Une fois que vous avez configuré vos passerelles VPN de pairs, vous pouvez vérifier si les composants suivants communiquent correctement avec Cloud VPN :
- Vérifiez l'état des tunnels VPN haute disponibilité ou classiques que vous avez configurés, y compris l'état de fonctionnement.
- Vérifiez l'état de haute disponibilité des tunnels sur une passerelle VPN haute disponibilité.
- Observez l'état des sessions BGP de Cloud Router ou des routes annoncées par Cloud Router.
Vérifier les tunnels VPN haute disponibilité
Cette procédure permet de vérifier l'état des tunnels sur les deux interfaces d'une passerelle VPN haute disponibilité.
Console
- Accédez à la page "VPN" de Google Cloud Console.
Accéder à la page "VPN" - Consultez les colonnes État du tunnel VPN et État de la session BGP.
- Cliquez sur le Nom d'un tunnel pour en afficher les détails.
- Sous Journaux, vous pouvez cliquer sur le bouton afficher pour visualiser les journaux de Cloud Logging.
- Vous pouvez également modifier la session BGP associée à ce tunnel.
gcloud
L'affichage de l'état du tunnel se fait en deux étapes. Commencez par identifier le nom et la région du tunnel, puis utilisez l'option de commande describe pour en afficher les détails.
Remplacez PROJECT_ID par l'ID de votre projet.
Identifiez le nom et la région du tunnel VPN dont vous devez vérifier l'état. Vous pouvez identifier le tunnel à l'aide de l'une des méthodes suivantes :
- Option 1 : Pour répertorier tous les tunnels VPN de votre projet, saisissez la commande suivante :
gcloud compute vpn-tunnels list --project PROJECT_ID
Le résultat de la commande doit ressembler à cet exemple :NAME REGION GATEWAY VPN_INTERFACE PEER_ADDRESS tunnel-a-to-b-if-0 us-central1 ha-vpn-gw-a 0 10.242.123.165 tunnel-a-to-b-if-1 us-central1 ha-vpn-gw-a 1 10.220.75.213 tunnel-b-to-a-if-0 us-central1 ha-vpn-gw-b 0 10.242.127.148 tunnel-b-to-a-if-1 us-central1 ha-vpn-gw-b 1 10.220.66.156
Option 2 : Si vous connaissez le nom de la passerelle VPN contenant le tunnel, vous pouvez extraire la liste des tunnels associés à la passerelle en saisissant la commande ci-après. Remplacez
GW_NAMEpar le nom de la passerelle etREGIONpar la région dans laquelle se trouve la passerelle :gcloud compute vpn-gateways describe GW_NAME \ --region REGION \ --project PROJECT_ID \ --format='flattened(tunnels)'
- Option 1 : Pour répertorier tous les tunnels VPN de votre projet, saisissez la commande suivante :
Une fois que vous connaissez le nom et la région du tunnel, utilisez l'option
describede la commandevpn-tunnelspour déterminer l'état du tunnel :gcloud compute vpn-tunnels describe NAME \ --region REGION \ --project PROJECT_ID \ --format='flattened(status,detailedStatus)'
Le message d'état de base et un message plus détaillé sont renvoyés, et le résultat de la commande doit ressembler à l'exemple suivant. Pour obtenir la liste complète, ignorez l'option
--format.detailedStatus: Tunnel is up and running.
Les quatre exemples de résultats de commande ci-après présentent une liste complète de deux tunnels sur chacune des deux passerelles VPN haute disponibilité connectées entre elles. En d'autres termes, sur la passerelle
ha-vpn-gw-a, les tunnels de l'interface 0 et de l'interface 1 sont connectés aux tunnels des interfaces correspondantes de la passerelleha-vpn-gw-b.
