Verificar o status da VPN

Depois de configurar os gateways da VPN de peering, verifique os seguintes componentes para garantir que eles se comuniquem corretamente com o Cloud VPN:

  • Verifique o status dos túneis da VPN de alta disponibilidade ou da VPN clássica que você configurou, incluindo o estado operacional.
  • Verifique o status de alta disponibilidade dos túneis em um gateway de VPN de alta disponibilidade.
  • Veja o status das sessões do Cloud Router Border Gateway Protocol (BGP) ou as rotas que o Cloud Router está divulgando.

Para mais informações sobre o Cloud VPN, consulte os seguintes recursos:

Verificar túneis de VPN de alta disponibilidade

Use este procedimento para verificar o status de túneis nas duas interfaces de um gateway de VPN de alta disponibilidade.

Console

  1. No Console do Google Cloud, acesse a página VPN.

    Acessar a VPN

  2. Veja o status do túnel da VPN e o status da sessão do BGP.

  3. Para visualizar os detalhes do túnel, clique no Nome de um túnel.

  4. Em Registros, clique em Visualizar para os registros do Cloud Logging.

  5. Também é possível modificar a sessão do BGP associada a este túnel.

gcloud

Há duas etapas para visualizar o status do túnel. Primeiro, identifique o nome do túnel e a região e use a opção de comando describe para visualizar os detalhes do túnel.

Nos comandos a seguir, substitua:

  • PROJECT_ID: ID do projeto
  • GW_NAME: o nome do gateway.
  • REGION: a região onde o gateway ou túnel reside.
  • NAME: o nome do túnel.

Para ver o status do túnel, siga estas etapas:

  1. Identifique o nome e a região do túnel da VPN para verificar o status dele. É possível identificar o túnel usando um dos seguintes métodos:

    1. Opção 1: para listar todos os túneis da VPN no projeto, execute o seguinte comando:

      gcloud compute vpn-tunnels list
        --project=PROJECT_ID
      

      A resposta ao comando precisa ser semelhante ao exemplo a seguir:

      NAME                REGION       GATEWAY      VPN_INTERFACE  PEER_ADDRESS
      tunnel-a-to-b-if-0  us-central1  ha-vpn-gw-a  0              10.242.123.165
      tunnel-a-to-b-if-1  us-central1  ha-vpn-gw-a  1              10.220.75.213
      tunnel-b-to-a-if-0  us-central1  ha-vpn-gw-b  0              10.242.127.148
      tunnel-b-to-a-if-1  us-central1  ha-vpn-gw-b  1              10.220.66.156
      
    2. Opção 2: se você souber o nome do gateway da VPN que contém o túnel, execute o comando a seguir para recuperar a lista de túneis associados.

      gcloud compute vpn-gateways describe GW_NAME \
        --region=REGION \
        --project=PROJECT_ID \
        --format='flattened(tunnels)'
      
  2. Depois de saber o nome e a região do túnel, use a opção describe do comando vpn-tunnels para determinar o status do túnel:

    gcloud compute vpn-tunnels describe NAME \
       --region=REGION \
       --project=PROJECT_ID \
       --format='flattened(status,detailedStatus)'
    

    A mensagem de status básica e uma mensagem mais detalhada são retornadas. A resposta ao comando precisa ser semelhante ao exemplo a seguir: Para uma listagem completa, omita a opção --format.

    detailedStatus: Tunnel is up and running.
    

    Os quatro exemplos de resposta ao comando a seguir mostram uma listagem completa de um par de túneis em cada um dos dois gateways da VPN de alta disponibilidade que estão conectados entre si. Ou seja, em ha-vpn-gw-a, os túneis em interface 0 e interface 1 estão conectados a túneis nas interfaces correspondentes de ha-vpn-gw-b.

    Exemplo 1: tunnel-a-to-b-if-0

     creationTimestamp: '2018-10-11T13:12:33.851-07:00'
     description: ''
     detailedStatus: Tunnel is up and running.
     id: '2919847494518181982'
     ikeVersion: 2
     kind: compute#vpnTunnel
     labelFingerprint: LABEL_FINGERPRINT
     localTrafficSelector:
     — 0.0.0.0/0
     name: tunnel-a-to-b-if-0
     peerIp: GW_A_IF_0_IP
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     remoteTrafficSelector:
     — 0.0.0.0/0
     router: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0
     sharedSecret: '*************'
     sharedSecretHash: SECRET_HASH
     vpnGateway: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a
     vpnGatewayInterface: 0
    

