Risolvere i problemi di Network Connectivity Center

Scopri i passaggi per la risoluzione dei problemi, utili in caso di problemi nell'utilizzo di Network Connectivity Center, spoke ibridi, spoke VPC, spoke gateway NCC o propagazione della connessione Private Service Connect.

Per le limitazioni note, consulta Considerazioni sul Network Connectivity Center nella pagina di panoramica.

Problemi comuni con la sintassi dei comandi

Quando aggiorni un hub, devi specificare la posizione in cui si trova.

Collega risorse agli spoke

Per requisiti, consigli e considerazioni dettagliati per la creazione di raggi e l'allegato di risorse, vedi Utilizzare i raggi.

Le route non sono distribuite tra le regioni.

Se le route non vengono distribuite correttamente tra le regioni, verifica che la modalità di routing dinamico della rete VPC sia impostata su global.

Il traffico di trasferimento dei dati non scorre tra due reti nonGoogle Cloud

In questo contesto, una rete nonGoogle Cloud si riferisce al tuo data center on-premise, a una filiale o alla rete di un altro cloud provider.

Se il traffico di trasferimento dei dati non scorre tra due località, verifica che le seguenti risorse siano configurate e funzionino correttamente:

• Verifica la funzionalità dei tunnel VPN ad alta disponibilità o dei collegamenti VLAN aggiunti come raggi.
• Verifica gli itinerari programmati tra le due località.
• Verifica che le assegnazioni ASN siano configurate come descritto in Requisiti ASN per il trasferimento di dati da sito a sito.
• Verifica che il campo di trasferimento dei dati da sito a sito di ogni spoke sia impostato su true.

Annunci di route duplicati dalle sessioni BGP

Se sono presenti annunci di route duplicati, alcuni provenienti da sessioni BGP che partecipano al trasferimento dei dati e altri da sessioni che non partecipano al trasferimento dei dati, il traffico di trasferimento dei dati potrebbe utilizzare ECMP per distribuire il traffico a tutti gli hop successivi disponibili, anche se questi hop successivi non partecipano esplicitamente al trasferimento dei dati.

Connessione Interconnect a una località non supportata (rete nonGoogle Cloud )

Per un esempio di come configurare le pubblicità di route quando una delle tue connessioni di interconnessione ridondanti si trova in una località non supportata, consulta Configura il router esterno per evitare località non supportate.

Risolvere i problemi di connettività di rete utilizzando Connectivity Tests

Connectivity Tests è uno strumento di diagnostica che ti consente di verificare la connettività tra gli endpoint della tua rete. Analizza la tua configurazione e, in alcuni casi, esegue la verifica in fase di runtime.

Per analizzare le configurazioni di rete, Connectivity Tests simulano il percorso di forwarding previsto di un pacchetto attraverso la rete Virtual Private Cloud (VPC), i tunnel Cloud VPN, i collegamenti VLAN o

Puoi utilizzare l'analisi della configurazione di Connectivity Tests per valutare la raggiungibilità per le seguenti reti:

• Da una rete nonGoogle Cloud a una rete VPC connesse tramite Network Connectivity Center. In questo contesto, una rete nonGoogle Cloud è in genere il tuo data center on-premise o una filiale o la rete di un altro cloud provider.
• Test tra istanze VM tramite un hub Network Connectivity Center

Poiché Connectivity Tests non ha accesso alla configurazione di rete on-premise, non può verificare la configurazione di route e regole firewall sul router on-premise. Pertanto, il traffico dalla rete on-premise alla rete VPC è sempre considerato valido dall'analisi della configurazione Connectivity Tests e vengono verificate solo le configurazioni all'interno di Google Cloud .

Per eseguire Connectivity Tests tra due reti on-premise connesse tramite Network Connectivity Center, consulta Test da una rete nonGoogle Cloud a una rete nonGoogle Cloud .

Per ulteriori informazioni, consulta la panoramica di Connectivity Tests.

Risolvere i problemi relativi agli spoke ibridi

Il seguente problema può verificarsi negli spoke appliance router, collegamento VLAN e VPN.

Le subnet hub configurate non vengono pubblicizzate in una rete on-premise

Se le subnet hub configurate non vengono pubblicizzate nella rete on-premise, controlla la tabella di routing dell'hub del gruppo di spoke ibrido per i seguenti problemi:

• Se le subnet vengono visualizzate nella tabella di routing hub, segui questi passaggi:

  • Assicurati che le norme di routing BGP non abbiano eliminato la subnet da pubblicizzare.

