排解 Network Connectivity Center 問題

瞭解實用的疑難排解步驟，解決您在使用 Network Connectivity Center、混合式輪輻、虛擬私有雲輪輻、NCC 閘道輪輻或 Private Service Connect 連線傳播時遇到的問題。

如要瞭解已知限制，請參閱總覽頁面的「Network Connectivity Center 注意事項」。

指令語法常見問題

更新 Spoke 時，您必須指定 Spoke 所在的區域。

將資源附加至輪輻

如要進一步瞭解建立輪輻並將資源附加至輪輻的詳細規定、建議和注意事項，請參閱「使用輪輻」。

路線不會在區域之間分配

如果路徑未在區域之間正確分配，請確認 VPC 網路的動態轉送模式已設為 global。

資料傳輸流量不會在兩個非Google Cloud 網路之間流動

在此情況下，非Google Cloud 網路是指您的地端部署資料中心、分公司或其他雲端服務供應商的網路。

如果兩個位置之間沒有資料傳輸流量，請確認下列資源已正確設定且運作正常：

• 驗證新增為 Spoke 的高可用性 VPN 通道或 VLAN 連結功能。
• 確認兩個地點之間已規劃路線。
• 確認 ASN 指派作業已按照「網站對網站資料移轉的 ASN 規定」一文所述設定。
• 確認每個輻輪的站對站資料傳輸欄位都設為 true。

BGP 工作階段通告的重複路徑

如果出現重複的路徑通告 (有些來自參與資料傳輸的 BGP 工作階段，有些則來自未參與資料傳輸的工作階段)，資料傳輸流量可能會使用 ECMP 將流量分配給所有可用的下個躍點，即使這些下個躍點並未明確參與資料傳輸。

互連網路連線至不支援的位置 (非Google Cloud 網路)

如要瞭解如何設定路徑通告，避免其中一個備援互連網路連線位於不支援的位置，請參閱設定外部路由器，避開不支援的位置。

使用連線能力測試排解網路連線問題

Connectivity Tests 是一項診斷工具，可檢查網路端點之間的連線。系統會分析您的設定，有時還會執行執行階段驗證。

為分析網路設定，連線測試會模擬封包在虛擬私有雲 (VPC) 網路、Cloud VPN 通道、VLAN 連結或

您可以使用連線能力測試設定分析，評估下列網路的可連線性：

• 從非Google Cloud 網路到透過 Network Connectivity Center 連線的虛擬私有雲網路。在此情況下，非Google Cloud 網路通常是指您的地端部署資料中心、分公司或另一個雲端服務供應商的網路。
• 透過 Network Connectivity Center 中樞在 VM 執行個體之間進行測試

由於 Connectivity Tests 無法存取內部部署網路設定，因此無法驗證內部部署路由器上的路徑和防火牆規則設定。因此，連線測試設定分析一律會將地端網路到虛擬私有雲網路的流量視為有效，且只會驗證 Google Cloud 內的設定。

如要在透過 Network Connectivity Center 連線的兩個地端網路之間執行連線測試，請參閱「從非Google Cloud 網路測試到非Google Cloud 網路」。

詳情請參閱 Connectivity Tests 總覽。

排解混合式輪輻問題

路由器設備、VLAN 連結和 VPN 輪輻可能會發生下列問題。

系統不會向地端部署網路通告已設定的中樞子網路

如果設定的中心子網路未通告至地端部署網路，請檢查混合式輪輻群組的中心路由表，確認是否有下列問題：

• 如果子網路顯示在中心路由器表中，請按照下列步驟操作：

  • 請確認BGP 路由政策未捨棄要播送的子網路。

  • 請與Google Cloud 支援團隊聯絡，診斷根本問題。

• 如果子網路不在中心路由表，請執行下列操作：

  • 檢查子網路 VPC 輪輻上的 include-export 和 exclude-export IP 位址範圍。如果子網路是依據 include-export 範圍或 exclude-export 範圍篩選，您可以更新虛擬私有雲輪輻。

