VPN ステータスの確認

ピア VPN ゲートウェイを構成すると、次のコンポーネントが Cloud VPN と適切に通信していることを確認できるようになります。

  • 動作状態を含め、構成した HA VPN トンネルまたは Classic VPN トンネルのステータスを確認します。
  • HA VPN ゲートウェイのトンネルの高可用性ステータスを確認します。
  • Cloud Router BGP セッションまたは Cloud Router がアドバタイズしているルートのステータスを表示します。

HA VPN トンネルの確認

この手順を使用して、HA VPN ゲートウェイのインターフェース両方のトンネルのステータスを確認します。

Console

  1. Google Cloud Console の [VPN] ページに移動します。
    [VPN] ページに移動
  2. [VPN トンネルのステータス] と [BGP セッションのステータス] を表示します。
  3. トンネルの詳細を表示するには、トンネルの名前をクリックします。
  4. [ログ] の下で、Cloud Logging ログの [表示] をクリックします。
  5. また、このトンネルに関連付けられた BGP セッションの変更もできます。

gcloud

トンネルのステータスを表示する手順は 2 つあります。まず、トンネル名とリージョンを特定し、それから describe コマンド オプションを使用してトンネルの詳細を表示します。PROJECT_ID は、プロジェクトの ID に置き換えます。

  1. ステータスを確認する必要がある VPN トンネルの名前リージョンを特定します。トンネルは次のいずれかの方法で識別できます。

    1. オプション 1: プロジェクトの VPN トンネルすべてを一覧表示するには、次のコマンドを入力します。
      gcloud compute vpn-tunnels list --project PROJECT_ID
      
      コマンド出力は次の例のようになります。
      NAME                REGION       GATEWAY      VPN_INTERFACE  PEER_ADDRESS
      tunnel-a-to-b-if-0  us-central1  ha-vpn-gw-a  0              10.242.123.165
      tunnel-a-to-b-if-1  us-central1  ha-vpn-gw-a  1              10.220.75.213
      tunnel-b-to-a-if-0  us-central1  ha-vpn-gw-b  0              10.242.127.148
      tunnel-b-to-a-if-1  us-central1  ha-vpn-gw-b  1              10.220.66.156
      

    2. オプション 2: トンネルを含む VPN ゲートウェイの名前がわかっている場合は、次のコマンドを使用してゲートウェイに関連するトンネルのリストを取得できます。GW_NAME はゲートウェイの名前に置き換え、REGION はゲートウェイが存在するリージョンに置き換えます。

      gcloud compute vpn-gateways describe GW_NAME \
       --region REGION \
       --project PROJECT_ID \
       --format='flattened(tunnels)'
      
  2. トンネルの名前とリージョンを確認したら、vpn-tunnels コマンドの describe オプションを使用してトンネルのステータスを確認します。

     gcloud compute vpn-tunnels describe NAME \
       --region REGION \
       --project PROJECT_ID \
       --format='flattened(status,detailedStatus)'
    

    基本的なステータス メッセージとさらに詳しいメッセージが返され、コマンドの出力は次の例のようになります。完全なリストの場合は、--format オプションを省略します。

    detailedStatus: Tunnel is up and running.
    

    次の 4 つのコマンド出力例は、相互に接続されている 2 つの HA VPN ゲートウェイ上のペアのトンネルの完全なリストを示しています。つまり、ha-vpn-gw-a では、インターフェース 0 とインターフェース 1 のトンネルが ha-vpn-gw-b の対応するインターフェースのトンネルに接続されています。

    例 1: tunnel-a-to-b-if-0

     creationTimestamp: '2018-10-11T13:12:33.851-07:00'
     description: ''
     detailedStatus: Tunnel is up and running.
     id: '2919847494518181982'
     ikeVersion: 2
     kind: compute#vpnTunnel
     labelFingerprint: LABEL_FINGERPRINT
     localTrafficSelector:
     — 0.0.0.0/0
     name: tunnel-a-to-b-if-0
     peerIp: GW_A_IF_0_IP
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     remoteTrafficSelector:
     — 0.0.0.0/0
     router: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0
     sharedSecret: '*************'
     sharedSecretHash: SECRET_HASH
     vpnGateway: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a
     vpnGatewayInterface: 0
    

