本问题排查指南可帮助您解决使用 Cloud Interconnect 时可能会遇到的常见问题:
- 常规问题排查
- 专用互连
- 合作伙伴互连
- 通过 Cloud Interconnect 实现的高可用性 VPN
- MACsec for Cloud Interconnect
- Cross-Cloud Interconnect
如需 Cloud Interconnect 架构和功能的常见问题解答,请参阅 Cloud Interconnect 常见问题解答。
如需了解本页面中使用的术语定义,请参阅 Cloud Interconnect 关键术语。
如需查找日志记录和监控信息以及查看 Cloud Interconnect 指标,请参阅监控连接。
常规问题排查
检查 Cloud Interconnect 服务中断
您可以在 Google Cloud 状态信息中心上查看已知的中断。此外,您还可以订阅 Cloud 突发事件 JSON Feed 或 RSS Feed,通过推送了解最新动态。
您会收到有关影响专用互连连接的维护事件的通知。如需了解详情,请参阅基础架构维护事件。
您会收到有关影响合作伙伴互连 VLAN 连接的维护事件的通知。 合作伙伴互连通知的发送方式与专用互连连接通知类似,但存在一些细微差异。如需了解详情,请参阅基础架构维护事件。
无法连接到其他区域的资源
默认情况下,Virtual Private Cloud (VPC) 网络为地区性网络,这表示 Cloud Router 仅通告其所在地区的子网。如需连接到其他区域,请将 VPC 网络的动态路由模式设置为全球,以便 Cloud Router 可以通告所有子网。
如需了解详情,请参阅 Cloud Router 路由器文档中的动态路由模式。
无法访问对等互连 VPC 网络中的虚拟机
在此场景中,您已在本地网络与 VPC 网络(网络 A)之间设置了 Cloud Interconnect 连接。您还在网络 A 与其他 VPC 网络(网络 B)之间设置了 VPC 网络对等互连。但是,您无法从本地网络访问网络 B 中的虚拟机。
如《VPC 网络对等互连概览》中的限制所述,此配置不受支持。
但是,您可以使用您的 VPC 网络中的 Cloud Router 路由器的自定义 IP 地址范围通告来共享通往对等网络中的目的地的路由。此外,您必须配置 VPC 网络对等互连连接以导入和导出自定义路由。
如需详细了解本地网络与 VPC 对等互连网络之间的通告路由,请参阅以下资源:
- 通告自定义 IP 地址范围
- 《使用 VPC 网络对等互连》中的问题排查
连接中缺少子网
如需通告所有可用子网,请使用自定义路由通告指定缺少的路由,并使用全球动态路由通告区域之间的所有子网路由。请按以下步骤进行此操作:
在 Cloud Router 路由器和边界网关协议 (BGP) 会话上指定自定义路由通告。如需输入缺失的路由,请设置以下参数:
--set-advertisement-groups = ADVERTISED_GROUPS --set-advertisement-ranges = ADVERTISED_IP_RANGES
替换以下内容:
ADVERTISED_GROUPS
:Cloud Router 路由器动态通告的组,由 Google 定义;其值可以为all_subnets
,类似于 Cloud Router 的默认行为ADVERTISED_IP_RANGES
:新 IP 地址范围的数组的内容;它可以有您选择的一个或多个值
如需了解详情和示例,请参阅通告自定义 IP 范围。
启用全局动态路由模式。
无法对 Cloud Router 进行 ping 操作
如果您无法从本地路由器 ping 通 Cloud Router,请在下表中找到您的产品,并为该产品执行问题排查步骤。虚拟机无法访问 169.254.0.0/16
。
需要执行的问题排查步骤 | 专用互连 | 与 L3 合作伙伴之间的合作伙伴互连 | 与 L2 合作伙伴之间的合作伙伴互连 |
---|---|---|---|
对于合作伙伴互连,Cloud Router 路由器可能无法执行 ping 操作,因为某些合作伙伴会过滤 Cloud Router 路由器的 IP 地址范围 (169.254.0.0/16 )。对于 L3 合作伙伴,合作伙伴会自动配置 BGP。如果 BGP 未启动,请联系您的合作伙伴。 |
不适用 | 是 | 不适用 |
确认您的本地设备已学习连接 Google Cloud 端的正确 MAC 地址。如需了解详情,请参阅排查 ARP 问题。 | 是 | 不适用 | 不适用 |
确认您的 Cloud Router 路由器具有接口和 BGP 对等端。除非接口和 BGP 对等体已完全配置(包括远程 ASN),否则 Cloud Router 路由器无法进行 ping 操作。
|
是 | 不适用 | 是 |
排查 ARP 问题