排解路由器設備問題

以下問題和解決方案僅適用於路由器裝置。

Cloud Router 的疑難排解說明文件也適用於路由器設備，以及下列各節所述的問題。

如要瞭解詳情，請參考下列資源：

• 排解 BGP 工作階段問題
• 排解 BGP 對等互連問題
• 排解 BGP 路徑和路徑選取問題
• 排解 Cloud Router 記錄訊息問題

無法建立 BGP 工作階段

如果 Cloud Router 與路由器設備之間的 BGP 工作階段無法建立，請檢查下列問題：

• 請確認做為路由器設備執行個體的 VM 已在 Network Connectivity Center 中設定為輪輻。如要將路由器設備執行個體設定為 Spoke 的一部分，請參閱使用 Spoke。
• 檢查防火牆設定，確認允許使用 TCP 通訊埠 179。 如要設定路由器設備的防火牆設定，請參閱建立路由器設備執行個體。
• 請確認 Cloud Router 和路由器設備執行個體都未使用連結本機位址 (即 169.254.x.x) 進行對等互連。如需相關指引，請參閱「IP 位址和路由器設備執行個體」。
• 確認 Cloud Router 已與路由器設備執行個體建立兩個獨立的 BGP 工作階段，每個 Cloud Router 介面各有一個。路由器設備例項必須在兩個 BGP 工作階段中通告相同的路徑。如果其中一個 BGP 工作階段中斷，且路由器設備 VM 無法與 Cloud Router 通訊，請檢查 Cloud Router 介面的設定。詳情請參閱「建立路由器設備執行個體」。

路由器設備執行個體上 BGP 工作階段的內部 IP 位址問題

如果發現路由器設備執行個體的 IP 位址設定相關問題，請確認您已為 Cloud Router 與做為路由器設備執行個體的 VM 之間的 BGP 工作階段，設定 RFC 1918 內部 IP 位址。

路由器設備執行個體不會使用 169.254.x.x 位址進行 BGP 工作階段。而是必須使用與 Cloud Router 相同的 VPC 子網路中的 IP 位址。詳情請參閱「建立路由器設備執行個體」。

排解虛擬私有雲輪輻問題

權限

如果在與中心不同的專案中建立 Spoke 時遭到拒絕授權，請洽詢中心管理員，確認您已在中心獲得必要權限。networkconnectivity.groups.use

無法建立虛擬私有雲輪輻

如果虛擬私有雲輪輻建立失敗，可能是下列其中一項原因所致：

• 虛擬私有雲網路已透過虛擬私有雲對等互連，與一或多個現有輪輻建立對等互連。
• 子網路與現有的虛擬私有雲輪輻重疊。
• 子網路與現有虛擬私有雲輪輻的對等互連子網路重疊。
• 您已超過 VPC 輪輻配額。
• 您已超過每個中樞路徑表的路徑配額。
• 指定的匯出篩選條件超過 16 個。
• 虛擬私有雲網路中的子網路大於一或多個指定的篩選器。

如要瞭解配額相關錯誤，請參閱「配額與限制」。

刪除輪輻後，無法建立虛擬私有雲輪輻

刪除分支後，您必須等待至少 10 分鐘的冷卻期，才能為附加至不同中樞的相同 VPC 網路建立新分支。如果將虛擬私有雲網路新增為同一個中樞的輪輻，則不需要這段冷卻期。

無法在虛擬私有雲輪輻中建立子網路

如果在虛擬私有雲輪輻中建立子網路失敗，原因可能如下：

• 其他虛擬私有雲輪輻或虛擬私有雲輪輻的對等互連網路中，有重疊的子網路。
• 您已超過每個中樞路徑表的路徑配額。
• 虛擬私有雲網路中的子網路大於一或多個指定的篩選器。

