Resolva problemas do Network Connectivity Center

Saiba mais sobre os passos de resolução de problemas que podem ser úteis se tiver problemas ao usar o Network Connectivity Center, os raios híbridos, os raios da VPC, os raios da gateway do NCC ou a propagação da ligação do Private Service Connect.

Para ver as limitações conhecidas, consulte as Considerações sobre o Network Connectivity Center na página de vista geral.

Problemas comuns com a sintaxe de comandos

Quando atualiza um raio, tem de especificar a localização em que o raio se encontra.

Anexe recursos a raios

Para ver requisitos, recomendações e considerações detalhadas para criar raios e anexar recursos aos mesmos, consulte o artigo Trabalhe com raios.

Os caminhos não são distribuídos entre regiões

Se as rotas não estiverem a ser distribuídas corretamente entre regiões, verifique se o modo de encaminhamento dinâmico da rede VPC está definido como global.

O tráfego de transferência de dados não flui entre duas redes que não sejamGoogle Cloud

Neste contexto, uma rede nãoGoogle Cloud refere-se ao seu centro de dados nas instalações, a um escritório filial ou à rede de outro fornecedor de nuvem.

Se o tráfego de transferência de dados não estiver a fluir entre duas localizações, confirme se os seguintes recursos estão configurados e a funcionar corretamente:

• Valide a funcionalidade dos túneis de VPN de HA ou anexos de VLAN que são adicionados como spokes.
• Verifique os percursos programados entre as duas localizações.
• Verifique se as atribuições de ASN estão configuradas conforme descrito nos requisitos de ASN para a transferência de dados site a site.
• Verifique se cada spoke tem o campo de transferência de dados de site a site definido como true.

Anúncios de rotas duplicados de sessões de BGP

Se existirem anúncios de rotas duplicados, alguns de sessões BGP que participam na transferência de dados e outros de sessões que não participam na transferência de dados, o tráfego de transferência de dados pode usar o ECMP para distribuir o tráfego a todos os próximos saltos disponíveis, mesmo que esses próximos saltos não estejam a participar explicitamente na transferência de dados.

Ligação de interconexão a uma localização não suportada (rede nãoGoogle Cloud )

Para ver um exemplo de como configurar anúncios de rotas quando uma das suas ligações redundantes do Interconnect é para uma localização não suportada, consulte o artigo Configure o router externo para evitar localizações não suportadas.

Resolva problemas de conetividade de rede com os testes de conetividade

Os testes de conetividade são uma ferramenta de diagnóstico que lhe permite verificar a conetividade entre pontos finais na sua rede. Analisa a sua configuração e, em alguns casos, faz a validação em tempo de execução.

Para analisar as configurações de rede, os testes de conetividade simulam o caminho de encaminhamento esperado de um pacote através da sua rede da nuvem virtual privada (VPC), dos túneis do Cloud VPN, das associações de VLAN ou

Pode usar a análise da configuração dos testes de conetividade para avaliar a acessibilidade das seguintes redes:

• De uma rede não pertencente aoGoogle Cloud Google Cloud para uma rede de VPC que estão ligadas através do Network Connectivity Center. Neste contexto, uma rede que não seja a do Google Cloud é normalmente o seu centro de dados nas instalações, um escritório filial ou a rede de outro fornecedor de nuvem.Google Cloud
• Teste entre instâncias de VM através de um hub do Centro de conetividade de rede

Uma vez que os testes de conetividade não têm acesso à configuração de rede no local, não podem validar a configuração das rotas e das regras de firewall no seu router no local. Assim, o tráfego da sua rede no local para a sua rede VPC é sempre considerado válido pela análise de configuração dos testes de conectividade, e apenas as configurações dentro Google Cloud são validadas.

Para executar testes de conetividade entre duas redes no local ligadas através do Network Connectivity Center, consulte o artigo Teste de uma rede não pertencente aoGoogle Cloud para uma rede não pertencente aoGoogle Cloud .

Para mais informações, consulte a Vista geral dos testes de conetividade.

Resolva problemas com raios híbridos

O seguinte problema pode ocorrer no dispositivo de router, na associação de VLAN e nos raios da VPN.

As sub-redes do hub configuradas não são anunciadas a uma rede no local

Se as sub-redes do hub configuradas não forem anunciadas à rede no local, verifique a tabela de rotas do hub do grupo do spoke híbrido para detetar os seguintes problemas:

• Se as sub-redes forem apresentadas na tabela de rotas do hub, faça o seguinte:

  • Certifique-se de que a política de rotas BGP não eliminou a sub-rede a anunciar.