Exemple 1 : tunnel-a-to-b-if-0
creationTimestamp: '2018-10-11T13:12:33.851-07:00' description: '' detailedStatus: Tunnel is up and running. id: '2919847494518181982' ikeVersion: 2 kind: compute#vpnTunnel labelFingerprint: LABEL_FINGERPRINT localTrafficSelector: — 0.0.0.0/0 name: tunnel-a-to-b-if-0 peerIp: GW_A_IF_0_IP region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1 remoteTrafficSelector: — 0.0.0.0/0 router: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0 sharedSecret: '*************' sharedSecretHash: SECRET_HASH vpnGateway: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a vpnGatewayInterface: 0
Exemple 2 : tunnel-a-to-b-if-1
creationTimestamp: '2018-10-11T13:14:21.630-07:00' description: '' detailedStatus: Tunnel is up and running. id: '178016642781024754' ikeVersion: 2 kind: compute#vpnTunnel labelFingerprint: LABEL_FINGERPRINT localTrafficSelector: —0.0.0.0/0 name: tunnel-a-to-b-if-1 peerIp: GW_B_IF_1_IP region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1 remoteTrafficSelector: — 0.0.0.0/0 router: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1 sharedSecret: '*************' sharedSecretHash: SECRET_HASH vpnGateway: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a vpnGatewayInterface: 1
Exemple 3 : tunnel-b-to-a-if-0
creationTimestamp: '2018-10-11T13:16:19.345-07:00' description: '' detailedStatus: Tunnel is up and running. id: '1183416925692236156' ikeVersion: 2 kind: compute#vpnTunnel labelFingerprint: LABEL_FINGERPRINT localTrafficSelector: — 0.0.0.0/0 name: tunnel-b-to-a-if-0 peerIp: GW_A_IF_0_IP region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1 remoteTrafficSelector: — 0.0.0.0/0 router: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0 sharedSecret: '*************' sharedSecretHash: SECRET_HASH vpnGateway: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-b vpnGatewayInterface: 0
Exemple 4 : tunnel-b-to-a-if-1
creationTimestamp: '2018-10-11T13:19:01.562-07:00' description: '' detailedStatus: Tunnel is up and running. id: '8199247227773914842' ikeVersion: 2 kind: compute#vpnTunnel labelFingerprint: LABEL_FINGERPRINT localTrafficSelector: — 0.0.0.0/0 name: tunnel-b-to-a-if-1 peerIp: GW_A_IF_1_IP region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1 remoteTrafficSelector: — 0.0.0.0/0 router: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1 sharedSecret: '*************' sharedSecretHash: SECRET_HASH vpnGateway: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-b vpnGatewayInterface: 1
api
Vous pouvez utiliser l'un des appels d'API suivants pour afficher les détails du tunnel.
- Pour répertorier tous les tunnels VPN, leurs attributs, ainsi que leur état dans un projet et une région spécifiques, procédez comme suit :
Effectuez une requête GET avec la méthode vpnTunnels.list.
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
- Pour répertorier les attributs et l'état d'un tunnel particulier dans un projet et une région spécifiques, procédez comme suit :
Effectuez une requête GET avec la méthode vpnTunnels.get.
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels/TUNNEL_NAME
Vérifier les tunnels VPN classiques
Cette procédure vous permet de vérifier l'état des tunnels sur une passerelle VPN classique.
Console
- Accédez à la page "VPN" de Google Cloud Console.
Accéder à la page "VPN" - Consultez les colonnes État du tunnel VPN et État de la session BGP.
- Cliquez sur le Nom d'un tunnel pour en afficher les détails.
- Sous Journaux, vous pouvez cliquer sur le bouton afficher pour visualiser les journaux de Logging.
- Vous pouvez également modifier la session BGP associée à ce tunnel.
gcloud
La procédure de vérification de l'état d'un tunnel VPN classique est semblable à celle d'un tunnel VPN haute disponibilité. Remplacez PROJECT_ID par l'ID de votre projet.
Pour vérifier l'état d'un tunnel VPN, identifiez son Nom et sa Région. À l'étape suivante, utilisez ces informations pour remplacer
NAMEetREGION. Vous pouvez identifier le tunnel en utilisant l'une des méthodes suivantes :- Option 1 : Pour répertorier tous les tunnels VPN de votre projet :
gcloud compute vpn-tunnels list --project PROJECT_ID
Option 2 : Si vous connaissez le nom de la passerelle VPN contenant le tunnel, vous pouvez extraire la liste des tunnels associés à l'aide de la commande ci-après.
- Remplacez
GW_NAMEpar le nom de la passerelle etREGIONpar sa région (la même que celle du tunnel) :
gcloud compute target-vpn-gateways describe GW_NAME \ --region REGION \ --project PROJECT_ID \ --format='flattened(tunnels)'
- Remplacez
- Option 1 : Pour répertorier tous les tunnels VPN de votre projet :
Décrivez le tunnel à l'aide de la commande ci-dessous pour déterminer son état. Le message d'état de base et un message plus détaillé sont renvoyés. Pour obtenir une liste complète, ignorez l'option
--format.gcloud compute vpn-tunnels describe NAME \ --region REGION \ --project PROJECT_ID \ --format='flattened(status,detailedStatus)'
api
Vous pouvez utiliser l'un des appels d'API suivants pour afficher les détails du tunnel.
- Pour répertorier tous les tunnels VPN, leurs attributs, ainsi que leur état dans un projet et une région spécifiques, procédez comme suit :
Effectuez une requête GET avec la méthode vpnTunnels.list.