已建立虛擬私有雲輪輻，但缺少資料平面連線

如果虛擬私有雲輪輻顯示已建立，但缺少資料平面連線，可能是下列其中一項原因所致：

• 輪輻與中樞位於不同專案，且中樞管理員尚未接受輪輻提案。
• 系統會篩選並排除虛擬私有雲網路中的所有子網路，使其無法連線。
• 目的地子網路會依據對應的虛擬私有雲 Spoke 篩選器進行篩選。

中樞路由表未顯示虛擬私有雲輪輻中的部分子網路

如果中樞路由表未顯示 VPC 輪輻中的部分子網路，可能是下列原因所致：

• 系統會使用匯出篩選器篩選子網路。
• 子網路是在過去 5 到 10 分鐘內建立，且中樞路徑表尚未重新整理。

虛擬私有雲輪輻更新失敗

請確認輪輻更新作業符合所有 Network Connectivity Center 配額和限制，否則更新作業會失敗。

如果虛擬私有雲輪輻或供應商虛擬私有雲輪輻位於與中樞所在專案不同的專案中，且中樞管理員尚未啟用自動接受輪輻專案提案的功能，則中樞管理員必須接受或拒絕提案的更新。如要進一步瞭解如何查看子網更新提案的狀態，請參閱查看虛擬私有雲子網的狀態。

排解 Private Service Connect 連線傳播錯誤

請先熟讀下列頁面內容後，再研究問題：

• 透過 Network Connectivity Center 傳播 Private Service Connect 連線
• 設定中樞

一個輪輻中的 VM 無法存取另一個輪輻中的 Private Service Connect 連線

如果某個虛擬私有雲輪輻中的 VM 無法存取另一個輪輻中的 Private Service Connect 端點，請確認符合下列條件：

• 在中心啟用「--export_psc」欄位。

  如要檢查中樞是否已啟用 --export_psc 欄位，請使用 gcloud network-connectivity hubs describe 指令。

  gcloud

  gcloud network-connectivity hubs describe HUB_NAME \
      --project=PROJECT_ID \
      --format='get(export_psc)'
  

  替換下列值：

  • HUB_NAME：中樞名稱
  • PROJECT_ID：中樞所在的專案 ID

• Private Service Connect 端點的 IP 位址不在主機代管 Spoke 的任何匯出排除範圍內。位於匯出排除範圍內的 Private Service Connect 端點不會傳播。

  如要檢查輻射網路的指定排除匯出範圍，請使用 gcloud network-connectivity spokes describe 指令。

  gcloud

  gcloud network-connectivity spokes describe SPOKE_NAME \
      --global \
      --project=PROJECT_ID \
      --format='get(linked_vpc_network.exclude_export_ranges)'
  

  替換下列值：

  • SPOKE_NAME：Spoke 的名稱
  • PROJECT_ID：輪輻所在的專案 ID

• 您未超過 Network Connectivity Center 用量配額。

• 端點的 psc_connection_status 處於 ACCEPTED 狀態。如要瞭解連線狀態，請參閱「連線狀態」。

• 含有 VM 的 Spoke 中，端點的傳播連線狀態為 READY。如果沒有顯示任何狀態，請參閱本頁面的「您無法查看部分目標 Spoke 的狀態」一節，瞭解可能原因。您可以使用 gcloud network-connectivity hubs query-status 指令檢查傳播的連線狀態：

  gcloud

  gcloud network-connectivity hubs query-status HUB_NAME\
      --filter='psc_propagation_status.source_spoke="SOURCE_SPOKE_NAME" AND psc_propagation_status.target_spoke="TARGET_SPOKE_NAME" AND psc_propagation_status.source_forwarding_rule="ENDPOINT_NAME"
  

  替換下列值：

  • HUB_NAME：要檢查連線傳播狀態的中心名稱
  • SOURCE_SPOKE_NAME：來源輪輻的名稱
  • TARGET_SPOKE_NAME：目標輪輻的名稱
  • ENDPOINT_NAME：端點名稱