对于专用互连,如需查找正确的 MAC 地址,请运行以下 gcloud
命令:
gcloud compute interconnects get-diagnostics INTERCONNECT_NAME
googleSystemID
包含的 MAC 地址应出现在存储已分配给 Cloud Router 路由器的 IP 地址的设备 ARP 表之中。
result: links: — circuitId: SAMPLE-0 googleDemarc: sample-local-demarc-0 lacpStatus: googleSystemId: '' neighborSystemId: '' state: DETACHED receivingOpticalPower: value: 0.0 transmittingOpticalPower: value: 0.0 macAddress: 00:00:00:00:00:00
如果您的设备尚未获知 MAC 地址,请确认子接口上已配置正确的 VLAN ID 和 IP 地址。
对于合作伙伴互连,如果您在自己的设备上看到的 MAC 地址不正确,请确认您未桥接两个 VLAN 连接的第二层网段。Cloud Interconnect 连接的 Google Cloud 端配置了 ip proxy-arp,它会回应所有 ARP 请求,并且可能导致本地路由器获知错误的 ARP 条目。
无法创建 VLAN 连接
如果您尝试为专用互连或合作伙伴互连创建的 VLAN 连接违反组织政策,您会看到错误消息。请参阅因运行 gcloud compute interconnects attachments partner create
而导致的以下示例错误消息:
ERROR: (gcloud.compute.interconnects.attachments.partner.create) Could not fetch resource: - Constraint constraints/compute.restrictPartnerInterconnectUsage violated for projects/example-project. projects/example-project/global/networks/example-network is not allowed to use the Partner Interconnect.
如需了解详情,请参阅限制 Cloud Interconnect 用量,并与您的组织管理员联系。
与我所在组织中的其他项目共享连接
在宿主项目中,使用共享 VPC 来共享连接,例如 VLAN 连接或专用互连连接。
如需详细了解如何设置共享 VPC 网络,请参阅预配共享 VPC。
如需详细了解如何在共享 VPC 网络中配置连接,请参阅用于连接到多个 VPC 网络的选项。
专用互连
在连接预配过程中,Google 无法对您进行 ping 操作
检查您使用的 IP 和 LACP 配置是否正确。在测试过程中,Google 会为您的本地路由器发送不同的测试 IP 配置,具体取决于您订购的是多链路捆绑还是单链路捆绑。请不要为任何一项测试配置 VLAN 连接。
对于多链路捆绑
- Google 发送的第一组 IP 地址用于针对每个链路测试多线路连接。请按照 Google 发送给您的电子邮件中的说明,在每个物理链路(未配置 LACP)上配置测试 IP 地址。Google 必须成功对所有这些 IP 地址进行 ping 操作,否则第一个测试将无法通过。
- 对于第二个测试,从第一个测试中移除所有 IP 地址。即使您的连接只有一个链路,也请使用 LACP 配置端口通道。Google 会对端口通道地址进行 ping 操作。连接通过最终测试后,请勿修改端口通道的 LACP 配置。但是,您必须从端口通道接口中移除测试 IP 地址。
对于单链路捆绑
- Google 会发送最终生产 IP 地址以测试单线路连接。请按照 Google 发送给您的电子邮件中的说明,在捆绑接口(配置了主动或被动模式的 LACP)上配置 IP 地址。Google 必须成功对捆绑接口 IP 地址进行 ping 操作,否则此测试将无法通过。即使您的连接只有一个链路,也请使用 LACP 配置端口通道。
无法对 Cloud Router 进行 ping 操作
- 检查您是否可以 ping 通 Google 的端口通道 IP 地址。该 IP 地址是您在查看连接详细信息时看到的
googleIpAddress
值。 - 检查您的本地路由器子接口上的 VLAN 是否正确。VLAN 信息应当与 VLAN 连接提供的信息一致。
- 检查您的本地路由器子接口上的 IP 地址是否正确。当您创建 VLAN 连接时,该连接会分配一对链路本地 IP 地址。一个地址 (
cloudRouterIpAddress