  • Contatta l'assistenzaGoogle Cloud per diagnosticare il problema sottostante.

• Se le subnet non sono nella tabella di routing dell'hub:

  • Controlla gli intervalli di indirizzi IP include-export ed exclude-export nello spoke VPC delle subnet. Se la subnet è filtrata in base agli intervalli include-export o exclude-export, puoi aggiornare il VPC spoke.

Risolvere i problemi relativi all'appliance router

I seguenti problemi e soluzioni sono specifici dell'appliance router.

La documentazione per la risoluzione dei problemi del router Cloud si applica anche all'appliance router, insieme ai problemi descritti nelle sezioni seguenti.

Per ulteriori informazioni, consulta le seguenti risorse:

• Risolvere i problemi relativi alle sessioni BGP
• Risolvere i problemi di peering BGP
• Risolvere i problemi relativi alle route BGP e alla selezione delle route
• Risolvere i problemi relativi ai messaggi di log del router Cloud

Impossibile stabilire le sessioni BGP

Se le sessioni BGP tra il router Cloud e l'appliance router non vengono stabilite, verifica i seguenti problemi:

• Assicurati che una VM che funge da istanza di appliance router sia configurata come parte di uno spoke in Network Connectivity Center. Per configurare un'istanza di appliance router come parte di uno spoke, vedi Utilizzare gli spoke.
• Controlla le impostazioni del firewall per assicurarti che la porta TCP 179 sia consentita. Per configurare le impostazioni del firewall per l'appliance router, vedi Creazione di istanze dell'appliance router.
• Assicurati che né router Cloud né l'istanza dell'appliance router utilizzino indirizzi link-local (ovvero 169.254.x.x) per il peering tra loro. Per indicazioni, consulta Indirizzi IP e istanze di appliance router.
• Assicurati che router Cloud abbia stabilito due sessioni BGP separate con l'istanza dell'appliance router, una da ogni interfacciarouter Clouder. L'istanza dell'appliance router deve annunciare le stesse route in entrambe le sessioni BGP. Se una delle tue sessioni BGP non funziona e la VM dell'appliance router perde la comunicazione con router Cloud, controlla la configurazione delle interfacce del router Cloud. Per saperne di più, vedi Crea istanze di appliance router.

Problemi con gli indirizzi IP interni per le sessioni BGP sulle istanze dell'appliance router

Se riscontri problemi relativi alla configurazione dell'indirizzo IP per le istanze dell'appliance router, assicurati di aver configurato gli indirizzi IP interni RFC 1918 per le sessioni BGP tra router Cloud e le VM che fungono da istanze dell'appliance router.

Le istanze appliance router non utilizzano indirizzi 169.254.x.x per le sessioni BGP. Devono invece utilizzare indirizzi IP nella stessa subnet VPC del router Cloud. Per saperne di più, vedi Crea istanze di appliance router.

Risolvi i problemi relativi agli spoke VPC

Autorizzazioni

Se l'autorizzazione viene negata durante la creazione di uno spoke in un progetto diverso dall'hub, verifica con l'amministratore dell'hub di aver ricevuto l'autorizzazione networkconnectivity.groups.use richiesta sull'hub.

Errori di creazione dello spoke VPC

Se la creazione dello spoke VPC non è riuscita, il motivo potrebbe essere uno dei seguenti:

• La rete VPC è già in peering con uno o più spoke esistenti utilizzando il peering VPC.
• Le subnet si sovrappongono agli spoke VPC esistenti.
• Le subnet si sovrappongono ai peer degli spoke VPC esistenti.
• Hai superato la quota di spoke VPC.
• Hai superato la quota di route per tabella di route hub.
• Sono specificati più di 16 filtri di esportazione.
• Le subnet nella rete VPC sono più grandi di uno o più filtri specificati.

Per gli errori relativi alle quote, consulta Quote e limiti.

Errori di creazione dello spoke VPC dopo l'eliminazione di uno spoke

Dopo aver eliminato uno spoke, devi attendere il periodo di raffreddamento di almeno 10 minuti prima di poter creare un nuovo spoke per la stessa rete VPC collegata a un hub diverso. Questo periodo di raffreddamento non è necessario se la rete VPC viene aggiunta come spoke allo stesso hub.

Errori di creazione della subnet in uno spoke VPC

Se si verifica un errore di creazione della subnet in uno spoke VPC, il motivo potrebbe essere uno dei seguenti:

• Esistono subnet sovrapposte in altri spoke VPC o peer di spoke VPC.
• Hai superato la quota di route per tabella di route hub.
• Le subnet nella rete VPC sono più grandi di uno o più filtri specificati.