  • Contacte o Google Cloud apoio técnico para diagnosticar o problema subjacente.

• Se as sub-redes não estiverem na tabela de rotas do hub, faça o seguinte:

  • Verifique os intervalos de endereços IP de inclusão/exclusão de exportação no spoke da VPC das sub-redes. Se a sub-rede for filtrada por intervalos de inclusão/exportação ou intervalos de exclusão/exportação, pode atualizar o spoke da VPC.

Resolva problemas do router

Os seguintes problemas e soluções são exclusivos do dispositivo Router.

A documentação para a resolução de problemas do Cloud Router também se aplica ao dispositivo Router, juntamente com os problemas descritos nas secções seguintes.

Para mais informações, consulte o seguinte:

• Resolva problemas de sessões de BGP
• Resolva problemas de peering BGP
• Resolva problemas de trajetos BGP e seleção de trajetos
• Resolva problemas de mensagens de registo do Cloud Router

As sessões de BGP não são estabelecidas

Se as sessões BGP entre o Cloud Router e o dispositivo de router não forem estabelecidas, verifique os seguintes problemas:

• Certifique-se de que uma VM que atua como uma instância de dispositivo de router está configurada como parte de um spoke no Network Connectivity Center. Para configurar uma instância de dispositivo de encaminhamento como parte de um spoke, consulte o artigo Trabalhe com spokes.
• Verifique as definições da firewall para garantir que a porta TCP 179 é permitida. Para configurar as definições da firewall para o dispositivo de router, consulte o artigo Crie instâncias de dispositivos de router.
• Certifique-se de que nem o Cloud Router nem a instância do dispositivo de router estão a usar endereços locais de ligação (ou seja, 169.254.x.x) para estabelecer peering entre si. Para orientações, consulte o artigo Endereços IP e instâncias de dispositivos de encaminhamento.
• Certifique-se de que o Cloud Router estabeleceu duas sessões BGP separadas para a instância do dispositivo de encaminhamento, uma de cada interface do Cloud Router. A instância do dispositivo de encaminhamento tem de anunciar as mesmas rotas em ambas as sessões BGP. Se uma das suas sessões BGP falhar e a VM do dispositivo de router perder a comunicação com o Cloud Router, verifique a configuração das interfaces do Cloud Router. Para mais informações, consulte o artigo Crie instâncias de dispositivo de encaminhamento.

Problemas com endereços IP internos para sessões de BGP em instâncias de dispositivos de router

Se descobrir problemas relacionados com a configuração do endereço IP para instâncias de dispositivos de encaminhamento, certifique-se de que configurou endereços IP internos RFC 1918 para sessões BGP entre o Cloud Router e as VMs que atuam como instâncias de dispositivos de encaminhamento.

As instâncias de dispositivos de encaminhamento não usam endereços 169.254.x.x para sessões BGP. Em alternativa, têm de usar endereços IP na mesma sub-rede da VPC que o Cloud Router. Para mais informações, consulte o artigo Crie instâncias de dispositivo de encaminhamento.

Resolva problemas com os raios da VPC

Autorizações

Se a autorização for recusada ao criar um spoke num projeto diferente do hub, contacte o administrador do hub para confirmar que lhe foi concedida a networkconnectivity.groups.useautorização necessária no hub.

Falhas na criação de spoke de VPC

Se a criação do spoke da VPC falhou, tal pode dever-se a um dos seguintes motivos:

• A rede VPC já está em intercâmbio com um ou mais raios existentes através do intercâmbio da VPC.
• As sub-redes sobrepõem-se aos raios de VPC existentes.
• As sub-redes sobrepõem-se aos pares dos raios da VPC existentes.
• Excedeu a quota de spokes da VPC.
• Excedeu a quota de rotas por tabela de rotas do hub.
• Foram especificados mais de 16 filtros de exportação.
• As sub-redes na rede VPC são maiores do que um ou mais filtros especificados.

Para erros relacionados com quotas, consulte o artigo Quotas e limites.

Falhas na criação de spoke de VPC após a eliminação de um spoke

Depois de eliminar um spoke, tem de aguardar o período de repouso de, pelo menos, 10 minutos antes de poder criar um novo spoke para a mesma rede VPC anexada a um hub diferente. Este período de repouso não é necessário se a rede VPC for adicionada como um spoke ao mesmo hub.