) 用于 Cloud Router 路由器上的接口,另一个地址 (customerRouterIpAddress
) 用于本地路由器端口通道上的子接口,而不是端口通道本身。 - 如果您测试 VLAN 连接的性能,请不要对 Cloud Router 路由器进行 ping 操作,而是应在 VPC 网络中创建并使用 Compute Engine 虚拟机 (VM) 实例。如需了解详情,请参阅性能测试。
BGP 会话无法正常使用
- 在您的本地路由器上启用至少具有两个跃点的多跃点 BGP。
- 检查您的本地路由器上配置的邻域 IP 地址是否正确。使用由 VLAN 连接分配的 BGP 对等 IP 地址 (
cloudRouterIpAddress
)。 - 检查本地路由器上的本地 ASN 配置与 Cloud Router 路由器上的对等 ASN 是否匹配。此外,检查 Cloud Router 路由器上的本地 ASN 配置与本地路由器上的对等 ASN 是否匹配。
在您的 VPC 网络中,每个连接都会分配有一个来自
169.254.0.0/16
的唯一 /29 CIDR。/29 CIDR 中的一个 IP 地址为 Cloud Router 路由器分配,另一个为您的本地路由器分配。检查是否为您的本地路由器接口及其 BGP 邻域分配了正确的 IP 地址。一个常见错误是为本地路由器接口分配了 /30 而不是 /29。Google Cloud 会保留 /29 CIDR 中的所有其他地址。
请确保您未将来自此 CIDR 的任何其他 IP 分配给您的路由器上的 VLAN 连接接口。
无法连接 VPC 网络中的虚拟机
- 检查您可否对端口通道和 VLAN 连接进行 ping 操作。
- 检查您的 BGP 会话是否处于活动状态。
- 检查您的本地路由器是否正在通告和接收路由。
- 检查您的本地路由通告与 Google Cloud 网络范围之间是否不存在重叠。
- 将本地路由器、VPC 和 VLAN 连接的 MTU 大小设置为相同的值。
IPv6 流量未通过 VLAN 连接传递
如果您在连接到 IPv6 主机时遇到问题,请执行以下操作:
- 验证 IPv6 路由是否已正确通告。如果未通告 IPv6 路由,请参阅排查 BGP 路由和路由选择问题。
- 检查防火墙规则,确保允许 IPv6 流量。
- 验证您的 VPC 网络和本地网络中没有重叠的 IPv6 子网范围。请参阅检查重叠子网范围。
- 确定您是否超出了 Cloud Router 路由器中已知路由的任何配额和限制。如果您已超出已知路由的配额,则系统会先丢弃 IPv6 前缀,之后才会丢弃 IPv4 前缀。请参阅检查配额和限制。
验证与 IPv6 配置相关的所有组件是否都已正确配置。
- VPC 网络通过
--enable-ula-internal-ipv6
标志允许使用内部 IPv6 地址。 - VPC 子网配置为使用
IPV4_IPV6
栈类型。 - VPC 子网将
--ipv6-access-type
设置为INTERNAL
。 - 子网上的 Compute Engine 虚拟机配置了 IPv6 地址。
- VLAN 连接配置为使用
IPV4_IPV6
栈类型。 BGP 对等端已启用 IPv6,并且您为 BGP 会话配置了正确的 IPv6 下一个跃点地址。
- 如需查看 Cloud Router 路由器状态和路由,请参阅查看 Cloud Router 路由器状态和路由。
- 如需查看 BGP 会话配置,请参阅查看 BGP 会话配置。
- VPC 网络通过
无法创建使用 IPv4 和 IPv6(双栈)栈类型的 VLAN 连接
创建使用 IPv4 和 IPv6(双栈)栈类型的 VLAN 连接失败,并显示以下错误消息:
Cannot create a dual stack interconnect attachment. Dual stack attachment can only be used with a provisioned interconnect attachments that have Dataplane version 2.
要解决此问题,请按以下步骤操作:
查看所有对接网点表,了解哪些区域支持在 Dataplane v2 上创建连接。
如果未列出该区域,请在受支持的区域中重新创建连接。
无法将现有 VLAN 连接修改为使用 IPv4 和 IPv6(双栈)栈类型
将现有 VLAN 连接更新为使用 IPv4 和 IPv6(双栈)栈类型失败,并显示以下错误消息:
Cannot create a dual stack interconnect attachment. Dual stack attachment can only be used with a provisioned interconnect attachments that have Dataplane version 2.
