Como verificar o status da VPN

Depois de configurar os gateways da VPN de peering, verifique os seguintes componentes para garantir que eles se comuniquem corretamente com o Cloud VPN:

  • Verifique o status dos túneis da VPN de alta disponibilidade ou da VPN clássica que você configurou, incluindo o estado operacional.
  • Verifique o status de alta disponibilidade dos túneis em um gateway de VPN de alta disponibilidade.
  • Veja o status das sessões do BGP do Cloud Router ou as rotas que o Cloud Router está divulgando.

Como verificar túneis de VPN de alta disponibilidade

Use este procedimento para verificar o status de túneis nas duas interfaces de um gateway de VPN de alta disponibilidade.

Console

  1. Acesse a página VPN no Console do Google Cloud.
    Acesse a página da VPN
  2. Visualize o status do túnel da VPN e o status da sessão do BGP.
  3. Clique no Nome de um túnel para visualizar os detalhes do túnel.
  4. Em Registros, clique em visualizar para os registros do Cloud Logging.
  5. Também é possível modificar a sessão do BGP associada a este túnel.

gcloud

Há duas etapas para visualizar o status do túnel. Primeiro, identifique o nome do túnel e a região e use a opção de comando describe para visualizar os detalhes do túnel. Substitua project-id pelo código do seu projeto.

  1. Identifique o nome e a região do túnel da VPN para verificar o status dele. É possível identificar o túnel usando um dos seguintes métodos:

    1. Opção 1: para listar todos os túneis de VPN em seu projeto, digite o seguinte comando:
      gcloud compute vpn-tunnels list --project project-id
      
      A resposta ao comando precisa ser semelhante a este exemplo:
      NAME                REGION       GATEWAY      VPN_INTERFACE  PEER_ADDRESS
      tunnel-a-to-b-if-0  us-central1  ha-vpn-gw-a  0              10.242.123.165
      tunnel-a-to-b-if-1  us-central1  ha-vpn-gw-a  1              10.220.75.213
      tunnel-b-to-a-if-0  us-central1  ha-vpn-gw-b  0              10.242.127.148
      tunnel-b-to-a-if-1  us-central1  ha-vpn-gw-b  1              10.220.66.156
      

    2. Opção 2: se você souber o nome do gateway da VPN que contém o túnel, será possível recuperar a lista de túneis associados ao gateway usando o comando a seguir. Substitua gw-name pelo nome do gateway e region pela região em que o gateway reside:

      gcloud compute vpn-gateways describe gw-name \
       --region region \
       --project project-id \
       --format='flattened(tunnels)'
      
  2. Depois de saber o nome e a região do túnel, use a opção describe do comando vpn-tunnels para determinar o status do túnel:

     gcloud compute vpn-tunnels describe name \
       --region region \
       --project project-id \
       --format='flattened(status,detailedStatus)'
    

    A mensagem de status básica e uma mensagem mais detalhada são retornadas, e a resposta ao comando deve ser semelhante ao exemplo a seguir. Para uma listagem completa, omita a opção --format.

    detailedStatus: Tunnel is up and running.
    

    Os quatro exemplos de resposta ao comando a seguir mostram uma listagem completa de um par de túneis em cada um dos dois gateways da VPN de alta disponibilidade que estão conectados entre si. Ou seja, em ha-vpn-gw-a, os túneis na interface 0 e na interface 1 são conectados a túneis nas interfaces correspondentes de ha-vpn-gw-b.

    Exemplo 1: tunnel-a-to-b-if-0

     creationTimestamp: '2018-10-11T13:12:33.851-07:00'
     description: ''
     detailedStatus: Tunnel is up and running.
     id: '2919847494518181982'
     ikeVersion: 2
     kind: compute#vpnTunnel
     labelFingerprint: label-fingerprint
     localTrafficSelector:
     — 0.0.0.0/0
     name: tunnel-a-to-b-if-0
     peerIp: GW_A_IF_0_IP
     region: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1
     remoteTrafficSelector:
     — 0.0.0.0/0
     router: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-a
     selfLink: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0
     sharedSecret: '*************'
     sharedSecretHash: secret-hash
     vpnGateway: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnGateways/ha-vpn-gw-a
     vpnGatewayInterface: 0
    