  如要詳細瞭解如何使用這些旗標，請參閱 gcloud network-connectivity hubs query-status 指令頁面。

• Private Service Connect 端點 (來源) 的主機虛擬私有雲網路是中樞中的虛擬私有雲輪輻。

• Private Service Connect 端點的 IP 位址是 RFC 1918 位址。

供應端配額已用盡

如果看到 PRODUCER_QUOTA_EXHAUSTED 錯誤訊息，可以請服務生產者要求PSC_ILB_CONSUMER_FORWARDING_RULES_PER_PRODUCER_NETWORK提高配額。詳情請參閱虛擬私有雲端說明文件的每個網路一節。

您已超過生產端的傳播連線限制

如果看到錯誤訊息，指出服務連結超出傳播連線數量限制，可以請服務供應商提高限制。 服務供應商更新傳播連線數量限制時， Google Cloud 會自動檢查是否可以建立任何待處理的傳播連線。

供應端 NAT IP 位址空間已用盡

如果看到 PRODUCER_NAT_IP_SPACE_EXHAUSTED 錯誤訊息，表示您可能需要請服務生產端新增 NAT 子網路。如要瞭解如何新增子網路，請參閱從已發布的服務新增或移除子網路。

您已用盡消費者配額

如果看到 CONSUMER_QUOTA_EXHAUSTED 錯誤訊息，請聯絡用戶端虛擬私有雲網路的擁有者，並要求增加 PSC_PROPAGATED_CONNECTIONS_PER_VPC_NETWORK 配額。

無法查看部分目標 Spoke 的狀態

如果看不到某些目標 Spoke 的狀態，可能是下列原因所致：

• 目標輪輻不是虛擬私有雲輪輻。只有虛擬私有雲輪輻 (包括虛擬私有雲輪輻的虛擬私有雲網路，以及包含混合式輪輻的虛擬私有雲網路) 可以接收傳播的連線。如果路由 VPC 網路中的混合式輻射網路不是 VPC 輻射網路，就無法接收傳播的連線。

• Network Connectivity Center 只會顯示每個虛擬私有雲輪輻的傳播狀態。如果虛擬私有雲網路同時是虛擬私有雲輪輻，且包含混合式輪輻，請檢查虛擬私有雲輪輻的傳播狀態，判斷所含混合式輪輻是否已連線至傳播的 Private Service Connect 端點。

• 如果虛擬私有雲網路同時是 Private Service Connect 生產端虛擬私有雲網路，也是中樞上會傳播端點的虛擬私有雲輪輻，Network Connectivity Center 就不會將端點傳播回生產端虛擬私有雲網路本身。

• 中樞的拓撲不允許傳播。 舉例來說，如果中樞裝置設定為使用星狀拓撲，下列條件也成立：

  • 中心群組中的 Private Service Connect 端點會傳播至所有其他虛擬私有雲輪輻。
  • 邊緣群組中的 Private Service Connect 端點只會傳播至中心群組中的虛擬私有雲輪輻。

排解虛擬私有雲輪輻路徑交換問題

虛擬私有雲輪輻和混合式輪輻已連結至同一個中樞，但缺少資料平面連線

如果虛擬私有雲輪輻和混合式輪輻都連上同一個中樞，但資料平面連線功能遺失，可能是因為下列其中一個原因：

• 輪輻是跨專案輪輻，且中樞管理員尚未接受輪輻提案。
• 系統會篩除虛擬私有雲網路中的所有子網路，並排除在連線範圍之外。
• 未啟用虛擬私有雲子網路的自動傳播功能，或未設定自訂路徑的通告。
• 動態路徑配額已用盡。

中樞路由表未顯示部分動態路由，或顯示虛假的動態路由

由於下列其中一個原因，中繼站路徑表可能無法正確顯示動態路徑：

• BGP 路由在過去五到十分鐘內已發布或撤銷，但中樞路由表尚未更新。
• 動態路徑配額已用盡。

無法建立混合式輪輻

如果無法建立混合型 Spoke，可能是因為下列其中一項原因：

• 路由虛擬私有雲網路可能是現有的虛擬私有雲輪輻，可連至相同或不同的中樞。
• 由於現有混合式輪輻已連線至其他中樞，因此轉送虛擬私有雲網路可能會隱含地與該中樞建立關聯。虛擬私有雲網路的混合式附件只能成為一個中樞的輪輻。