要解决此问题,请按以下步骤操作:
检查连接的 Dataplane 版本,并验证连接是否在使用 Dataplane 版本 1。请参阅检查连接的 Dataplane 版本。
在支持在 Dataplane v2 上创建所有新连接的区域中重新创建连接。如需查看区域列表,请参阅所有对接网点。
VLAN 连接的性能测试
如果您需要测试 VLAN 连接的性能,请在 VPC 网络中使用虚拟机。在虚拟机上添加您所需的性能工具。不要使用 Cloud Router 路由器链路本地 IP 地址来测试延迟时间,如 ICMP Ping 或路径 MTU。使用 Cloud Router 路由器可能会造成不可预测的结果。
获取诊断信息
如需按需获取有关专用互连中 Google Cloud 端的最新详细技术信息,请参阅获取诊断信息。
合作伙伴互连
BGP 会话无法正常工作(第 2 层连接)
- 检查您的本地路由器是否已配置与 Cloud Router 路由器之间的 BGP 会话。 如需了解详情,请参阅为合作伙伴互连配置本地路由器。
- 在您的本地路由器上启用至少具有两个跃点的多跃点 BGP。
- 检查您的本地路由器上配置的邻域 IP 地址是否正确。使用由 VLAN 连接分配的 BGP 对等 IP 地址 (
cloudRouterIpAddress
)。 - 检查本地路由器上的本地 ASN 配置与 Cloud Router 路由器上的对等 ASN (
16550
) 是否匹配。此外,检查 Cloud Router 路由器上的本地 ASN 配置与本地路由器上的对等 ASN 是否匹配。
BGP 会话无法正常工作(第 3 层连接)
- 您的 Cloud Router 路由器必须已配置服务提供商的 ASN。 请联系您的服务提供商寻求帮助。
为合作伙伴互连停用 VLAN 连接
即使 Google Cloud 配置和合作伙伴互连连接没有问题,VLAN 连接的状态也可能会显示为已关闭。
确保您已在本地路由器上配置 EBGP 多跃点,使其至少具有四个跃点。您可以查看“配置本地路由器”中的示例配置。
合作伙伴互连连接中的配对密钥问题
尝试设置合作伙伴互连连接时,可能会遇到错误消息,如“Google - 提供商状态不可用”。要解决此问题,请按以下步骤操作:
确保配对密钥是由客户一端的 VLAN 连接(
PARTNER
类型)生成的。密钥是 Google 用来识别连接的长随机字符串。在配对密钥中,目标 Google Cloud 区域和边缘可用性网域按以下格式编码:<random_string>/<region_name>/<domain>
如果 VLAN 连接不限于特定网域,或者未指定边缘可用性网域,则
domain
字段包含字符串any
。如需详细了解配对密钥,请参阅配对密钥。确保合作伙伴互连连接的边缘可用性网域与配对密钥指定的网域匹配。
无法对 Cloud Router 路由器进行 ping 操作(第 2 层连接)
- 检查您的本地路由器子接口上的 VLAN 连接是否正确。VLAN 连接信息应该与服务提供商提供的信息一致。
- 检查您的本地路由器子接口上的 IP 地址是否正确。在服务提供商配置您的 VLAN 连接后,该连接会分配一对链路本地 IP 地址。一个地址 (
cloudRouterIpAddress
) 用于关联 Cloud Router 路由器上的接口,另一个地址 (customerRouterIpAddress
) 用于本地路由器端口通道上的子接口,而不是端口通道本身。 - 如果您测试的是连接性能,请不要对 Cloud Router 路由器进行 ping 操作,而是应在 VPC 网络中创建并使用虚拟机。如需了解详情,请参阅性能测试。
合作伙伴互连连接的端口上的光功率丢失
如果端口上的光功率丢失,您可能会遇到以下某个问题:
- 第 3 层连接(BGP 会话丢失)或无法访问您的 Google Cloud 虚拟机实例。
- 链接包的性能下降。如果多个 10GE 端口捆绑在一起,并且只有软件包中的某些链接正常运行,则会出现此问题。
端口上的光功率丢失意味着硬件无法检测到另一端的信号。这可能是由以下某种问题引起的:
- 收发器故障
- 传输系统故障
- 物理光纤问题
如需解决此问题,请联系您的合作伙伴互连和/或线路提供商。他们可以执行以下步骤:
- 检查其收发器是否正常工作。
- 向 Meet-Me Room (MMR) 运行硬环,检查自己设备上的亮度是否达到预期。
- 检查问题是由您自己解决,还是由 Google 提出。隔离接口的最佳方式是在分界点处设置双向循环。两侧的接口都会将光传输到下界点,以进行回环。故障的一面是分界点位于偏离原点的位置。
- 清洁并完全清洁侧面的所有光纤。
无法通过 L3 合作伙伴互连连接发送和获知 MED 值
如果您使用的是合作伙伴互连连接(第 3 层服务提供商为您处理 BGP),则 Cloud Router 路由器将无法从本地路由器获知 MED 值,也无法向该路由器发送 MED 值。这是因为 MED 值无法通过自治系统。通过这种类型的连接,您无法为 Cloud Router 路由器通告到本地路由器的路由设置优先级。您也无法为本地路由器通告到 VPC 网络的路由设置路由优先级。
将连接的堆栈类型更改为双栈后,IPv6 流量不起作用
查看 Cloud Router 路由器状态并验证是否显示
status: UP
。如果 BGP 未启动,请执行以下操作:
确认您的本地路由器(如果您使用的是第 3 层合作伙伴,则为合作伙伴的路由器)配置了 IPv6 BGP 会话,并且该会话使用的是正确的 IPv6 地址。
查看 BGP 会话配置,并验证
bgpPeers.enable
是否为您的 Cloud Router 路由器显示'TRUE'
。
如果 BGP 已启动,请查看 Cloud Router 路由器的路由以验证是否显示了预期的 IPv6
best_routes
。如果未显示预期的
best_routes
,请确认您的本地路由器(如果您使用的是第 3 层合作伙伴,则为合作伙伴的路由器)配置了正确的 IPv6 路由。
其他所有问题
如需更多帮助,请与您的服务提供商联系。如有必要,您的服务提供商会联系 Google 以解决与 Google 端网络相关的问题。
通过 Cloud Interconnect 实现的高可用性 VPN
部署通过 Cloud Interconnect 实现的高可用性 VPN 时,您需要创建两个操作层级:
- Cloud Interconnect 层级,包括 VLAN 连接和适用于 Cloud Interconnect 的 Cloud Router 路由器。
- 高可用性 VPN 层级,包括高可用性 VPN 网关和隧道以及适用于高可用性 VPN 的 Cloud Router 路由器。
每个层级都需要有自己的 Cloud Router 路由器:
- 适用于 Cloud Interconnect 的 Cloud Router 路由器专门用于在 VLAN 连接之间交换 VPN 网关前缀。此 Cloud Router 路由器仅供 Cloud Interconnect 层级的 VLAN 连接使用。它不能在高可用性 VPN 层级中使用。
- 适用于高可用性 VPN 的 Cloud Router 路由器会在 VPC 网络和本地网络之间交换前缀。您可以按照针对常规高可用性 VPN 部署相同的方式配置适用于高可用性 VPN 的 Cloud Router 路由器及其 BGP 会话。
您可以在 Cloud Interconnect 层级之上构建高可用性 VPN 层级。因此,高可用性 VPN 层级要求基于专用互连或合作伙伴互连的 Cloud Interconnect 层级已正确配置且正常运行。
如需排查通过 Cloud Interconnect 实现的高可用性 VPN 部署的问题,请先排查 Cloud Interconnect 层级的问题。验证 Cloud Interconnect 是否正常运行后,请排查高可用性 VPN 层级的问题。
无法创建加密的 VLAN 连接
创建加密的 VLAN 连接失败,并显示以下错误消息:
Cannot create an interconnect attachment with IPSEC encryption. IPSEC encryption can only be used with a provisioned interconnect attachments that have Dataplane version 2.