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
- Pour répertorier les attributs et l'état d'un tunnel particulier dans un projet et une région spécifiques, procédez comme suit :
Effectuez une requête GET avec la méthode vpnTunnels.get.
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels/TUNNEL_NAME
Vérifier les règles de transfert pour une passerelle VPN classique
Cette procédure vous permet de vérifier les règles de transfert que vous avez créées pour votre passerelle VPN classique.
Console
- Accédez à la page VPN dans Google Cloud Console.
Accéder à la page "VPN" - Cliquez sur un Nom de la passerelle.
- Sur la page Détails de VPN, affichez les règles de transfert que vous avez créées.
gcloud
Saisissez la commande ci-dessous pour afficher les règles de transfert d'une passerelle VPN classique (identifiée par l'option NAME) dans une région spécifique (identifiée par l'option REGION).
gcloud compute target-vpn-gateways describe NAME --region REGION \
--project PROJECT_ID
API
Utilisez la méthode targetVpnGateways.get pour afficher les règles de transfert d'une passerelle VPN classique.
Spécifiez l'ID de projet (PROJECT_ID), l'ID de ressource (resource-id (name)) de la passerelle et sa région (REGION).
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/targetVpnGateways/RESOURCE_ID
Messages d'état de tunnel
Reportez-vous au tableau suivant pour interpréter les messages d'état de tunnel renvoyés par Google Cloud Console, ou lorsque vous utilisez des commandes gcloud :
| État | Message d'état détaillé | Remarques |
| Allocation des ressources… | Allocation des ressources… Le tunnel VPN va bientôt démarrer. | Il s'agit de l'état initial d'un tunnel Cloud VPN que vous venez de créer. |
| En attente de la configuration complète | En attente de la configuration de la route… | La configuration des routes ou du routage est en cours de préparation. |
| Premier handshake | Handshake avec le pair interrompu pour une raison inconnue. Nouvelle tentative imminente… | La négociation de la phase 1 (association de sécurité IKE) avec le VPN pair est en cours. Elle a vraisemblablement échoué au moins une fois. |
| Établi | Le tunnel est opérationnel. | Le tunnel fonctionne, et les routes ont été configurées. |
| Aucun paquet entrant | Aucun paquet entrant en provenance du pair | Aucun trafic n'est reçu en provenance de la passerelle VPN de pairs. |
Vérifier l'état de haute disponibilité des passerelles VPN haute disponibilité
Utilisez la commande compute vpn-gateways get-status pour vérifier l'état de la configuration de haute disponibilité des tunnels sur une passerelle VPN haute disponibilité.
Vous pouvez également consulter les métriques Cloud Monitoring pour obtenir davantage d'informations.
Le résultat de cette commande indique l'état de l'exigence de redondance de haute disponibilité pour les tunnels VPN associés à chaque passerelle de pairs à laquelle la passerelle VPN haute disponibilité est connectée.
La passerelle de pairs peut être une autre passerelle VPN haute disponibilité ou une passerelle VPN externe. Si plusieurs passerelles de pairs sont connectées à la passerelle VPN haute disponibilité, plusieurs états de configuration de haute disponibilité s'affichent, à raison d'un état pour chaque passerelle de pairs.
Le résultat de la commande indique la quantité adéquate de tunnels et la couverture nécessaire, comme suit :
- Les passerelles VPN configurées avec une redondance (couverture) adéquate affichent l'état suivant :
HighAvailabilityRedundancyRequirementState: CONNECTION_REQUIREMENT_MET. - Les passerelles VPN qui ne sont pas configurées avec une redondance adéquate affichent l'état suivant :
HighAvailabilityRedundancyRequirementState: CONNECTION_REDUNDANCY_NOT_MET. Si le nombre de tunnels configurés entre votre passerelle VPN haute disponibilité et une autre passerelle VPN haute disponibilité ou une passerelle de pairs est insuffisant, le résultat de la commande affiche :
redundancyUnsatisfiedReason: INCOMPLETE_TUNNELS_COVERAGE.
Console
- Accédez à la page VPN dans Google Cloud Console.