Lo spoke VPC viene creato, ma manca la connettività del piano dati

Se lo spoke VPC viene visualizzato come creato, ma la connettività del piano dati non è presente, il motivo potrebbe essere uno dei seguenti:

• Lo spoke si trova in un progetto diverso dall'hub e l'amministratore dell'hub non ha accettato la proposta di spoke.
• Tutte le subnet nella rete VPC vengono filtrate ed escluse dalla connettività.
• Le subnet di destinazione vengono filtrate in base ai filtri spoke VPC corrispondenti.

La tabella di route hub non mostra alcune subnet negli spoke VPC

Se la tabella di routing dell'hub non mostra alcune delle subnet negli spoke VPC, il motivo potrebbe essere uno dei seguenti:

• Le subnet vengono filtrate utilizzando i filtri di esportazione.
• Le subnet sono state create negli ultimi 5-10 minuti e la tabella di route hub non è ancora stata aggiornata.

L'aggiornamento dello spoke VPC non è riuscito

Assicurati che gli aggiornamenti dello spoke rispettino tutte le quote e i limiti di Network Connectivity Center, altrimenti l'aggiornamento dello spoke non va a buon fine.

Se uno spoke VPC o uno spoke VPC del producer si trova in un progetto diverso da quello che contiene l'hub e un amministratore dell'hub non ha attivato l'accettazione automatica delle proposte dal progetto spoke, un amministratore dell'hub deve accettare o rifiutare un aggiornamento proposto. Per informazioni dettagliate su come controllare lo stato della proposta di aggiornamento dello spoke, consulta Controllare lo stato di uno spoke VPC.

Risolvere gli errori di propagazione della connessione Private Service Connect

Prima di esaminare i problemi, acquisisci familiarità con le seguenti pagine:

• Propagazione della connessione Private Service Connect tramite Network Connectivity Center
• Configurare un hub

La VM in uno spoke non può accedere alla connessione Private Service Connect in un altro spoke

Se una VM in uno spoke VPC non riesce ad accedere all'endpoint Private Service Connect in un altro spoke, assicurati che siano soddisfatte le seguenti condizioni:

• Il campo --export_psc è attivato nell'hub.

  Per verificare se il campo --export_psc è abilitato nell'hub, utilizza il comando gcloud network-connectivity hubs describe.

  gcloud

  gcloud network-connectivity hubs describe HUB_NAME \
      --project=PROJECT_ID \
      --format='get(export_psc)'
  

  Sostituisci i seguenti valori:

  • HUB_NAME: il nome dell'hub
  • PROJECT_ID: l'ID progetto in cui si trova l'hub

• L'indirizzo IP dell'endpoint Private Service Connect non rientra in alcun intervallo di esclusione dell'esportazione dello spoke di hosting. Gli endpoint Private Service Connect che si trovano all'interno dell'intervallo di esclusione dell'esportazione non vengono propagati.

  Per controllare gli intervalli di esclusione dall'esportazione specificati di uno spoke, utilizza il comando gcloud network-connectivity spokes describe.

  gcloud

  gcloud network-connectivity spokes describe SPOKE_NAME \
      --global \
      --project=PROJECT_ID \
      --format='get(linked_vpc_network.exclude_export_ranges)'
  

  Sostituisci i seguenti valori:

  • SPOKE_NAME: il nome dello spoke
  • PROJECT_ID: l'ID progetto in cui si trova lo spoke

• Non hai superato la quota di utilizzo di Network Connectivity Center.

• L'psc_connection_status dell'endpoint è nello stato ACCEPTED. Per informazioni sugli stati della connessione, vedi Stati della connessione.

• Lo stato della connessione propagata dell'endpoint nello spoke contenente la VM è READY. Se non viene visualizzato alcuno stato, controlla i motivi nella sezione Non riesci a visualizzare lo stato di alcuni raggi target di questa pagina. Puoi controllare lo stato della connessione propagata utilizzando il comando gcloud network-connectivity hubs query-status:

  gcloud

  gcloud network-connectivity hubs query-status HUB_NAME\
      --filter='psc_propagation_status.source_spoke="SOURCE_SPOKE_NAME" AND psc_propagation_status.target_spoke="TARGET_SPOKE_NAME" AND psc_propagation_status.source_forwarding_rule="ENDPOINT_NAME"
  

  Sostituisci i seguenti valori:

  • HUB_NAME: il nome dell'hub per cui vuoi controllare lo stato di propagazione della connessione
  • SOURCE_SPOKE_NAME: il nome dello spoke di origine
  • TARGET_SPOKE_NAME: il nome dello spoke di destinazione
  • ENDPOINT_NAME: il nome dell'endpoint

  Per informazioni dettagliate su come utilizzare questi flag, consulta la pagina del comando gcloud network-connectivity hubs query-status.