    例 2: tunnel-a-to-b-if-1

     creationTimestamp: '2018-10-11T13:14:21.630-07:00'
     description: ''
     detailedStatus: Tunnel is up and running.
     id: '178016642781024754'
     ikeVersion: 2
     kind: compute#vpnTunnel
     labelFingerprint: LABEL_FINGERPRINT
     localTrafficSelector:
     —0.0.0.0/0
     name: tunnel-a-to-b-if-1
     peerIp: GW_B_IF_1_IP
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     remoteTrafficSelector:
     — 0.0.0.0/0
     router: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1
     sharedSecret: '*************'
     sharedSecretHash: SECRET_HASH
     vpnGateway: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a
     vpnGatewayInterface: 1
    

    例 3: tunnel-b-0-if-a-if-0

     creationTimestamp: '2018-10-11T13:16:19.345-07:00'
     description: ''
     detailedStatus: Tunnel is up and running.
     id: '1183416925692236156'
     ikeVersion: 2
     kind: compute#vpnTunnel
     labelFingerprint: LABEL_FINGERPRINT
     localTrafficSelector:
     — 0.0.0.0/0
     name: tunnel-b-to-a-if-0
     peerIp: GW_A_IF_0_IP
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     remoteTrafficSelector:
     — 0.0.0.0/0
     router: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
     sharedSecret: '*************'
     sharedSecretHash: SECRET_HASH
     vpnGateway: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-b
     vpnGatewayInterface: 0
    

    例 4: tunnel-b-a-if-if-1

     creationTimestamp: '2018-10-11T13:19:01.562-07:00'
     description: ''
     detailedStatus: Tunnel is up and running.
     id: '8199247227773914842'
     ikeVersion: 2
     kind: compute#vpnTunnel
     labelFingerprint: LABEL_FINGERPRINT
     localTrafficSelector:
     — 0.0.0.0/0
     name: tunnel-b-to-a-if-1
     peerIp: GW_A_IF_1_IP
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     remoteTrafficSelector:
     — 0.0.0.0/0
     router: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1
     sharedSecret: '*************'
     sharedSecretHash: SECRET_HASH
     vpnGateway: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-b
     vpnGatewayInterface: 1
    

api

トンネルの詳細を表示するには、次のいずれかの API 呼び出しを使用します。

  • 特定のプロジェクトとリージョン内のすべての VPN トンネル、属性、ステータスを一覧表示するには、次のようにします。

vpnTunnels.list メソッドで GET リクエストを作成します。

  GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
  • 特定のプロジェクトとリージョン内の特定のトンネルの属性とステータスを一覧表示するには:

vpnTunnels.get メソッドで GET リクエストを作成します。

  GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels/TUNNEL_NAME

Classic VPN トンネルの確認

この手順を使用して、Classic VPN ゲートウェイのトンネルのステータスを確認します。

Console

  1. Google Cloud Console の [VPN] ページに移動します。
    [VPN] ページに移動
  2. [VPN トンネルのステータス] と [BGP セッションのステータス] を表示します。
  3. トンネルの詳細を表示するには、トンネルの名前をクリックします。
  4. [ログ] の下で、Logging ログの [表示] をクリックします。
  5. また、このトンネルに関連付けられた BGP セッションの変更もできます。

gcloud

Classic VPN トンネルのステータスの確認手順は、HA VPN の場合と似ています。PROJECT_ID は、プロジェクトの ID に置き換えます。

  1. VPN トンネルのステータスを確認するには、VPN トンネルの名前リージョンを特定します。次のステップでは、NAMEREGION をこの情報に置き換えます。次のいずれかの方法でトンネルを識別できます。

    1. オプション 1: プロジェクト内の VPN トンネルすべてを一覧表示するには、次のコマンドを実行します。
      gcloud compute vpn-tunnels list --project PROJECT_ID
      
    2. オプション 2: トンネルを含む VPN ゲートウェイの名前がわかっている場合は、次のコマンドを使用して関連するトンネルのリストを取得できます。

      • GW_NAME はゲートウェイの名前に、REGION はそのリージョン(トンネルの同じリージョン)に置き換えます。
      gcloud compute target-vpn-gateways describe GW_NAME \
       --region REGION \
       --project PROJECT_ID \
       --format='flattened(tunnels)'
      
