Analisador de Caminho de Rede

Saiba mais sobre a ferramenta Analisador de Caminho de Rede.

Visão geral do Analisador de Caminho de Rede

O Analista de Caminho de Rede (NPA) fornece um recurso unificado e intuitivo que você pode usar para identificar problemas de configuração de rede virtual que afetam a conectividade. O NPA coleta e analisa a configuração de rede para decidir como os caminhos entre a origem e o destino funcionam ou falham. Nenhum tráfego real é enviado; em vez disso, a configuração é examinada e usada para confirmar a acessibilidade.

O NPA examina com atenção as configurações de roteamento e segurança e identifica o caminho da rede em potencial que o tráfego definido percorrerá, juntamente com informações sobre as entidades de rede virtual no caminho. Além das informações do caminho, a saída dessas verificações inclui a forma como regras e recursos de segurança de rede de roteamento (listas de segurança, NSGs, Roteamento de Pacote de Confiança Zero etc.) permitem ou negam o tráfego. As origens e os destinos podem estar dentro do OCI, no OCI e on-premises ou no OCI e na internet. O NPA analisa todos os elementos de rede do OCI padrão com suas configurações associadas.

Usando o NPA, você pode:

  • Diagnosticar e solucionar configurações incorretas de roteamento e segurança que estejam causando problemas de conectividade
  • Validar se os caminhos de rede lógicos correspondem à intenção
  • Verificar se a configuração de conectividade da rede virtual funciona conforme o esperado antes de começar a enviar tráfego

Para atingir qualquer desses objetivos, crie um teste que você acha que funciona e, em seguida, execute o teste. Você também pode salvar essa definição de teste para executá-la novamente mais tarde. Os testes salvos são exibidos na página de NPA para seleção.

Os seguintes cenários de origem e destino são suportados:

  • OCI para OCI
  • OCI para on-premises
  • On-premises para OCI
  • Internet para OCI
  • OCI para Internet

Os testes podem ser definidos para os seguintes parâmetros:

Opções de origem Opções de destino Protocolo Informações da Porta Flag bidirecional
  • Um endereço IP (no OCI, on-premises ou na internet)
  • VNIC da instância de computação
  • LBaaS
  • NLB

  • Um endereço IP (no OCI, on-premises ou na internet)
  • VNIC da instância de computação
  • LBaaS
  • NLB

Qualquer protocolo IP suportado na lista de segurança atual.

Dependendo do tipo de protocolo fornecido:

  • Porta de destino
  • Porta de origem
  • Opções de ICMP

Um flag de verificação bidirecional, ativado por padrão para TCP e UDP. Você tem a flexibilidade de desativar esse flag para verificar a conectividade e o caminho unidirecionais (de origem para destino). Esse flag está desativado para protocolos não TCP/UDP.

Uma análise é feita usando um snapshot de configuração completo, mas o caminho de rede resultante exibido é limitado às entidades que você tem permissão para exibir. Quando você não tiver a permissão necessária para exibir objetos no caminho, a saída do teste não mostrará esses objetos ou qualquer outro detalhe.

O NPA usa o Batfish, uma biblioteca open source de análise da configuração de rede. O NPA usa o Batfish para fazer análise de acessibilidade e identificar erros de configuração. O Intentionet mantém a biblioteca Batfish.

Observação

Se um ponto final tiver um atributo de segurança ZPR (Zero Trust Packet Routing), o tráfego para o ponto final deverá atender às políticas de ZPR e também a todas as regras de NSG e lista de segurança. Por exemplo, se você já estiver usando NSGs e adicionar um atributo de segurança a um ponto final, todo o tráfego para o ponto final será bloqueado. A partir daí, uma política de ZPR deve permitir explicitamente o tráfego para o ponto final.

O NPA ajuda a identificar problemas com Atributos de Segurança e Políticas ZPR de Roteamento de Pacote de Confiança Zero. Consulte os documentos vinculados para obter detalhes sobre os pré-requisitos e a configuração do Zero Trust Packet Routing.

Permissões Obrigatórias

Recomendamos que você sempre defina as seguintes políticas de permissões no nível da tenancy (a definição dessas permissões no nível do compartimento pode tornar os resultados da análise do caminho menos exatos) para usar o Analisador de Caminho de Rede.