• La rete VPC host dell'endpoint Private Service Connect (origine) è uno spoke VPC nell'hub.

• L'indirizzo IP dell'endpoint Private Service Connect è un indirizzo RFC 1918.

Hai esaurito la quota del producer

Se visualizzi il messaggio di errore PRODUCER_QUOTA_EXHAUSTED, puoi chiedere al producer di servizi di richiedere un aumento della quota PSC_ILB_CONSUMER_FORWARDING_RULES_PER_PRODUCER_NETWORK. Per i dettagli, consulta la sezione Per rete della documentazione VPC.

Hai superato il limite di connessioni propagate del producer

Se visualizzi un errore relativo al superamento del limite di connessione propagato di un collegamento al servizio, puoi chiedere al producer di servizi di aumentare il limite. Quando un producer di servizi aggiorna il limite di connessione propagato, Google Cloud controlla automaticamente se è possibile creare connessioni propagate in attesa.

Lo spazio di indirizzi IP NAT del producer è esaurito

Se visualizzi il messaggio di errore PRODUCER_NAT_IP_SPACE_EXHAUSTED, significa che potresti dover chiedere alproducer di servizio di aggiungere subnet NAT. Per informazioni sull'aggiunta di subnet, vedi Aggiungere o rimuovere subnet da un servizio pubblicato.

Hai esaurito la quota del consumer

Se visualizzi un messaggio di errore CONSUMER_QUOTA_EXHAUSTED, contatta il proprietario della rete VPC consumer e richiedi un aumento della quota PSC_PROPAGATED_CONNECTIONS_PER_VPC_NETWORK.

Non puoi visualizzare lo stato di alcuni spoke di destinazione

Se non vedi lo stato di alcuni raggi target, il motivo potrebbe essere uno dei seguenti:

• Lo spoke di destinazione non è uno spoke VPC. Solo gli spoke VPC, incluse le reti VPC che sono spoke VPC e contengono anche spoke ibridi, possono ricevere connessioni propagate. Uno spoke ibrido in una rete VPC di routing che non è anche uno spoke VPC non può ricevere connessioni propagate.

• Network Connectivity Center mostra lo stato di propagazione solo per ogni spoke VPC. Se una rete VPC è sia uno spoke VPC sia contiene spoke ibridi, controlla lo stato di propagazione del suo spoke VPC per determinare se gli spoke ibridi contenuti hanno connettività agli endpoint Private Service Connect propagati.

• Se una rete VPC è sia la rete VPC producer di Private Service Connect sia uno spoke VPC su un hub che propaga i suoi endpoint, Network Connectivity Center non propaga i suoi endpoint alla rete VPC producer stessa.

• La propagazione non è consentita dalla topologia dell'hub. Ad esempio, se l'hub è configurato per utilizzare la topologia a stella, sono vere anche le seguenti condizioni:

  • Gli endpoint Private Service Connect nel gruppo centrale vengono propagati a tutti gli altri spoke VPC.
  • Gli endpoint Private Service Connect nel gruppo edge vengono propagati solo agli spoke VPC nel gruppo centrale.

Risolvi i problemi relativi allo scambio di route degli spoke VPC

Gli spoke VPC e gli spoke ibridi sono collegati allo stesso hub, ma manca la connettività del piano dati

Se gli spoke VPC e gli spoke ibridi sono collegati allo stesso hub ma la connettività del piano dati non è presente, il motivo potrebbe essere uno dei seguenti:

• Lo spoke è uno spoke tra progetti e l'amministratore dell'hub non ha accettato la proposta di spoke.
• Tutte le subnet nella rete VPC vengono filtrate ed escluse dalla connettività.
• La propagazione automatica delle subnet VPC non è abilitata o la pubblicità delle route personalizzate non è configurata.
• La quota delle route dinamiche è esaurita.

La tabella delle route dell'hub non mostra alcune route dinamiche o mostra route dinamiche spurie

La tabella di routing dell'hub potrebbe non mostrare correttamente le route dinamiche per uno dei seguenti motivi:

• Le route BGP sono state pubblicizzate o ritirate negli ultimi 5-10 minuti e la tabella di routing dell'hub non è ancora aggiornata.
• La quota delle route dinamiche è esaurita.