  2. 次のコマンドを使用してトンネルの説明を表示し、そのステータスを判断します。基本ステータス メッセージと詳細メッセージが返されます。完全なリストの場合は、--format オプションを省略します。

    gcloud compute vpn-tunnels describe NAME \
    --region REGION \
    --project PROJECT_ID \
    --format='flattened(status,detailedStatus)'
    

api

トンネルの詳細を表示するには、次のいずれかの API 呼び出しを使用します。

  • 特定のプロジェクトとリージョン内のすべての VPN トンネル、属性、ステータスを一覧表示するには、次のようにします。

vpnTunnels.list メソッドで GET リクエストを作成します。

  GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
  • 特定のプロジェクトとリージョン内の特定のトンネルの属性とステータスを一覧表示するには:

vpnTunnels.get メソッドで GET リクエストを作成します。

  GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels/TUNNEL_NAME

Classic VPN の転送ルールの確認

この手順を使用して、Classic VPN ゲートウェイ用に作成した転送ルールを確認します。

Console

  1. Google Cloud Console の [VPN] ページに移動します。
    [VPN] ページに移動
  2. [ゲートウェイの名前] をクリックします。
  3. VPN 詳細ページで、作成した転送ルールを確認します。

gcloud

特定の REGION にある Classic VPN ゲートウェイ NAME の転送ルールを表示するには、次のコマンドを入力します。

  gcloud compute target-vpn-gateways describe NAME --region REGION \
    --project PROJECT_ID

API

targetVpnGateways.get メソッドを使用して、Classic VPN ゲートウェイの転送ルールを表示します。PROJECT_ID、ゲートウェイの resource-id (name)REGION を指定します。

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/targetVpnGateways/RESOURCE_ID

トンネル ステータス メッセージ

次の表を使用して、Google Cloud Console または gcloud コマンドからのトンネル ステータス メッセージを解釈します。

ステータス 詳細なステータス メッセージ
リソースを割り当てています リソースを割り当てています。VPN トンネルは間もなく開始されます。 これは新しく作成された Cloud VPN トンネルの初期状態です。
完全に設定されるまで待機しています ルート構成を待機しています。 ルートまたはルーティング構成を準備しています。
最初の handshake ピアとの handshake が不明な理由により中断しました。間もなく再試行します。 ピア VPN とのフェーズ 1(IKE SA)ネゴシエーションが進行中です。少なくとも 1 回は失敗した可能性があります。
確立済み トンネルが動作しています。 トンネルが動作し、ルートが構成されています。
受信パケットがありません ピアからの受信パケットがありません ピア VPN ゲートウェイからのトラフィックは受信されていません。

HA VPN ゲートウェイの高可用性ステータスの確認

HA VPN ゲートウェイ上のトンネルの高可用性構成ステータスを確認するには、compute vpn-gateways get-status コマンドを使用します。

詳細については、Cloud Monitoring の指標も参照してください。

このコマンドの出力には、HA VPN ゲートウェイが接続されている各ピア ゲートウェイに関連付けられた VPN トンネルの高可用性の冗長性要件の状態が表示されます。

ピア ゲートウェイは、別の HA VPN ゲートウェイまたは外部 VPN ゲートウェイにできます。複数のピア ゲートウェイが HA VPN ゲートウェイに接続されている場合、複数の高可用性構成ステータス(ピア ゲートウェイごとに 1 つのステータス)が表示されます。

コマンドの出力では、適切なトンネルの数量とカバレッジが次のように表されます。

  • 適切な冗長性(カバレッジ)を備えた VPN ゲートウェイのステータスは、次のとおりです。HighAvailabilityRedundancyRequirementState: CONNECTION_REQUIREMENT_MET
  • 適切な冗長性が構成されていない VPN ゲートウェイのステータスは、次のとおりです。HighAvailabilityRedundancyRequirementState: CONNECTION_REDUNDANCY_NOT_MET
  • HA VPN ゲートウェイと別の HA VPN ゲートウェイの間またはピア ゲートウェイの間に十分なトンネルが構成されていない場合、コマンド出力は次のとおりです。redundancyUnsatisfiedReason: INCOMPLETE_TUNNELS_COVERAGE

Console

  1. Google Cloud Console の [VPN] ページに移動します。
    [VPN] ページに移動
  2. ゲートウェイ名をクリックして、ゲートウェイとトンネルの詳細を表示します。HA VPN ゲートウェイの場合、ゲートウェイの高可用性ステータスも表示できます。

gcloud

HA VPN ゲートウェイのトンネルのステータスを表示するには、次のコマンドを入力します。オプションを次のように置き換えます。

  • GW_NAME は、HA VPN ゲートウェイの名前です。
  • REGION は、ゲートウェイが存在するリージョンです。
  gcloud compute vpn-gateways get-status GW_NAME \
      --region REGION

