Analyzer percorso di rete

Informazioni sullo strumento di analisi del percorso di rete.

Panoramica di Network Path Analyzer

Network Path Analyzer (NPA) fornisce una funzionalità unificata e intuitiva che è possibile utilizzare per identificare i problemi di configurazione della rete virtuale che influiscono sulla connettività. NPA raccoglie e analizza la configurazione di rete per decidere in che modo i percorsi tra l'origine e la funzione di destinazione o non riescono. Non viene inviato alcun traffico effettivo, invece la configurazione viene esaminata e utilizzata per confermare la raggiungibilità.

L'NPA esamina attentamente le configurazioni di routing e sicurezza e identifica il percorso di rete potenziale che attraversa il traffico definito, insieme alle informazioni sulle entità di rete virtuali nel percorso. Oltre alle informazioni sul percorso, l'output di questi controlli include il modo in cui le regole di instradamento e le funzioni di sicurezza di rete (elenchi di sicurezza, NSG, Zero Trust Packet Routing e così via) consentono o negano il traffico. Le origini e le destinazioni potrebbero essere all'interno di OCI o su OCI e on-premise o OCI e Internet. NPA analizza tutti gli elementi di rete OCI standard con la configurazione associata.

Utilizzando NPA, è possibile:

Risoluzione dei problemi di routing e configurazione errata della sicurezza che causano problemi di connettività
Verificare che i percorsi di rete logici corrispondano all'intento
Verificare che l'impostazione della connettività di rete virtuale funzioni come previsto prima di iniziare a inviare traffico

Per raggiungere uno qualsiasi di questi obiettivi, crea un test che pensi funzioni e quindi esegui il test. È inoltre possibile salvare questa definizione di test per eseguirla di nuovo in un secondo momento. I test salvati vengono visualizzati nella pagina NPA da selezionare.

Sono supportati i seguenti scenari di origine e destinazione:

Da OCI a OCI
Da OCI a on-premise
Da on-premise a OCI
Internet su OCI
Da OCI a Internet

È possibile definire i test per i parametri riportati di seguito.

Opzioni di origine	Opzioni destinazione	Protocollo	Informazioni sulla porta	Flag bidirezionale
Un indirizzo IP (all'interno di OCI, on-premise o Internet) Istanza di computazione VNIC LBaaS NLB	Un indirizzo IP (all'interno di OCI, on-premise o Internet) Istanza di computazione VNIC LBaaS NLB	Qualsiasi protocollo IP supportato nella lista di sicurezza corrente.	A seconda del tipo di protocollo fornito: Porta di destinazione Porta di origine Opzioni ICMP	Flag di controllo bidirezionale, abilitato per impostazione predefinita per TCP e UDP. È possibile disattivare questo flag per controllare la connettività e il percorso unidirezionali (da origine a destinazione). Questo flag è disabilitato per i protocolli non TCP/UDP.

Opzioni di origine

Opzioni destinazione

Protocollo

Informazioni sulla porta

Flag bidirezionale

Un indirizzo IP (all'interno di OCI, on-premise o Internet)
Istanza di computazione VNIC
LBaaS
NLB

Un indirizzo IP (all'interno di OCI, on-premise o Internet)
Istanza di computazione VNIC
LBaaS
NLB

Qualsiasi protocollo IP supportato nella lista di sicurezza corrente.

A seconda del tipo di protocollo fornito:

Porta di destinazione
Porta di origine
Opzioni ICMP

Flag di controllo bidirezionale, abilitato per impostazione predefinita per TCP e UDP. È possibile disattivare questo flag per controllare la connettività e il percorso unidirezionali (da origine a destinazione). Questo flag è disabilitato per i protocolli non TCP/UDP.

Un'analisi viene eseguita utilizzando uno snapshot di configurazione completo, ma il percorso di rete risultante visualizzato è limitato alle entità che si dispone dell'autorizzazione per visualizzare. Quando non si dispone dell'autorizzazione necessaria per visualizzare gli oggetti nel percorso, l'output del test non mostra tali oggetti o ulteriori dettagli.

NPA utilizza Batfish, una libreria di analisi della configurazione di rete open source. NPA utilizza Batfish per eseguire l'analisi della raggiungibilità e identificare gli errori di configurazione. Intentionet gestisce la libreria Batfish.

Nota

Se un endpoint dispone di un attributo di sicurezza ZPR (Zero Trust Packet Routing), il traffico verso l'endpoint deve soddisfare i criteri ZPR e tutte le regole NSG e della lista di sicurezza. Ad esempio, se si stanno già utilizzando gruppi di sicurezza di rete e si aggiunge un attributo di sicurezza a un endpoint, tutto il traffico verso l'endpoint viene bloccato. Da quel momento in poi, un criterio ZPR deve consentire esplicitamente il traffico verso l'endpoint.

NPA consente di identificare i problemi con gli attributi di sicurezza e i criteri ZPR di instradamento Zero Trust Packet. Vedere i documenti collegati per informazioni dettagliate sui prerequisiti e la configurazione di Zero Trust Packet Routing.

Autorizzazioni necessarie

Si consiglia di impostare sempre i criteri di autorizzazione riportati di seguito a livello di tenancy (l'impostazione di queste autorizzazioni a livello di compartimento può rendere i risultati dell'analisi del percorso meno esatti) per utilizzare Analyzer percorso di rete.