    Exemplo 2: tunnel-a-to-b-if-1

     creationTimestamp: '2018-10-11T13:14:21.630-07:00'
     description: ''
     detailedStatus: Tunnel is up and running.
     id: '178016642781024754'
     ikeVersion: 2
     kind: compute#vpnTunnel
     labelFingerprint: LABEL_FINGERPRINT
     localTrafficSelector:
     —0.0.0.0/0
     name: tunnel-a-to-b-if-1
     peerIp: GW_B_IF_1_IP
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     remoteTrafficSelector:
     — 0.0.0.0/0
     router: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1
     sharedSecret: '*************'
     sharedSecretHash: SECRET_HASH
     vpnGateway: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a
     vpnGatewayInterface: 1
    

    Exemplo 3: tunnel-b-to-a-if-0

     creationTimestamp: '2018-10-11T13:16:19.345-07:00'
     description: ''
     detailedStatus: Tunnel is up and running.
     id: '1183416925692236156'
     ikeVersion: 2
     kind: compute#vpnTunnel
     labelFingerprint: LABEL_FINGERPRINT
     localTrafficSelector:
     — 0.0.0.0/0
     name: tunnel-b-to-a-if-0
     peerIp: GW_A_IF_0_IP
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     remoteTrafficSelector:
     — 0.0.0.0/0
     router: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
     sharedSecret: '*************'
     sharedSecretHash: SECRET_HASH
     vpnGateway: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-b
     vpnGatewayInterface: 0
    

    Exemplo 4: tunnel-b-to-a-if-1

     creationTimestamp: '2018-10-11T13:19:01.562-07:00'
     description: ''
     detailedStatus: Tunnel is up and running.
     id: '8199247227773914842'
     ikeVersion: 2
     kind: compute#vpnTunnel
     labelFingerprint: LABEL_FINGERPRINT
     localTrafficSelector:
     — 0.0.0.0/0
     name: tunnel-b-to-a-if-1
     peerIp: GW_A_IF_1_IP
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     remoteTrafficSelector:
     — 0.0.0.0/0
     router: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1
     sharedSecret: '*************'
     sharedSecretHash: SECRET_HASH
     vpnGateway: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-b
     vpnGatewayInterface: 1
    

API

Para ver os detalhes do túnel, use uma das seguintes chamadas de API:

  • Para listar os atributos e o status de todos os túneis de VPN em um projeto e região específicos, faça uma solicitação GET usando o método vpnTunnels.list:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
    
  • Para listar os atributos e o status de um túnel específico em um projeto e região específicos, faça uma solicitação GET usando o método vpnTunnels.get:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels/TUNNEL_NAME
    

Verificar túneis de VPN clássica

Use este procedimento para verificar o status de túneis em um gateway da VPN clássica.

Console

  1. No Console do Google Cloud, acesse a página VPN.

    Acessar a VPN

  2. Veja o status do túnel da VPN e o status da sessão do BGP.

  3. Para visualizar os detalhes do túnel, clique no Nome de um túnel.

  4. Em Registros, clique em Visualizar para ver os registros do Logging.

  5. Também é possível modificar a sessão do BGP associada a este túnel.

gcloud

O procedimento para verificar o status do túnel da VPN clássica é semelhante ao da VPN de alta disponibilidade.

Nos comandos a seguir, substitua:

  • PROJECT_ID: ID do projeto
  • GW_NAME: o nome do gateway.
  • REGION: a região onde o gateway ou túnel reside.
  • NAME: o nome do túnel.

Para ver o status do túnel, siga estas etapas:

  1. Identifique o nome e a região do túnel da VPN para verificar o status dele. É possível identificar o túnel usando um dos seguintes métodos:

    1. Opção 1: para listar todos os túneis da VPN no projeto, execute o seguinte comando:

      gcloud compute vpn-tunnels list
        --project=PROJECT_ID
      
    2. Opção 2: se você souber o nome do gateway da VPN que contém o túnel, execute o seguinte comando para recuperar a lista de túneis associados ao gateway:

      gcloud compute target-vpn-gateways describe GW_NAME \
        --region=REGION \
        --project=PROJECT_ID \
        --format='flattened(tunnels)'
      
  2. Descreva o túnel para determinar seu status executando o comando a seguir. A mensagem de status básica e uma mensagem mais detalhada são retornadas. Para uma listagem completa, omita a opção --format.

    gcloud compute vpn-tunnels describe NAME \
        --region=REGION \
        --project=PROJECT_ID \
        --format='flattened(status,detailedStatus)'
    

API

Para ver os detalhes do túnel, use uma das seguintes chamadas de API:

  • Para listar os atributos e o status de todos os túneis de VPN em um projeto e região específicos, faça uma solicitação GET usando o método vpnTunnels.list:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
    
  • Para listar os atributos e o status de um túnel específico em um projeto e região específicos, faça uma solicitação GET usando o método vpnTunnels.get:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels/TUNNEL_NAME
    

Verificar as regras de encaminhamento da VPN clássica

Use este procedimento para verificar as regras de encaminhamento que você criou para seu gateway da VPN clássica.