次のコマンド出力は、2 つのインターフェースを持つピア ゲートウェイに接続された HA VPN ゲートウェイの情報を示しています。

  peerGateways:
  — peerExternalGateway: peer-gw
  tunnels:
  — localGatewayInterface: 0
    peerGatewayInterface: 0
    tunnelUrl:
    https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
    regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0
  — localGatewayInterface: 1
    peerGatewayInterface:1
    tunnelUrl:
    https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
    regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1
    HighAvailabilityRedundancyRequirementState:
      state: CONNECTION_REDUNDANCY_MET

次の出力例は、相互に接続された 2 つの HA VPN ゲートウェイの出力です。このタイプの構成では、各 HA VPN ゲートウェイ名のコマンドを入力します。

「ha-vpn-gw-a」のステータスを取得すると、「ha-vpn-gw-b」への接続が表示されます。

  peerGateways:
  — peerGcpGateway: ha-vpn-gw-b
  tunnels:
  — localGatewayInterface: 0
    peerGatewayInterface: 0
    tunnelUrl:
    https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
    regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0
  — localGatewayInterface: 1
    peerGatewayInterface: 1
    tunnelUrl:
    https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
    regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1
    HighAvailabilityRedundancyRequirementState:
      state: CONNECTION_REDUNDANCY_MET

「ha-vpn-gw-b」のステータスを取得すると、「ha-vpn-gw-a」への接続が表示されます。

  peerGateways:
  — peerGcpGateway: ha-vpn-gw-a
  tunnels:
  — localGatewayInterface: 0
    peerGatewayInterface: 0
    tunnelUrl:
    https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
    regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
  — localGatewayInterface: 1
    peerGatewayInterface: 1
    tunnelUrl:
    https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
    regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1
    HighAvailabilityRedundancyRequirementState:
      state: CONNECTION_REDUNDANCY_MET

次の出力例は、2 つの接続と 4 つの IP アドレスを持つ AWS 仮想ゲートウェイに接続された 1 つの HA VPN ゲートウェイの出力です。

  peerGateways:
  - peerExternalGateway: peer-gw
  tunnels:
   - localGatewayInterface: 0
     peerGatewayInterface: 0
     tunnelUrl:
     https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
     regions/us-central1/vpnTunnels/tunnel-a-to-aws-connection-0-ip0
   - localGatewayInterface: 0
     peerGatewayInterface: 1
     tunnelUrl:
     https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
     regions/us-central1/vpnTunnels/tunnel-a-to-aws-connection-0-ip1
   - localGatewayInterface: 1
     peerGatewayInterface: 2
     tunnelUrl:
     https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
     regions/us-central1/vpnTunnels/tunnel-a-to-aws-connection-1-ip0
   - localGatewayInterface: 1
     peerGatewayInterface: 3
     tunnelUrl:
     https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
     regions/us-central1/vpnTunnels/tunnel-a-to-aws-connection-1-ip1
     HighAvailabilityRedundancyRequirementState:
       state: CONNECTION_REDUNDANCY_MET

次の出力例は、1 つのトンネルで互いに接続された 2 つの HA VPN ゲートウェイの出力です。この構成は、99.99% の可用性 SLA を満たしていません

  peerGateways:
    - peerGcpGateway: ha-vpn-gw-a
    tunnels:
    - localGatewayInterface: 0
      peerGatewayInterface: 0
      tunnelUrl:
      https://www.googleapis.com/compute/v1/projects/PROJECT_ID/
      regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
      HighAvailabilityRedundancyRequirementState:
        state: CONNECTION_REDUNDANCY_NOT_MET
      detailedStatus:
        redundancyUnsatisfiedReason: INCOMPLETE_TUNNELS_COVERAGE

api

特定のプロジェクトとリージョンの特定の HA VPN ゲートウェイのステータスを取得するには、次のようにします。

vpnGateways.getStatus メソッドで GET リクエストを作成します。

  GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/GATEWAY_NAME/getStatus

BGP ステータスの確認

BGP で動的ルーティングを使用するトンネルの場合、Cloud Router のステータスを確認して、ルーターの BGP セッションのステータスや Cloud Router がアドバタイズしているルートのステータスなどの詳細を表示できます。

次のステップ