Accéder à la page "VPN" - Cliquez sur Nom de la passerelle pour afficher les détails de la passerelle et de ses tunnels. Pour les passerelles VPN haute disponibilité, vous pouvez également afficher l'état de haute disponibilité de la passerelle.
gcloud
Pour afficher l'état des tunnels de la passerelle VPN haute disponibilité, saisissez la commande ci-dessous. Remplacez les options comme indiqué :
GW_NAMEcorrespond au nom de la passerelle VPN haute disponibilité.REGIONcorrespond à la région où se trouve la passerelle.
gcloud compute vpn-gateways get-status GW_NAME \
--region REGION
Le résultat de commande suivant affiche les informations concernant une passerelle VPN haute disponibilité connectée à une passerelle de pairs dotée de deux interfaces.
peerGateways:
— peerExternalGateway: peer-gw
tunnels:
— localGatewayInterface: 0
peerGatewayInterface: 0
tunnelUrl:
https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0
— localGatewayInterface: 1
peerGatewayInterface:1
tunnelUrl:
https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1
HighAvailabilityRedundancyRequirementState:
state: CONNECTION_REDUNDANCY_MET
L'exemple de résultat suivant concerne deux passerelles VPN haute disponibilité connectées l'une à l'autre. Pour ce type de configuration, saisissez la commande pour chaque nom de passerelle VPN haute disponibilité.
L'obtention de l'état de "ha-vpn-gw-a" indique sa connexion à "ha-vpn-gw-b" :
peerGateways:
— peerGcpGateway: ha-vpn-gw-b
tunnels:
— localGatewayInterface: 0
peerGatewayInterface: 0
tunnelUrl:
https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0
— localGatewayInterface: 1
peerGatewayInterface: 1
tunnelUrl:
https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1
HighAvailabilityRedundancyRequirementState:
state: CONNECTION_REDUNDANCY_MET
L'obtention de l'état de "ha-vpn-gw-b" "indique sa connexion à "ha-vpn-gw-a" :
peerGateways:
— peerGcpGateway: ha-vpn-gw-a
tunnels:
— localGatewayInterface: 0
peerGatewayInterface: 0
tunnelUrl:
https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
— localGatewayInterface: 1
peerGatewayInterface: 1
tunnelUrl:
https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1
HighAvailabilityRedundancyRequirementState:
state: CONNECTION_REDUNDANCY_MET
L'exemple de résultat suivant concerne une passerelle VPN haute disponibilité connectée à une passerelle virtuelle AWS, avec deux connexions et quatre adresses IP.
peerGateways:
- peerExternalGateway: peer-gw
tunnels:
- localGatewayInterface: 0
peerGatewayInterface: 0
tunnelUrl:
https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
regions/us-central1/vpnTunnels/tunnel-a-to-aws-connection-0-ip0
- localGatewayInterface: 0
peerGatewayInterface: 1
tunnelUrl:
https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
regions/us-central1/vpnTunnels/tunnel-a-to-aws-connection-0-ip1
- localGatewayInterface: 1
peerGatewayInterface: 2
tunnelUrl:
https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
regions/us-central1/vpnTunnels/tunnel-a-to-aws-connection-1-ip0
- localGatewayInterface: 1
peerGatewayInterface: 3
tunnelUrl:
https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
regions/us-central1/vpnTunnels/tunnel-a-to-aws-connection-1-ip1
HighAvailabilityRedundancyRequirementState:
state: CONNECTION_REDUNDANCY_MET
L'exemple de résultat suivant concerne deux passerelles VPN haute disponibilité connectées entre elles par un seul tunnel. Cette configuration ne répond pas aux exigences du contrat de niveau de service garantissant une disponibilité à 99,99 %.
peerGateways:
- peerGcpGateway: ha-vpn-gw-a
tunnels:
- localGatewayInterface: 0
peerGatewayInterface: 0
tunnelUrl:
https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
HighAvailabilityRedundancyRequirementState:
state: CONNECTION_REDUNDANCY_NOT_MET
detailedStatus:
redundancyUnsatisfiedReason: INCOMPLETE_TUNNELS_COVERAGE
api
Pour obtenir l'état d'une passerelle VPN haute disponibilité donnée dans un projet et une région spécifiques, procédez comme suit :
Effectuez une requête GET avec la méthode vpnGateways.getStatus.
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/GATEWAY_NAME/getStatus
Vérifier l'état de BGP
Pour les tunnels ayant recours au routage dynamique avec BGP, vous pouvez également vérifier l'état du routeur cloud pour afficher des informations telles que l'état des sessions BGP d'un routeur ou des routes annoncées par le routeur cloud.
Étapes suivantes
- Découvrez les concepts fondamentaux de Cloud VPN.
- Pour en savoir plus sur les scénarios à haute disponibilité, à haut débit ou à plusieurs sous-réseaux, consultez la page Configurations avancées.
- Créez un réseau VPC personnalisé.
- Gérez des tunnels et des passerelles VPN.
- Affichez les journaux et les métriques de surveillance.
- Obtenez de l'aide en cas de problème.