions, la réponse concernant l'analyse de chemin est indéterminée.
- NPA ne prend pas en charge IPv6. Les adresses IPv6 ne peuvent pas être utilisées comme sources ou destinations. Les paramètres de routage et de sécurité IPv6 sont ignorés et n'ont aucune incidence sur les résultats.
- Le NPA ne détecte pas les boucles de routage, et si elles sont présentes, les résultats peuvent être incertains ou indiquer un échec.
- Le routage intra-VCN et le routage de passerelle Internet ne sont pas encore pris en charge dans NPA et peuvent entraîner des résultats d'analyse de chemin inexacts.
- Le NPA ne fonctionne pas si le nombre de compartiments de la location demandant l'analyse de chemin est supérieur à 100. Pour ces locations, vous devez lire une demande de soutien pour utiliser l'analyseur de réseau.
Cas d'utilisation spéciaux
Lorsque certaines entités figurent dans le chemin pour faire l'objet d'une analyse et qu'elles ne sont ni la source ni la destination, les comportements suivants sont observés. Vous pouvez utiliser la solution indiquée pour ces cas d'utilisation, le cas échéant.
| Noeud dans le chemin | Résultat du NPA | Solution |
|---|---|---|
|
Appareil virtuel réseau (NVA) |
Indéterminé |
Créez deux contrôles d'analyse de chemin, un de la source au NVA et l'autre, du NVA à la destination. |
|
NLB déployé en mode non transparent avec SNAT configurée |
Aucune route |
Créez deux contrôles d'analyse de chemin, un de la source au NLB et l'autre, du NLB à la destination. |
|
Équilibreur de charge de réseau en mode transparent |
Indéterminé |
Créez deux contrôles d'analyse de chemin, un de la source au NLB et l'autre, du NLB à la destination. |
|
Équilibreur de charge |
Aucune route |
Créez deux contrôles d'analyse de chemin, un de la source au LB et l'autre, du LB à la destination. |
|
FWaaS |
Indéterminé |
Créez deux contrôles d'analyse de chemin, un de la source au FWaaS et l'autre, du FWaaS à la destination. |
| Inter-région à l'aide d'une connexion d'appairage distant |
Indéterminé |
Créez deux contrôles d'analyse de chemin, un pour chaque région. |
| Interlocation au moyen d'une passerelle LPG |
Indéterminé |
Créez deux contrôles d'analyse de chemin, une pour chaque location. |
| DRG v1 |
Indéterminé |
Mettez à niveau vers DRG v2. |
Le diagramme suivant présente un des cas d'utilisation où l'analyse de chemin doit être fractionnée en deux.
Demandes de travail d'analyse de chemins de réseau
Utilisez des demandes de travail pour surveiller les opérations de longue durée telles que les tests d'analyse de chemin de réseau. Lorsque vous exécutez ce type d'opération, le service génère une demande de travail . Une demande de travail est un journal d'activité que vous pouvez utiliser pour suivre chaque étape de la progression de l'opération. Chaque demande de travail dispose d'un OCID (identificateur Oracle Cloud) que vous pouvez utiliser pour interagir avec elle par programmation et l'utiliser pour l'automatisation. Les demandes de travail sont conservées pendant 12 heures.
Tâches de l'analyseur de chemin de réseau
Vous pouvez effectuer les tâches suivantes à l'aide de l'outil Analyseur de chemin réseau :
Tâches de test d'analyse de chemins
- Création d'un test d'analyse de chemins
- Exécution d'un test d'analyse de chemins
- Liste des tests d'analyse de chemins
- Obtention des détails d'un test d'analyse de chemins
- Modification d'un test d'analyse de chemins
- Déplacement d'un test d'analyse de chemins vers un autre compartiment
- Suppression d'un test d'analyse de chemins
Tâches de demande de travail d'analyse de chemin
- Liste des demandes de travail d'analyse de chemins
- Obtention des détails d'une demande de travail d'analyse de chemins
- Liste des erreurs de demande de travail d'analyse de chemins
- Liste des journaux de demande de travail d'analyse de chemins
- Liste des résultats de demande de travail d'analyse de chemins