Falhas na criação de sub-redes num nó da VPC

Se encontrar uma falha na criação de sub-redes num spoke de VPC, tal pode dever-se a um dos seguintes motivos:

• Existem sub-redes sobrepostas noutros raios da VPC ou pares de raios da VPC.
• Excedeu a quota de rotas por tabela de rotas do hub.
• As sub-redes na rede VPC são maiores do que um ou mais filtros especificados.

O spoke da VPC é criado, mas a conetividade do plano de dados está em falta

Se o spoke da VPC for apresentado como criado, mas a conetividade do plano de dados estiver em falta, tal pode dever-se a um dos seguintes motivos:

• O spoke está num projeto diferente do hub e o administrador do hub não aceitou a proposta do spoke.
• Todas as sub-redes na rede VPC são filtradas e excluídas da conetividade.
• As sub-redes de destino são filtradas pelos respetivos filtros de spoke da VPC.

A tabela de rotas do hub não mostra algumas sub-redes em raios da VPC

Se a tabela de rotas do hub não mostrar algumas das sub-redes nos raios da VPC, tal pode dever-se a um dos seguintes motivos:

• As sub-redes são filtradas através de filtros de exportação.
• As sub-redes foram criadas nos últimos 5 a 10 minutos e a tabela de rotas do hub ainda não foi atualizada.

A atualização do spoke da VPC falhou

Certifique-se de que as atualizações do spoke estão em conformidade com todas as quotas e limites do Network Connectivity Center; caso contrário, a atualização do spoke falha.

Se um spoke de VPC ou um spoke de VPC do produtor estiver num projeto diferente do projeto que contém o hub, e um administrador do hub não tiver ativado a aceitação automática de propostas do projeto do spoke, um administrador do hub tem de aceitar ou rejeitar uma atualização proposta. Para informações detalhadas sobre como verificar o estado da proposta de atualização do spoke, consulte o artigo Verifique o estado de um spoke da VPC.

Resolva problemas relacionados com erros de propagação da ligação do Private Service Connect

Antes de investigar problemas, familiarize-se com as seguintes páginas:

• Propagação da ligação do Private Service Connect através do Network Connectivity Center
• Configure um centro

A VM num raio não consegue aceder à ligação do Private Service Connect noutro raio

Se uma VM num spoke de uma VPC não conseguir aceder ao ponto final do Private Service Connect noutro spoke, certifique-se de que as seguintes condições são cumpridas:

• O campo --export_psc está ativado no hub.

  Para verificar se o campo --export_psc está ativado no hub, use o comando gcloud network-connectivity hubs describe.

  gcloud

  gcloud network-connectivity hubs describe HUB_NAME \
      --project=PROJECT_ID \
      --format='get(export_psc)'
  

  Substitua os seguintes valores:

  • HUB_NAME: o nome do hub
  • PROJECT_ID: o ID do projeto onde o hub reside

• O endereço IP do ponto final do Private Service Connect não está em nenhum intervalo de exclusão de exportação do spoke de alojamento. Os pontos finais do Private Service Connect que residem no intervalo de exclusão de exportação não são propagados.

  Para verificar os intervalos de exclusão de exportação especificados de um spoke, use o comando gcloud network-connectivity spokes describe.

  gcloud

  gcloud network-connectivity spokes describe SPOKE_NAME \
      --global \
      --project=PROJECT_ID \
      --format='get(linked_vpc_network.exclude_export_ranges)'
  

  Substitua os seguintes valores:

  • SPOKE_NAME: o nome do raio
  • PROJECT_ID: o ID do projeto onde o spoke reside

• Não excedeu a quota de utilização do Network Connectivity Center.

• O psc_connection_status do ponto final está no estado ACCEPTED. Para ver informações sobre os estados da associação, consulte o artigo Estados da associação.

• O estado da ligação propagado do ponto final no spoke que contém a VM é READY. Se não for apresentado nenhum estado, verifique os motivos na secção Não consegue ver o estado de alguns raios de segmentação nesta página. Pode verificar o estado da associação propagado através do comando gcloud network-connectivity hubs query-status:

  gcloud

  gcloud network-connectivity hubs query-status HUB_NAME\
      --filter='psc_propagation_status.source_spoke="SOURCE_SPOKE_NAME" AND psc_propagation_status.target_spoke="TARGET_SPOKE_NAME" AND psc_propagation_status.source_forwarding_rule="ENDPOINT_NAME"
  

  Substitua os seguintes valores:

  • HUB_NAME: o nome do hub para o qual quer verificar o estado de propagação da associação
  • SOURCE_SPOKE_NAME: o nome do spoke de origem
  • TARGET_SPOKE_NAME: o nome do spoke de destino
  • ENDPOINT_NAME: o nome do ponto final

  Para ver informações detalhadas sobre como usar estas flags, consulte a página de comandos gcloud network-connectivity hubs query-status.

