Ce document fournit des conseils de dépannage pour les problèmes liés à votre connexion à Google.
Network Connectivity Gateway
Cette section fournit des conseils de dépannage pour Network Connectivity Gateway.
Si vous avez besoin d'aide supplémentaire, contactez l'assistance Cloud Customer Care.Vérifier que les pods du contrôleur et de la passerelle sont en cours d'exécution
Répertoriez les pods de Network Connectivity Gateway :
kubectl --kubeconfig CLUSTER_KUBECONFIG get pods \ --namespace kube-system | grep ncg
Remplacez
CLUSTER_KUBECONFIG
par le chemin d'accès du fichier kubeconfig de votre cluster.Dans le résultat, vérifiez qu'un pod contrôleur et un pod de passerelle s'affichent. Le nom du pod du contrôleur commence par
ncg-controller
, et le nom du pod de la passerelle commence parncgd
. Exemple :ncg-controller-5f5d489b68-r87pp 1/1 Running ncgd-gvl76 1/1 Running
Notez le nom du pod de la passerelle. Vous en aurez besoin pour différentes commandes de dépannage.
Vérifier les journaux du pod de la passerelle
Vérifiez si les journaux du pod de la passerelle comportent des erreurs :
kubectl --kubeconfig CLUSTER_KUBECONFIG logs GATEWAY_POD \ --namespace kube-system
Remplacez
GATEWAY_POD
par le nom du pod de la passerelle.
Exécuter ncgcli
à l'intérieur du pod de la passerelle
Le pod de la passerelle comporte un outil de ligne de commande nommé ncgcli
que vous pouvez utiliser pour obtenir des informations sur la passerelle et le trafic dans les tunnels.
Utilisez la commande suivante pour exécuter
ncgcli
dans le pod de la passerelle :kubectl --kubeconfig CLUSTER_KUBECONFIG exec -it GATEWAY_POD \ --namespace kube-system -- ncgCLI_COMMAND
Remplacez
ncgCLI_COMMAND
par une commandencgcli
.Exemple :
kubectl --kubeconfig my-kubeconfig exec ncgd-6hkk2 --namespace kube-system \ -- ncgcli --help
Les sections suivantes fournissent d'autres exemples de commandes ncgcli
.
Le tunnel IPsec n'est pas opérationnel
Vérifiez l'état de la ressource personnalisée
NetworkConnectivityGateway
:kubectl --kubeconfig CLUSTER_KUBECONFIG get NetworkConnectivityGateway \ --namespace kube-system --output yaml
Dans le résultat, vérifiez que
Status: Healthy
apparaît. Exemple :apiVersion: networking.gke.io/v1alpha1 kind: NetworkConnectivityGateway metadata: namespace: kube-system name: default spec: status: CurrNode: worker1-node CreatedTime: 2021-09-07T03:18:15Z LastReportTime: 2021-09-21T23:57:54Z Status: Healthy
Vérifiez l'état de vos ressources personnalisées
OverlayVPNTunnel
:kubectl --kubeconfig CLUSTER_KUBECONFIG get OverlayVPNTunnel \ --namespace kube-system --output yaml
Vérifiez l'état de vos tunnels depuis le pod de la passerelle :
ncgcli overlay peers show
Pour plus d'informations, consultez la page Dépannage de Cloud VPN.
L'établissement de la session BGP a échoué
Vérifiez que vous avez utilisé des adresses IP de liaison locale, telles que 169.254.1.2
et 169.254.2.2
, pour les sessions BGP entre le routeur cloud et le pod de passerelle de votre cluster.
Vérifiez l'état de vos sessions BGP :
kubectl --kubeconfig CLUSTER_KUBECONFIG get OverlayBGPPeer \ --namespace kube-system --output yaml
Vérifiez l'état de vos sessions BGP depuis le pod de la passerelle :
ncgcli overlay routes show
Pour en savoir plus sur le dépannage de vos sessions BGP, consultez les ressources suivantes :
- États de la session BGP
- Résoudre les problèmes liés à l'appairage BGP
- Résoudre les problèmes liés aux routes BGP et à la sélection des routes
Problèmes de transfert de trafic même si le tunnel est opérationnel
Si le transfert de trafic échoue, exécutez ncgcli
dans le pod de la passerelle pour vérifier l'état des tunnels, du routage et de la programmation du plan de données.
Assurez-vous que le tunnel IPsec vers le pair est établi :
ncgcli overlay peers show
Vérifiez que les routes en superposition ont été échangées sur BGP et résolues vers le tunnel IPsec approprié :
ncgcli overlay routes show
Les routes d'affichage programmées dans le plan de données et le résultat doivent inclure des routes en superposition :
ncgcli fast-path routes show
Ajuster l'unité de transmission maximale
L'unité de transmission maximale (MTU) correspond à la taille, en octets, du plus grand paquet accepté par un protocole de couche réseau. Elle inclut les en-têtes et les données. Si des problèmes de trafic sont dus aux limites de MTU du réseau sous-jacent, vous pouvez configurer la MTU sur la ressource personnalisée OverlayVPNTunnel
. La MTU par défaut des tunnels est de 1 380 octets.
Pour ajuster la MTU de vos tunnels, procédez comme suit :
Vérifiez l'état des tunnels :
kubectl --kubeconfig CLUSTER_KUBECONFIG get OverlayVPNTunnel \ --namespace kube-system --output yaml
La section
status
doit ressembler à l'exemple qui suit :status: IfName: ipsec2 LastTransition: "2022-06-16T07:13:28Z" SLA: DiscoveredMTU: 1300 Jitter(ms): 1 Latency(ms): 26 Loss(%): "0.00"
Si la valeur
status.SLA.DiscoveredMTU
est inférieure à la valeur par défaut de1380
, procédez comme suit pour modifier la valeurSpec.mtu
de vos ressources personnaliséesOverlayVPNTunel
à mettre en correspondance.Ouvrez vos ressources personnalisées
OverlayVPNTunnel
pour les modifier à l'aide de la commandekubectl edit
:kubectl --kubeconfig CLUSTER_KUBECONFIG edit OVERLAY_VPN_TUNNEL_NAME --namespace kube-system --output yaml
Pour éviter les pertes de paquets, configurez la même MTU pour les deux ressources personnalisées
OverlayVPNTunnel
utilisées par Network Connectivity Gateway.Définissez la valeur
mtu
pour qu'elle corresponde à la valeurDiscoveredMTU
de la première étape :apiVersion: networking.gke.io/v1alpha1 kind: OverlayVPNTunnel metadata: name: vpc2 namespace: kube-system Spec: mtu: 1300 ikeKey: name: ike-key namespace: kube-system localTunnelIP: 169.254.0.2 peer: publicIP: 34.100.10.10 self: publicIP: 70.32.151.5
Pour appliquer vos modifications, enregistrez et fermez l'éditeur.
Pour plus d'informations sur la MTU et son incidence sur les performances du trafic, consultez la section Considérations concernant la MTU.
Afficher le flux de trafic et les statistiques au niveau de l'application
Pour afficher le flux de trafic et les statistiques, exécutez ncgcli
dans le pod de la passerelle.
Pour obtenir une vue instantanée des flux et des applications de trafic, procédez comme suit :
ncgcli forwarding flows top
Pour les statistiques globales au niveau du flux :
ncgcli forwarding flows aggregates show
Pour les statistiques globales au niveau de l'interface :
ncgcli interfaces statistics show