如需解决此问题,请按照以下步骤操作:
查看所有对接网点表,了解哪些区域支持在 Dataplane v2 上创建连接。
如果未列出该区域,请在受支持的区域中重新创建连接。
无法为适用于 Cloud Interconnect 的 Cloud Router 路由器建立 BGP 会话
如需检测与 VLAN 连接关联的 BGP 会话是否关闭,请运行以下命令:
gcloud compute routers get-status INTERCONNECT_ROUTER_NAME
将 INTERCONNECT_ROUTER_NAME
替换为您为通过 Cloud Interconnect 实现的高可用性 VPN 部署的 Cloud Interconnect 层级创建的 Cloud Router 路由器的名称。
如需解决此问题,请按照以下步骤操作:
- 按照测试连接和获取诊断信息中的步骤操作,确保底层 Cloud Interconnect 连接健康状况良好。
- 检查 BGP 会话接口是否指向正确的连接。
- 检查为 Cloud Router 路由器和本地路由器上的 BGP 会话接口配置的 IP 地址。
- 检查 Cloud Router 路由器和本地路由器是否正确配置了 ASN 编号。
- 检查 Cloud Interconnect 连接和 VLAN 连接是否处于
admin-enabled
状态。
无法建立高可用性 VPN 隧道
要检查隧道状态,请运行以下命令:
gcloud compute vpn-tunnels describe VPN_TUNNEL_NAME
将 VPN_TUNNEL_NAME
替换为高可用性 VPN 隧道的名称。
如需解决此问题,请按照以下步骤操作:
- 由于 VPN 隧道是通过 VLAN 连接进行路由的,因此请检查与 VLAN 连接关联的 BGP 会话是否已建立。如果未建立,请参阅无法为适用于 Cloud Interconnect 的 Cloud Router 路由器建立 BGP 会话。
- 检查 Cloud VPN 网关和本地 VPN 网关是否正确配置了隧道 PSK 和加密方式。
- 检查本地路由器的 BGP 通告是否包含本地 VPN 网关地址。如果不包含,请调整本地路由器的 BGP 配置以通告该地址。
- 检查通往本地 VPN 网关的路由是否未由于与现有 BGP 路由的冲突而被丢弃。如果存在冲突,请调整 VPN 网关地址或通告的路由。
检查来自 Cloud Router 路由器的 BGP 通告是否包含高可用性 VPN 网关地址。从本地路由器或通过检查 BGP 对等端的
advertisedRoutes
字段来检查此项。如需查看advertisedRoutes
字段,请运行以下命令:gcloud compute routers get-status INTERCONNECT_ROUTER_NAME
将
INTERCONNECT_ROUTER_NAME
替换为您为通过 Cloud Interconnect 实现的高可用性 VPN 部署的 Cloud Interconnect 层级创建的 Cloud Router 路由器的名称。如果未通告高可用性 VPN 网关地址,请确保 VLAN 连接与加密的 Cloud Interconnect 路由器相关联。检查每个 VLAN 连接是否配置了预期的区域级内部 IPv4 地址 (
--ipsec-internal-addresses
)。
无法为适用于高可用性 VPN 的 Cloud Router 路由器建立 BGP 会话
如需检查与 VLAN 连接关联的 BGP 会话是否已关闭,请运行以下命令:
gcloud compute routers get-status VPN_ROUTER_NAME
将 VPN_ROUTER_NAME
替换为您为通过 Cloud Interconnect 实现的高可用性 VPN 部署的高可用性 VPN 层级创建的 Cloud Router 路由器的名称。
如需解决此问题,请按照以下步骤操作:
- 由于 BGP 流量是通过 VPN 隧道路由的,因此请检查 VPN 隧道是否已建立。如果未建立,请按照无法建立高可用性 VPN 隧道中的步骤操作。
- 检查 Cloud Router 的 BGP 会话接口是否指向正确的 VPN 隧道。
- 检查 Cloud Router 路由器和本地 VPN 设备是否正确配置了 BGP 会话接口的 IP 地址。
- 检查 Cloud Router 路由器和本地路由器是否正确配置了 ASN 编号。
VPC 流量未到达本地网络,反之亦然
从虚拟机生成的流量(例如来自 ping
或 iperf
的流量)无法到达本地网络,或者本地网络无法到达从虚拟机生成的流量。
如需解决此问题,请按照以下步骤操作:
由于虚拟机流量是通过 VPN 隧道进行路由的,因此请确保从虚拟机到 VPN 隧道的路由正由 Cloud Router 发送。
检查是否已建立高可用性 VPN 的 Cloud Router 会话。如果未建立,请参阅无法为适用于高可用性 VPN 的 Cloud Router 路由器建立 BGP 会话。
丢包或吞吐量低
从 VPC 网络上的虚拟机到本地网络的流量或从本地网络到 VPC 网络的流量被丢弃。
您通过 ping
、iperf
和其他网络监控工具观察到丢包或吞吐量低。
如需解决此问题,请按照以下步骤操作:
- 检查 VLAN 连接是否因流量而过载。如果过载,请将流量分散到更多 VLAN 连接,或者更新连接的容量。
- 检查高可用性 VPN 是否因流量而过载。如果过载,请通过 VLAN 连接创建额外的 VPN 隧道以重新分配流量。
- 确保不存在意外或突然的流量高峰或突发流量。TCP 流可能会受到其他流(例如突发 UDP 流量)的影响。
- 检查超出隧道 MTU 的数据包是否已进行分段。确保已使用 VLAN 连接正确设置 MTU,并检查 UDP 流量是否没有被 MSS 限制。
无法删除加密的 VLAN 连接
当您尝试删除专用互连或合作伙伴互连的加密 VLAN 连接时,您收到以下错误:
ResourceInUseByAnotherResourceException
如需解决此问题,请确保先删除与加密的 VLAN 连接关联的所有高可用性 VPN 网关和隧道。 如需了解详情,请参阅删除通过 Cloud Interconnect 实现的高可用性 VPN。
加密的 VLAN 连接中的 IP 地址类型不匹配
当您尝试创建高可用性 VPN 网关以用于通过 Cloud Interconnect 实现的高可用性 VPN 部署时,您收到以下错误:
One of the VLAN attachments has private IP address type, while the other one has public IP address type; they must have same IP address type.