Console

  1. No Console do Google Cloud, acesse a página VPN.

    Acessar a VPN

  2. Clique em um nome de gateway.

  3. Na página Detalhes da VPN, veja as regras de encaminhamento que você criou.

gcloud

Para visualizar as regras de encaminhamento de um gateway da VPN clássica em uma região específica, execute o seguinte comando:

gcloud compute target-vpn-gateways describe GW_NAME
    --region=REGION \
    --project=PROJECT_ID

API

Para visualizar as regras de encaminhamento de um gateway da VPN clássica em uma região específica, use o método targetVpnGateways.get. Substitua RESOURCE_ID pelo nome do gateway.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/targetVpnGateways/RESOURCE_ID

Interpretar mensagens de status do túnel

Para interpretar mensagens de status do túnel do Console do Google Cloud ou da Google Cloud CLI, use a tabela a seguir.

Status Mensagem de status detalhada Observações
Alocação de recursos Alocando recursos. O túnel da VPN será iniciado em breve. O estado inicial de um túnel do Cloud VPN recém-criado.
Aguardando a configuração completa Aguardando a configuração da rota. As rotas ou a configuração de roteamento estão sendo preparadas.
Primeiro handshake O handshake com o peering não foi concluído por motivo desconhecido. Nova tentativa em breve. A negociação da Fase 1 (SA do IKE) com a VPN de peering está em andamento. É possível que ela tenha falhado pelo menos uma vez.
Estabelecido O túnel está funcionando. O túnel está ativo e as rotas foram configuradas.
Nenhum pacote de entrada Nenhum pacote de entrada de peering Nenhum tráfego está sendo recebido do gateway da VPN de peering.

Como verificar o status de alta disponibilidade para gateways da VPN de alta disponibilidade

Para verificar o status de configuração de alta disponibilidade para túneis em um gateway de VPN de alta disponibilidade, use o Console do Google Cloud, o comando compute vpn-gateways get-status ou o método vpnGateways.getStatus.

A saída exibe o estado do requisito de redundância de alta disponibilidade para túneis de VPN associados a cada gateway de peering ao qual o gateway de VPN de alta disponibilidade está conectado.

É possível que o gateway de peering seja outro gateway de VPN de alta disponibilidade ou um gateway de VPN externa. Se houver vários gateways de peering conectados ao gateway da VPN de alta disponibilidade, serão exibidos vários status de configuração de alta disponibilidade, um status por cada gateway de peering.

A resposta ao comando indica a quantidade correta de túnel e a cobertura das seguintes maneiras:

  • Os gateways da VPN configurados com redundância adequada (cobertura) mostram o status:
    .HighAvailabilityRedundancyRequirementState: CONNECTION_REDUNDANCY_MET
  • Os gateways da VPN não configurados com redundância adequada mostram o status:
    .HighAvailabilityRedundancyRequirementState: CONNECTION_REDUNDANCY_NOT_MET
  • Se não houver túneis suficientes configurados entre seu gateway de VPN de alta disponibilidade e outro gateway de VPN de alta disponibilidade ou um gateway de peering, a resposta ao comando mostrará o seguinte status:
    redundancyUnsatisfiedReason: INCOMPLETE_TUNNELS_COVERAGE

Para mais informações, consulte Ver registros e métricas.