La creazione dello spoke ibrido non riesce

Se la creazione di uno spoke ibrido non va a buon fine, il motivo potrebbe essere uno dei seguenti:

• La rete VPC di routing potrebbe essere uno spoke VPC esistente dello stesso hub o di un hub diverso.
• La rete VPC di routing potrebbe essere associata implicitamente a un hub diverso a causa di uno spoke ibrido esistente connesso a quell'hub. Gli allegati ibridi di una rete VPC possono diventare spoke di un solo hub.

La creazione dello spoke VPC non riesce

La creazione dello spoke VPC potrebbe non riuscire se lo spoke VPC è associato implicitamente a un hub come rete VPC di routing.

Messaggio di errore

Se provi a creare uno spoke e ricevi un messaggio di errore che indica An internal error occurred, per risolvere il problema, contatta l'Google Cloud assistenza.

Risolvi i problemi relativi agli spoke gateway NCC

Puoi visualizzare i servizi e i router connessi al tuo gateway NCC utilizzando il comando gcloud network-connectivity spokes describe nella risorsa spoke gateway NCC.

  gcloud network-connectivity spokes describe SPOKE_NAME \
      --region REGION

createTime: '2022-11-25T06:06:11.572019860Z'
hub: projects/PROJECT/locations/REGION/hubs/HUB
gateway:
  ipRangeReservation: 10.1.2.0/24
  asn: 65123
  routers:
    projects/PROJECT/locations/REGION/routers/ROUTER

name: projects/PROJECT/locations/REGION/spokes/SPOKE
state: ACTIVE
uniqueId: 8ca10af0-ee69-43c2-b0b4-61e8f53d410b
updateTime: '2023-12-27T21:26:47.786506888Z'

Puoi visualizzare la tabella di routing VPC dell'applicazione e la route della tabella di routing hub creata che viene propagata alla tabella di routing VPC con l'hop successivo come hub utilizzando il comando gcloud compute routes list:

  gcloud compute routes list \
      --filter="network=NETWORK"

NAME                                                  NETWORK  DEST_RANGE    NEXT_HOP  PRIORITY
ncc-static-route-7296f3a4-cdc2-4560-a905-95cdb1d6833e  vpc-1    17.0.0.0/8   hub       0

Puoi visualizzare la tabella di routing dell'hub per il gruppo di spoke e vedere la stessa route creata che punta allo spoke gateway NCC utilizzando il comando gcloud network-connectivity hubs route-tables routes list:

  gcloud network-connectivity hubs route-tables routes list --hub=HUB_NAME \
      --route_table

Sostituisci HUB_NAME con il nome dell'hub.

La tabella delle route dell'hub non mostra le route annunciate del gateway

Se la tabella di routing dell'hub non mostra alcune delle route pubblicizzate dal gateway con lo spoke del gateway come hop successivo, il problema potrebbe essere dovuto al fatto che le route non sono installate nel data plane. Ciò può causare problemi di connettività tra gli spoke VPC e le applicazioni on-premise connesse tramite lo spoke gateway NCC. Prova a eliminare e creare le route annunciate del gateway seguendo questi passaggi:

1. Elimina la route annunciata
2. Creare una route annunciata del gateway NCC

3. Visualizza la route annunciata associata al gateway NCC utilizzando il comando gcloud beta network-connectivity spokes gateways advertised-routes list:

   gcloud

   gcloud beta network-connectivity spokes gateways advertised-routes list
       --region=REGION
   

   Sostituisci REGION con la regione in cui si trova lo spoke.

4. Verifica la route annunciata del gateway nella tabella di routing dell'hub utilizzando il comando gcloud network-connectivity hubs route-tables list:

   gcloud

   gcloud network-connectivity hubs route-tables list \
       --hub=HUB_NAME
   

   Sostituisci HUB_NAME con il nome dell'hub per cui vuoi elencare la tabella di routing.

   L'output è simile al seguente. Nell'output deve essere presente una voce per la route pubblicizzata del gateway.

   gcloud  network-connectivity hubs route-tables routes list --hub=HUB_NAME --route_table PROD
   IP_CIDR_RANGE  STATE    TYPE      NEXT_HOP   HUB       ROUTE_TABLE     PRIORITY
   10.0.0.0/8     ACTIVE   NCC_GW    NCC-GW-1   HUB_NAME  PROD            100
   

Per problemi con il router Cloud, vedi Risolvere i problemi relativi ai messaggi di log del router Cloud.

Per problemi relativi a Cloud Interconnect, consulta la pagina Risoluzione dei problemi di Cloud Interconnect.