    Exemplo 2: tunnel-a-to-b-if-1

     creationTimestamp: '2018-10-11T13:14:21.630-07:00'
     description: ''
     detailedStatus: Tunnel is up and running.
     id: '178016642781024754'
     ikeVersion: 2
     kind: compute#vpnTunnel
     labelFingerprint: label-fingerprint
     localTrafficSelector:
     —0.0.0.0/0
     name: tunnel-a-to-b-if-1
     peerIp: GW_B_IF_1_IP
     region: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1
     remoteTrafficSelector:
     — 0.0.0.0/0
     router: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-a
     selfLink: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1
     sharedSecret: '*************'
     sharedSecretHash: SECRET_HASH
     vpnGateway: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnGateways/ha-vpn-gw-a
     vpnGatewayInterface: 1
    

    Exemplo 3: tunnel-b-to-a-if-0

     creationTimestamp: '2018-10-11T13:16:19.345-07:00'
     description: ''
     detailedStatus: Tunnel is up and running.
     id: '1183416925692236156'
     ikeVersion: 2
     kind: compute#vpnTunnel
     labelFingerprint: label-fingerprint
     localTrafficSelector:
     — 0.0.0.0/0
     name: tunnel-b-to-a-if-0
     peerIp: GW_A_IF_0_IP
     region: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1
     remoteTrafficSelector:
     — 0.0.0.0/0
     router: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-b
     selfLink: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
     sharedSecret: '*************'
     sharedSecretHash: SECRET_HASH
     vpnGateway: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnGateways/ha-vpn-gw-b
     vpnGatewayInterface: 0
    

    Exemplo 4: tunnel-b-to-a-if-1

     creationTimestamp: '2018-10-11T13:19:01.562-07:00'
     description: ''
     detailedStatus: Tunnel is up and running.
     id: '8199247227773914842'
     ikeVersion: 2
     kind: compute#vpnTunnel
     labelFingerprint: label-fingerprint
     localTrafficSelector:
     — 0.0.0.0/0
     name: tunnel-b-to-a-if-1
     peerIp: GW_A_IF_1_IP
     region: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1
     remoteTrafficSelector:
     — 0.0.0.0/0
     router: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-b
     selfLink: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1
     sharedSecret: '*************'
     sharedSecretHash: secret-hash
     vpnGateway: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnGateways/ha-vpn-gw-b
     vpnGatewayInterface: 1
    

api

É possível usar uma das seguintes chamadas de API para visualizar os detalhes do túnel.

  • Para listar todos os túneis da VPN, seus atributos e status em um projeto e região específicos:

faça uma solicitação GET com o método vpnTunnels.list.

  GET https://www.googleapis.com/compute/v1/projects/project-id/regions/region/vpnTunnels
  • Para listar os atributos e o status de um túnel específico em um projeto e região específicos:

faça uma solicitação GET com o método vpnTunnels.get.

  GET https://www.googleapis.com/compute/v1/projects/project-id/regions/region/vpnTunnels/tunnel-name

Como verificar túneis da VPN clássica

Use este procedimento para verificar o status de túneis em um gateway da VPN clássica.

Console

  1. Acesse a página VPN no Console do Google Cloud.
    Acesse a página da VPN
  2. Visualize o status do túnel da VPN e o status da sessão do BGP.
  3. Clique no Nome de um túnel para visualizar os detalhes do túnel.
  4. Em Registros, clique em visualizar para ver os registros do Logging.
  5. Também é possível modificar a sessão do BGP associada a este túnel.

gcloud

O procedimento para verificar o status do túnel da VPN clássica é semelhante ao da VPN de alta disponibilidade. Substitua <var>project-id</var> pelo código do seu projeto.

  1. Para verificar o status de um túnel da VPN, identifique seu Nome e Região. Na próxima etapa, use essas informações para substituir name e region. Para identificar o túnel, use um destes métodos:

    1. Opção 1: para listar tudo túneis da VPN no seu projeto:
      gcloud compute vpn-tunnels list --project project-id
      
    2. Opção 2: se você souber o nome do gateway da VPN que contém o túnel, será possível recuperar a lista dos túneis associados usando o comando a seguir.