如果您为高可用性 VPN 网关指定了两个加密的 VLAN 连接,并且它们对高可用性 VPN 隧道接口使用不同的 IP 寻址方案,则会出现此错误。两个 VLAN 连接中的 IP 地址类型必须匹配。
在创建 VPN 网关期间,指定同时使用专用 IP 地址或同时使用公共 IP 地址的 VLAN 连接。如果您在创建 VPN 网关时收到此错误,请使用正确的地址类型重新创建 VLAN 连接。
高可用性 VPN 网关接口缺少 VLAN 连接
如果为通过 Cloud Interconnect 实现的高可用性 VPN 部署了高可用性 VPN 网关,则该网关必须为其两个接口指定加密的 VLAN 连接。
如果您仅指定了一个 VLAN 连接,则系统会显示以下错误:
VPN Gateway should have VLAN attachment specified in both interfaces or in none.
如需解决此问题,请创建高可用性 VPN 网关并指定两个 VLAN 连接。
VLAN 连接类型无效
加密的 VLAN 连接的类型必须为 DEDICATED
或 PARTNER
。
如果您为加密的 VLAN 连接指定了无效类型,则系统会显示以下错误消息:
VLAN attachment should have type DEDICATED or PARTNER.
如需解决此问题,请仅创建类型为 DEDICATED
或 PARTNER
的加密 VLAN 连接。
VLAN 连接的 MTU 值不正确
为专用互连创建加密的 VLAN 连接时,系统显示以下错误消息:
Wrong MTU value [mtuValue] for VLAN attachment. The supported MTU for IPsec packets for HA VPN over Cloud Interconnect is 1440.
如需解决此问题,请使用正确的值 1440
(默认值)重新创建此连接。
VLAN 连接的类型不同
为高可用性 VPN 网关接口指定加密的 VLAN 连接时,系统显示以下错误消息:
VLAN attachments should both have same type DEDICATED or PARTNER. But found one DEDICATED and one PARTNER.
如需解决此问题,请指定两个类型相同的 VLAN 连接,即 DEDICATED
或 PARTNER
。
专用 VLAN 连接不在同一都市区域中
为高可用性 VPN 网关接口指定加密的 VLAN 连接时,系统显示以下错误消息:
Dedicated VLAN attachments should be in the same metropolitan area.
如需解决此问题,请在同一都市区域中为专用互连创建两个加密的 VLAN 连接。
高可用性 VPN 网关与 VLAN 连接不在同一网络中
为高可用性 VPN 网关接口指定加密的 VLAN 连接时,系统显示以下错误消息:
VPN Gateway should be in the same network as VLAN attachment. VLAN attachment network: [networkName], VPN gateway network: [networkName]
如需解决此问题,请在与加密的 VLAN 连接所在的同一网络中创建高可用性 VPN 网关。
VLAN 连接的加密类型不正确
为高可用性 VPN 网关接口指定加密的 VLAN 连接时,系统显示以下错误消息:
Wrong encryption type for VLAN attachment [interconnectAttachmentName], required IPSEC.
如需解决此问题,请仅指定配置了加密类型 IPSEC
的加密 VLAN 连接。如有必要,请创建加密的 VLAN 连接。
VLAN 连接可用区与 interfaceId 不匹配
为高可用性 VPN 网关接口指定加密的 VLAN 连接时,系统显示以下错误消息:
VLAN attachment zone should match interfaceId: interface 0 - zone1, interface 1 - zone2, but found interface [interfaceId] - [zone] for [interconnectAttachmentName].