Autorizzazioni utente
- Configurare le seguenti autorizzazioni per concedere agli utenti del gruppo di utenti <group-name> la possibilità di utilizzare NPA, dove <group-name> è il nome del gruppo di amministratori per le risorse di rete.
```
allow group <group-name> to manage vn-path-analyzer-test in tenancy
```

Autorizzazioni servizio

Configurare le autorizzazioni riportate di seguito per consentire al servizio NPA di accedere alle risorse e ai servizi all'interno della tenancy per l'analisi del percorso.


allow any-user to inspect compartments in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read instances in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read virtual-network-family in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read load-balancers in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read network-security-group in tenancy where all { request.principal.type = 'vnpa-service' } 
allow any-user to read zpr-family in tenancy where all { request.principal.type = 'vnpa-service' }

Nota

Concedere le autorizzazioni per l'utilizzo di questo strumento potrebbe causare una sovraesposizione delle informazioni relative alla configurazione della rete e alle impostazioni di sicurezza della rete a un utente dello strumento. L'osservazione dello stato di raggiungibilità può essere utilizzata da un utente malintenzionato per dedurre la presenza di servizi di rete e relative informazioni di routing e sicurezza. Consente l'accesso allo strumento solo a utenti e amministratori attendibili.

Per ulteriori dettagli sulle autorizzazioni NPA, vedere la sezione path-analyzer-test di Details for the Network Monitoring Service.

Avvertenze e limitazioni note

I seguenti casi d'uso di NPA non sono supportati:

Le origini e le destinazioni che si trovano all'interno della stessa sottorete e con un IP privato diverso producono risultati errati.
Quando la tabella di instradamento di una subnet ha un hop successivo definito come un IP privato, potrebbe mostrare lo stato No-Route in modo errato.
Se i GPL vengono sottoposti a peering tra tenancy, la risposta per l'analisi del percorso è indeterminata.
Se le connessioni RPC si incrociano tra tenancy o aree, la risposta per l'analisi del percorso è Indeterminata.
NPA non supporta IPv6. Gli indirizzi IPv6 non possono essere utilizzati come origini o destinazioni. Le impostazioni di instradamento e sicurezza IPv6 vengono ignorate e non influiscono sui risultati.
L'NPA non rileva cicli di instradamento e, se sono presenti cicli di instradamento, i risultati possono essere inconcludenti o indicare un errore.
L'instradamento intra-VCN e l'instradamento del gateway Internet non sono ancora supportati nell'NPA e possono causare risultati di analisi del percorso imprecisi.
NPA non funziona se il numero di compartimenti nella tenancy che richiede l'analisi del percorso è superiore a 100. Per queste tenancy è necessario sollevare una richiesta di supporto per utilizzare NPA.
L'NPA non può valutare i criteri ZPR se non è in grado di raggiungere la destinazione a causa di un problema correlato all'instradamento, alla lista di sicurezza o al gruppo di sicurezza di rete. In questi casi, NPA visualizza una notifica Impossibile valutare ZPR.
L'impostazione di un endpoint PSA come endpoint di origine non è supportata. Un endpoint PSA può essere solo un endpoint di destinazione per l'analisi del percorso.

Casi di utilizzo speciali

Quando alcune entità si trovano nel percorso per un'analisi del percorso e non sono né l'origine né la destinazione, vengono visualizzati i seguenti comportamenti. È possibile utilizzare la soluzione indicata per questi casi d'uso, se disponibile.

Nodo nel percorso	Risultato attività non fruttifera	Soluzione
Appliance virtuale di rete (NVA)	Indeterminato	Creare due controlli di analisi del percorso, uno dall'origine all'NVA e uno dall'NVA alla destinazione.
NLB distribuito in modalità non trasparente con SNAT configurato	Nessun instradamento	Creare due controlli di analisi del percorso, uno dall'origine all'NLB e uno dall'NLB alla destinazione.
Load balancer di rete in modalità trasparente	Indeterminato	Creare due controlli di analisi del percorso, uno dall'origine all'NLB e uno dall'NLB alla destinazione.
Load balancer	Nessun instradamento	Creare due controlli di analisi del percorso, uno dall'origine all'LB e uno dall'LB alla destinazione.
FWaaS	Indeterminato	Creare due controlli di analisi del percorso, uno dall'origine alla FWaaS e uno dalla FWaaS alla destinazione.
Tra più aree mediante RPC	Indeterminato	Creare due controlli di analisi del percorso, uno per ogni area.
Cross-tenancy con GPL	Indeterminato	Creare due controlli di analisi del percorso, uno per ogni tenancy.
DRG v1	Indeterminato	Eseguire l'aggiornamento a DRG v2.

Il seguente diagramma mostra uno dei casi d'uso in cui l'analisi del percorso deve essere divisa in due.

Figura che mostra una situazione in cui un'analisi del percorso deve essere divisa in due.

Richieste di lavoro analisi percorso di rete

Utilizzare le richieste di lavoro per monitorare le operazioni con tempi di esecuzione lunghi, ad esempio i test di analisi del percorso di rete. Quando si esegue un'operazione di questo tipo, il servizio genera una richiesta di lavoro . Una richiesta di lavoro è un log attività che è possibile utilizzare per tenere traccia di ogni passo dell'avanzamento dell'operazione. Ogni richiesta di lavoro dispone di un OCID (Oracle Cloud Identifier) che è possibile utilizzare per interagire a livello di programmazione e utilizzarlo per l'automazione. Le richieste di lavoro vengono conservate per 12 ore.

Task di Analyzer percorso di rete

Lo strumento Analyzer percorso di rete consente di eseguire i task riportati di seguito.

Documentazione dell'infrastruttura Oracle Cloud