  • Permissões do Usuário
    • Configure as seguintes permissões para conceder aos usuários do grupo de usuários <group-name> a capacidade de usar o NPA, em que <group-name> é o nome do grupo de administradores para recursos de rede.
    allow group <group-name> to manage vn-path-analyzer-test in tenancy
  • Permissões de Serviço
    Configure as permissões a seguir para permitir que o serviço NPA acesse recursos e serviços na tenancy para análise de caminho.
    
    allow any-user to inspect compartments in tenancy where all { request.principal.type = 'vnpa-service' }
    allow any-user to read instances in tenancy where all { request.principal.type = 'vnpa-service' }
    allow any-user to read virtual-network-family in tenancy where all { request.principal.type = 'vnpa-service' }
    allow any-user to read load-balancers in tenancy where all { request.principal.type = 'vnpa-service' }
    allow any-user to read network-security-group in tenancy where all { request.principal.type = 'vnpa-service' } 
    allow any-user to read zpr-family in tenancy where all { request.principal.type = 'vnpa-service' }
Observação

A concessão de permissões para usar essa ferramenta pode levar a uma superexposição de informações sobre configuração de rede e definições de segurança de rede para um usuário da ferramenta. A observação do status de acessibilidade pode ser usada por um usuário mal-intencionado para deduzir a presença de serviços de rede e informações de roteamento e segurança relacionadas. Só dê acesso à ferramenta a usuários e administradores confiáveis.

Consulte a seção path-analyzer-test de Detalhes do Serviço de Monitoramento de Rede para obter mais detalhes sobre as permissões do NPA.

Cuidados e limitações conhecidos

Os seguintes casos de uso de NPA não são suportados:

  • As origens e destinos que estão na mesma sub-rede e com um IP Privado diferente produzem resultados incorretos.
  • Quando a tabela de roteamento de uma sub-rede tiver um próximo hop definido como IP privado, poderá mostrar incorretamente o status como Sem Rota.
  • Se os LPGs forem pareados entre tenancies, a resposta da Análise de Caminho será Indeterminada.
  • Se as conexões RPC cruzarem tenancies ou regiões, a resposta da Análise de Caminho será Indeterminada.
  • O NPA não suporta IPv6. Os endereços IPv6 não podem ser usados como origens ou destinos. As definições de roteamento e segurança IPv6 são ignoradas e não afetam os resultados.
  • O NPA não detecta loops de roteamento e, se os loops de roteamento estiverem presentes, os resultados poderão ser inconclusivos ou indicar uma falha.
  • O roteamento intra-VCN e o roteamento do gateway de internet ainda não são suportados no NPA e podem causar resultados de Análise de Caminho imprecisos.
  • O NPA não funcionará se o número de compartimentos na tenancy que solicita a Análise de Caminho for maior que 100. Para essas tenancies, crie uma solicitação de suporte para usar o NPA.
  • O NPA não poderá avaliar as políticas de ZPR se não conseguir chegar ao destino por causa do roteamento, da Lista de Segurança ou do problema relacionado ao Grupo de Segurança de Rede. Nesses casos, o NPA exibe uma notificação de Não foi possível avaliar o ZPR.
  • Não há suporte para a definição de um ponto final PSA como ponto final de origem. Um ponto final PSA só pode ser um ponto final de destino para análise de caminho.

Casos de uso especiais

Quando algumas entidades estão no caminho de uma análise de caminho e não são nem a origem nem o destino, os comportamentos a seguir são vistos. Você poderá usar a solução indicada para esses casos de uso, se houver uma disponível.

Nó no Caminho Resultado do NPA Solução

NVA (Network Virtual Appliance)

Indeterminado

Crie duas verificações de Análise de Caminho, uma da origem para o NVA e outra do NVA para o destino.

NLB implantado no modo não transparente com SNAT configurado

Nenhuma Rota

Crie duas verificações de Análise de Caminho, uma da origem para o NLB e outra do NLB para o destino.

Network Load Balancer no modo transparente

Indeterminado

Crie duas verificações de Análise de Caminho, uma da origem para o NLB e outra do NLB para o destino.

Balanceador de Carga

Nenhuma Rota

Crie duas verificações de Análise de Caminho, uma da origem para o LB e outra do LB para o destino.

FWaaS

Indeterminado

Crie duas verificações de Análise de Caminho, uma da origem para o FWaaS e outra do FWaaS para o destino.

Região cruzada usando RPC

Indeterminado

Crie duas verificações de Análise de Caminho, uma para cada região.

Tenancy cruzada usando LPG

Indeterminado

Crie duas verificações de Análise de Caminho, uma para cada tenancy.

DRG v1

Indeterminado

Faça upgrade para o DRG v2.

O diagrama a seguir mostra um dos casos de uso em que a análise de caminho deve ser dividida em duas.

Figura mostrando uma situação em que uma análise de caminho deve ser dividida em duas.

Solicitações de Serviço de Análise do Caminho de Rede

Use solicitações de serviço para monitorar operações de longa execução, como testes de análise de caminho de rede. Quando você executa essa operação, o serviço gera uma solicitação de serviço . Uma solicitação de serviço é um log de atividade que você pode usar para rastrear cada etapa no progresso da operação. Cada solicitação de serviço tem um OCID (Oracle Cloud Identifier) que você pode usar para interagir com ela de forma programática e usá-la para automação. As solicitações de serviço são retidas por 12 horas.

Tarefas do Analisador de Caminho de Rede