無法建立虛擬私有雲輪輻

如果虛擬私有雲輪輻隱含地與中樞建立關聯，做為路由虛擬私有雲網路，則虛擬私有雲輪輻建立作業可能會失敗。

錯誤訊息

如果嘗試建立子網時收到「An internal error occurred」錯誤訊息，請與Google Cloud 支援團隊聯絡，協助排解問題。

排解 NCC 閘道輪輻問題

您可以在 NCC 閘道輪輻資源上使用 gcloud network-connectivity spokes describe 指令，查看連線至 NCC 閘道的服務和路由器。

  gcloud network-connectivity spokes describe SPOKE_NAME \
      --region REGION

createTime: '2022-11-25T06:06:11.572019860Z'
hub: projects/PROJECT/locations/REGION/hubs/HUB
gateway:
  ipRangeReservation: 10.1.2.0/24
  asn: 65123
  routers:
    projects/PROJECT/locations/REGION/routers/ROUTER

name: projects/PROJECT/locations/REGION/spokes/SPOKE
state: ACTIVE
uniqueId: 8ca10af0-ee69-43c2-b0b4-61e8f53d410b
updateTime: '2023-12-27T21:26:47.786506888Z'

您可以使用 gcloud compute routes list 指令，查看應用程式 VPC 轉送表，以及已建立並傳播至 VPC 轉送表的中心路徑表路徑 (下一個躍點為中心)：

  gcloud compute routes list \
      --filter="network=NETWORK"

NAME                                                  NETWORK  DEST_RANGE    NEXT_HOP  PRIORITY
ncc-static-route-7296f3a4-cdc2-4560-a905-95cdb1d6833e  vpc-1    17.0.0.0/8   hub       0

您可以使用 gcloud network-connectivity hubs route-tables routes list 指令，查看輪輻群組的中樞路徑表，並看到指向 NCC 閘道輪輻的相同已建立路徑：

  gcloud network-connectivity hubs route-tables routes list --hub=HUB_NAME \
      --route_table

將 HUB_NAME 替換為中樞名稱。

中樞路由表未顯示閘道 advertise 路由

如果中繼站路由表未顯示部分閘道播送的路徑，且閘道 Spoke 是下一個躍點，可能是因為路徑未安裝在資料平面。這可能會導致虛擬私有雲輪輻與透過 NCC 閘道輪輻連線的內部部署應用程式之間發生連線問題。請嘗試按照下列步驟刪除及建立閘道 advertise 路由：

1. 刪除通告路徑
2. 建立 NCC 閘道 advertise 路由

3. 使用 gcloud beta network-connectivity spokes gateways advertised-routes list 指令，查看與 NCC 閘道相關聯的 advertise 路由：

   gcloud

   gcloud beta network-connectivity spokes gateways advertised-routes list
       --region=REGION
   

   將 REGION 替換為子網所在的區域。

4. 使用 gcloud network-connectivity hubs route-tables list 指令，驗證中樞路由表中的閘道 advertise 路由：

   gcloud

   gcloud network-connectivity hubs route-tables list \
       --hub=HUB_NAME
   

   將 HUB_NAME 替換為要列出路由表的中心名稱。

   輸出結果大致如下。輸出內容中必須有閘道宣傳路徑的項目。

   gcloud  network-connectivity hubs route-tables routes list --hub=HUB_NAME --route_table PROD
   IP_CIDR_RANGE  STATE    TYPE      NEXT_HOP   HUB       ROUTE_TABLE     PRIORITY
   10.0.0.0/8     ACTIVE   NCC_GW    NCC-GW-1   HUB_NAME  PROD            100
   

如要排解 Cloud Router 問題，請參閱「排解 Cloud Router 記錄訊息問題」。

如要解決 Cloud Interconnect 問題，請參閱 Cloud Interconnect 疑難排解頁面。