• A rede VPC anfitriã do ponto final do Private Service Connect (origem) é um raio de VPC no hub.

• O endereço IP do ponto final do Private Service Connect é um endereço RFC 1918.

Esgotou a quota de produtores

Se vir a mensagem de erro PRODUCER_QUOTA_EXHAUSTED, pode pedir ao produtor do serviço que solicite um aumento da quota PSC_ILB_CONSUMER_FORWARDING_RULES_PER_PRODUCER_NETWORK. Para detalhes, consulte a secção Por rede da documentação da VPC.

Excedeu o limite de associações propagadas do produtor

Se vir um erro sobre a ultrapassagem do limite de ligações propagadas de uma associação de serviço, pode pedir ao produtor do serviço que aumente o limite. Quando um produtor de serviços atualiza o limite de ligações propagadas, Google Cloud verifica automaticamente se é possível criar ligações propagadas pendentes.

O espaço de endereços IP NAT do produtor está esgotado

Se vir a mensagem de erro PRODUCER_NAT_IP_SPACE_EXHAUSTED, significa que pode ter de pedir ao produtor do serviço para adicionar sub-redes NAT. Para obter informações sobre como adicionar sub-redes, consulte o artigo Adicione ou remova sub-redes de um serviço publicado.

Esgotou a quota de consumidor

Se vir uma mensagem de erro CONSUMER_QUOTA_EXHAUSTED, contacte o proprietário da rede VPC do consumidor e peça um aumento da quota PSC_PROPAGATED_CONNECTIONS_PER_VPC_NETWORK.

Não pode ver o estado de alguns raios de destino

Se não vir o estado de alguns raios de destino, tal pode dever-se a um dos seguintes motivos:

• O spoke de destino não é um spoke de VPC. Apenas os raios da VPC, incluindo as redes VPC que são raios da VPC e também contêm raios híbridos, podem receber ligações propagadas. Um spoke híbrido numa rede VPC de encaminhamento que não seja também um spoke de VPC não pode receber ligações propagadas.

• O Network Connectivity Center mostra apenas o estado de propagação de cada spoke da VPC. Se uma rede VPC for um spoke de VPC e contiver spokes híbridos, verifique o estado de propagação do respetivo spoke de VPC para determinar se os spokes híbridos contidos têm conetividade com pontos finais do Private Service Connect propagados.

• Se uma rede da VPC for simultaneamente a rede da VPC do produtor do Private Service Connect e um spoke da VPC num hub que propaga os respetivos pontos finais, o Network Connectivity Center não propaga os respetivos pontos finais de volta para a própria rede da VPC do produtor.

• A propagação não é permitida pela topologia do hub. Por exemplo, se o hub estiver configurado para usar a topologia em estrela, as seguintes condições também são verdadeiras:

  • Os pontos finais do Private Service Connect no grupo central são propagados para todos os outros raios da VPC.
  • Os pontos finais do Private Service Connect no grupo de limite são apenas propagados para os raios da VPC no grupo central.

Resolva problemas de troca de rotas de raios da VPC

Os raios da VPC e os raios híbridos estão associados ao mesmo hub, mas a conetividade do plano de dados está em falta

Se os raios de VPC e os raios híbridos estiverem anexados ao mesmo hub, mas a conetividade do plano de dados estiver em falta, pode dever-se a um dos seguintes motivos:

• O spoke é um spoke entre projetos e o administrador do hub não aceitou a proposta do spoke.
• Todas as sub-redes na rede VPC são filtradas e excluídas da conetividade.
• A propagação automática de sub-redes da VPC não está ativada ou a publicidade de rotas personalizadas não está configurada.
• A quota de rotas dinâmicas está esgotada.

A tabela de trajetos do hub não mostra alguns trajetos dinâmicos ou mostra trajetos dinâmicos espúrios

A tabela de rotas do hub pode não mostrar as rotas dinâmicas corretamente devido a um dos seguintes motivos:

• As rotas BGP foram anunciadas ou retiradas nos últimos cinco a dez minutos e a tabela de rotas do hub ainda não foi atualizada.
• A quota de rotas dinâmicas está esgotada.