Console

  1. No Console do Google Cloud, acesse a página VPN.

    Acessar a VPN

  2. Para visualizar os detalhes do gateway e dos túneis, clique em Nome do gateway. Para gateways de VPN de alta disponibilidade, também é possível ver o status de alta disponibilidade do gateway.s

gcloud

Para exibir o status do túnel para o gateway da VPN de alta disponibilidade, execute o seguinte comando. Substitua:

  • GW_NAME: o nome do gateway da VPN de alta disponibilidade
  • REGION é a região em que o gateway reside.
gcloud compute vpn-gateways get-status GW_NAME \
    --region=REGION

O exemplo de saída do comando a seguir mostra informações para um gateway da VPN de alta disponibilidade conectado a um gateway de peering com duas interfaces:

  peerGateways:
  — peerExternalGateway: peer-gw
  tunnels:
  — localGatewayInterface: 0
    peerGatewayInterface: 0
    tunnelUrl:
    https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
    regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0
  — localGatewayInterface: 1
    peerGatewayInterface:1
    tunnelUrl:
    https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
    regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1
    HighAvailabilityRedundancyRequirementState:
      state: CONNECTION_REDUNDANCY_MET

O exemplo de saída de comando a seguir é para dois gateways de VPN de alta disponibilidade conectados entre si. Para este tipo de configuração, insira o comando para cada nome de gateway de VPN de alta disponibilidade.

  • O status de ha-vpn-gw-a mostra a conexão com ha-vpn-gw-b:

    peerGateways:
    — peerGcpGateway: ha-vpn-gw-b
    tunnels:
    — localGatewayInterface: 0
      peerGatewayInterface: 0
      tunnelUrl:
      https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
      regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0
    — localGatewayInterface: 1
      peerGatewayInterface: 1
      tunnelUrl:
      https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
      regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1
      HighAvailabilityRedundancyRequirementState:
        state: CONNECTION_REDUNDANCY_MET
    
  • O status de ha-vpn-gw-b mostra a conexão com ha-vpn-gw-a:

    peerGateways:
    — peerGcpGateway: ha-vpn-gw-a
    tunnels:
    — localGatewayInterface: 0
      peerGatewayInterface: 0
      tunnelUrl:
      https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
      regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
    — localGatewayInterface: 1
      peerGatewayInterface: 1
      tunnelUrl:
      https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
      regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1
      HighAvailabilityRedundancyRequirementState:
        state: CONNECTION_REDUNDANCY_MET
    

O exemplo de saída de comando a seguir é para um gateway de VPN de alta disponibilidade conectado a um gateway virtual da AWS com duas conexões e quatro endereços IP:

  peerGateways:
  - peerExternalGateway: peer-gw
  tunnels:
   - localGatewayInterface: 0
     peerGatewayInterface: 0
     tunnelUrl:
     https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
     regions/us-central1/vpnTunnels/tunnel-a-to-aws-connection-0-ip0
   - localGatewayInterface: 0
     peerGatewayInterface: 1
     tunnelUrl:
     https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
     regions/us-central1/vpnTunnels/tunnel-a-to-aws-connection-0-ip1
   - localGatewayInterface: 1
     peerGatewayInterface: 2
     tunnelUrl:
     https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
     regions/us-central1/vpnTunnels/tunnel-a-to-aws-connection-1-ip0
   - localGatewayInterface: 1
     peerGatewayInterface: 3
     tunnelUrl:
     https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
     regions/us-central1/vpnTunnels/tunnel-a-to-aws-connection-1-ip1
     HighAvailabilityRedundancyRequirementState:
       state: CONNECTION_REDUNDANCY_MET

O exemplo de saída de comando a seguir é para dois gateways de VPN de alta disponibilidade conectados entre si com um único túnel. Esta configuração não atende ao SLA de disponibilidade de 99,99%.

  peerGateways:
    - peerGcpGateway: ha-vpn-gw-a
    tunnels:
    - localGatewayInterface: 0
      peerGatewayInterface: 0
      tunnelUrl:
      https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
      regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
      HighAvailabilityRedundancyRequirementState:
        state: CONNECTION_REDUNDANCY_NOT_MET
      detailedStatus:
        redundancyUnsatisfiedReason: INCOMPLETE_TUNNELS_COVERAGE

API

Para receber o status de um gateway de VPN de alta disponibilidade específico em um projeto e região específicos, faça uma solicitação GET usando o método vpnGateways.getStatus:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/GATEWAY_NAME/getStatus

Verificar o status do BGP

Para túneis que usam roteamento dinâmico com BGP, é possível verificar o status do Cloud Router para ver detalhes como o status das sessões do BGP de um roteador ou as rotas que o Cloud Router. é a publicidade.

A seguir

  • Para usar cenários de alta disponibilidade e alta capacidade ou vários cenários de sub-rede, consulte Configurações avançadas.
  • Para ajudar a resolver problemas comuns que você pode encontrar ao usar o Cloud VPN, consulte Solução de problemas.