第一个高可用性 VPN 网关接口 (interface 0
) 必须与可用区 1 中的加密 VLAN 连接匹配,第二个接口 (interface 1
) 必须与可用区 2 中的加密 VLAN 连接匹配。
如需解决此问题,请从与高可用性 VPN 网关接口正确匹配的可用区中指定加密的 VLAN 连接。
VPN 网关与 VLAN 连接不在同一区域中
为高可用性 VPN 网关接口指定加密的 VLAN 连接时,系统显示以下错误消息:
VPN Gateway should be in the same region as VLAN attachment. VLAN attachment region: [region], VPN gateway region: [region].
如需解决此问题,请在同一区域中创建高可用性 VPN 网关和加密的 VLAN 连接。
合作伙伴 VLAN 连接未处于活跃状态
为高可用性 VPN 网关接口指定合作伙伴互连的加密 VLAN 连接时,系统显示以下错误消息:
Interconnect Attachments [name] must be in active state.
您必须先激活合作伙伴互连的 VLAN 连接,然后才能将其与高可用性 VPN 网关接口相关联。
如需了解详情,请参阅激活连接。
为 VLAN 连接指定的 Cloud Router 路由器类型不正确
尝试创建加密的 VLAN 连接时,系统显示以下错误消息:
Router must be an encrypted interconnect router.
如需解决此问题,请使用 --encrypted-interconnect-router
标志创建 Cloud Router。此 Cloud Router 路由器专门用于通过 Cloud Interconnect 实现的高可用性 VPN。
然后,创建加密的 VLAN 连接并提供加密的 Cloud Router 路由器。
Cross-Cloud Interconnect
本部分介绍了 Cross-Cloud Interconnect 可能出现的问题。
Google 会为该连接提供支持,直到它接入其他云服务提供商的网络。Google 不保证其他云服务提供商的正常运行时间,也不能代表您创建支持服务工单。但是,获得您的许可后,Google Cloud 支持团队可以直接与其他云服务提供商的支持团队沟通,以加快问题解决速度。
冗余端口之间不匹配
订购 Cross-Cloud Interconnect 端口后,您可以向 Google 提供有关您希望这些端口如何连接到远程云端口的信息。之后您在配置资源时也会用到此信息。如果您遇到连接问题,一个问题可能是您未使用正确的连接详细信息。
例如,您可能会提供以下说明:
将
gcp-1
连接到azure-1
。将
gcp-2
连接到azure-2
。
但是,在配置资源时,您可能认为端口按以下方式连接:
将
gcp-1
连接到azure-2
。将
gcp-2
连接到azure-1
。
您可以通过检查 ARP 缓存来检测这种情况。 但是,更简单的解决方案是前往远程云,然后尝试交换分配给两个 BGP 对等端的 IP 地址范围。
例如,假设 azure-1
在 169.254.0.2 上具有 VLAN 连接对等连接,而 azure-2
在 169.254.99.2 上具有 VLAN 连接对等互连。交换 IP 地址范围,以便 azure-1
连接使用 169.254.99.2,azure-2
连接使用 169.254.0.2。
如果您对每个端口上的连接使用了不同的 VLAN ID,则还需要交换连接所使用的 VLAN ID。对于 Azure,这种情况是不可能的,因为它要求每个连接在两个端口上使用相同的 VLAN ID。
VLAN ID
有时,连接问题可追溯到 VLAN ID 值的错误。VLAN ID 是 Cross-Cloud Interconnect VLAN 连接的字段。
Azure
Azure 要求在一对端口上以相同的方式分配 VLAN ID。创建 VLAN 连接时,Google Cloud 控制台会强制执行此要求。但是,如果您使用 Google Cloud CLI 或 API 设置连接,则可以分配不同的 VLAN ID。如果在创建连接时自动分配 VLAN ID,则这种风险特别大。如果您未明确设置该 ID,则系统会自动分配。
AWS
连接到 AWS 时,可以使用自动分配的 VLAN ID。但是,在配置 AWS 资源时,您必须手动配置 VLAN ID,以匹配 Google Cloud 自动分配的 VLAN ID。 此外,请务必不要混淆每个端口应使用的 VLAN ID。如果端口上配置了错误的 VLAN ID,则虚拟路由器将无法通信。
验证连接性
请按照以下步骤验证 Google Cloud 与远程云网络之间的连接(如果您尚未这样做):