A criação de um spoke híbrido falha

Se a criação de um spoke híbrido falhar, pode dever-se a um dos seguintes motivos:

• A rede VPC de encaminhamento pode ser uma rede VPC spoke existente para o mesmo hub ou um hub diferente.
• A rede VPC de encaminhamento pode estar implicitamente associada a um hub diferente devido a um spoke híbrido existente ligado a esse hub. Os anexos híbridos de uma rede VPC podem tornar-se raios de apenas um hub.

A criação do spoke da VPC falha

A criação de um spoke da VPC pode falhar se o spoke da VPC estiver implicitamente associado a um hub como uma rede da VPC de encaminhamento.

Mensagem de erro

Se tentar criar um raio e receber uma mensagem de erro a indicar An internal error occurred, para ajudar a resolver o problema, contacte o Google Cloud apoio técnico.

Resolva problemas com os raios do gateway da NCC

Pode ver os serviços e os routers que estão ligados ao seu gateway do NCC através do comando gcloud network-connectivity spokes describe no recurso spoke do gateway do NCC.

  gcloud network-connectivity spokes describe SPOKE_NAME \
      --region REGION

createTime: '2022-11-25T06:06:11.572019860Z'
hub: projects/PROJECT/locations/REGION/hubs/HUB
gateway:
  ipRangeReservation: 10.1.2.0/24
  asn: 65123
  routers:
    projects/PROJECT/locations/REGION/routers/ROUTER

name: projects/PROJECT/locations/REGION/spokes/SPOKE
state: ACTIVE
uniqueId: 8ca10af0-ee69-43c2-b0b4-61e8f53d410b
updateTime: '2023-12-27T21:26:47.786506888Z'

Pode ver a tabela de encaminhamento de VPC da aplicação e a rota da tabela de rotas do hub criada que é propagada para a tabela de rotas de VPC com o próximo salto como hub através do comando gcloud compute routes list:

  gcloud compute routes list \
      --filter="network=NETWORK"

NAME                                                  NETWORK  DEST_RANGE    NEXT_HOP  PRIORITY
ncc-static-route-7296f3a4-cdc2-4560-a905-95cdb1d6833e  vpc-1    17.0.0.0/8   hub       0

Pode ver a tabela de rotas do hub para o grupo de raios e ver a mesma rota criada a apontar para o raio do gateway do NCC através do comando gcloud network-connectivity hubs route-tables routes list:

  gcloud network-connectivity hubs route-tables routes list --hub=HUB_NAME \
      --route_table

Substitua HUB_NAME pelo nome do hub.

A tabela de rotas do hub não mostra rotas anunciadas do gateway

Se a tabela de rotas do hub não mostrar algumas das rotas anunciadas do gateway com o spoke do gateway como próximo salto, pode dever-se ao facto de as rotas não estarem instaladas no plano de dados. Isto pode causar problemas de conetividade entre os raios da VPC e as aplicações no local ligadas através do raio do gateway do NCC. Experimente eliminar e criar rotas anunciadas de gateway seguindo estes passos:

1. Elimine o trajeto anunciado
2. Crie uma rota anunciada do gateway NCC

3. Veja o trajeto anunciado associado ao gateway do NCC através do comando gcloud beta network-connectivity spokes gateways advertised-routes list:

   gcloud

   gcloud beta network-connectivity spokes gateways advertised-routes list
       --region=REGION
   

   Substitua REGION pela região onde o raio está localizado.

4. Valide a rota anunciada do gateway na tabela de rotas do hub através do comando gcloud network-connectivity hubs route-tables list:

   gcloud

   gcloud network-connectivity hubs route-tables list \
       --hub=HUB_NAME
   

   Substitua HUB_NAME pelo nome do hub para o qual quer apresentar a tabela de rotas.

   O resultado é semelhante ao seguinte. Tem de existir uma entrada para a rota anunciada do gateway na saída.

   gcloud  network-connectivity hubs route-tables routes list --hub=HUB_NAME --route_table PROD
   IP_CIDR_RANGE  STATE    TYPE      NEXT_HOP   HUB       ROUTE_TABLE     PRIORITY
   10.0.0.0/8     ACTIVE   NCC_GW    NCC-GW-1   HUB_NAME  PROD            100
   

Para problemas com o Cloud Router, consulte o artigo Resolva problemas de mensagens de registo do Cloud Router.

Para problemas com o Cloud Interconnect, consulte a página de resolução de problemas do Cloud Interconnect.