      • Substitua gw-name pelo nome do gateway e region pela região dele (a mesma região do túnel):
      gcloud compute target-vpn-gateways describe gw-name \
       --region region \
       --project project-id \
       --format='flattened(tunnels)'
      
  2. Descreva o túnel para determinar o status dele usando o comando a seguir. A mensagem de status básica e uma mensagem mais detalhada são retornadas. Para uma listagem completa, omita a opção --format.

    gcloud compute vpn-tunnels describe name \
    --region region \
    --project project-id \
    --format='flattened(status,detailedStatus)'
    

api

É possível usar uma das seguintes chamadas de API para visualizar os detalhes do túnel.

  • Para listar todos os túneis da VPN, seus atributos e status em um projeto e região específicos:

faça uma solicitação GET com o método vpnTunnels.list.

  GET https://www.googleapis.com/compute/v1/projects/project-id/regions/region/vpnTunnels
  • Para listar os atributos e o status de um túnel específico em um projeto e região específicos:

faça uma solicitação GET com o método vpnTunnels.get.

  GET https://www.googleapis.com/compute/v1/projects/project-id/regions/region/vpnTunnels/tunnel-name

Como verificar regras de encaminhamento para VPN clássica

Use este procedimento para verificar as regras de encaminhamento que você criou para seu gateway da VPN clássica.

Console

  1. Acesse a página VPN no Console do Google Cloud.
    Acesse a página da VPN
  2. Clique em um nome de gateway.
  3. Na página Detalhes da VPN, veja as regras de encaminhamento que você criou.

gcloud

Digite o comando a seguir para ver as regras de encaminhamento de um gateway da VPN clássica name em uma region específica.

  gcloud compute target-vpn-gateways describe name --region region \
    --project project-id

API

Use o método targetVpnGateways.get para visualizar regras de encaminhamento para um gateway da VPN clássica. Especifique o project-id, o gateway resource-id (name) e o region.

GET https://www.googleapis.com/compute/v1/projects/project-id/regions/region/targetVpnGateways/resource-id

Mensagens de status de túnel

Use a tabela a seguir para interpretar mensagens de status do túnel do console do Google Cloud ou ao usar os comandos gcloud:

Status Mensagem de status detalhada Observações
Alocando recursos Alocando recursos. O túnel da VPN será iniciado em breve. Esse é o estado inicial de um túnel recém criado do Cloud VPN.
Aguardando a configuração completa Aguardando a configuração da rota. As rotas ou a configuração de roteamento estão sendo preparadas.
Primeiro handshake O handshake com o peering não foi concluído por motivo desconhecido. Nova tentativa em breve. A negociação da Fase 1 (SA do IKE) com a VPN de peering está em andamento. É possível que ela tenha falhado pelo menos uma vez.
Estabelecido O túnel está funcionando. O túnel está ativo e as rotas foram configuradas.
Nenhum pacote de entrada Nenhum pacote de entrada de peering Nenhum tráfego está sendo recebido do gateway da VPN de peering.

Como verificar o status de alta disponibilidade para gateways da VPN de alta disponibilidade

Use o comando compute vpn-gateways get-status para verificar o status de configuração de alta disponibilidade para túneis em um gateway de VPN de alta disponibilidade.

Também é possível visualizar as métricas do Cloud Monitoring para mais informações.

A saída desse comando exibe o estado do requisito de redundância de alta disponibilidade para túneis de VPN associados a cada gateway de peering a que o gateway da VPN de alta disponibilidade está conectado.

É possível que o gateway de peering seja outro gateway de VPN de alta disponibilidade ou um gateway de VPN externa. Se houver vários gateways de peering conectados ao gateway da VPN de alta disponibilidade, serão exibidos vários status de configuração de alta disponibilidade, um status por cada gateway de peering.

A resposta ao comando indica a quantidade correta de túnel e a cobertura das seguintes maneiras:

  • Os gateways da VPN configurados com redundância adequada (cobertura) mostram o status: HighAvailabilityRedundancyRequirementState: CONNECTION_REQUIREMENT_MET.
  • Os gateways da VPN não configurados com redundância adequada mostram o status: HighAvailabilityRedundancyRequirementState: CONNECTION_REDUNDANCY_NOT_MET.
  • Se não houver túneis suficientes configurados entre seu gateway de VPN de alta disponibilidade e outro gateway igual ou de peering, a resposta ao comando mostrará: redundancyUnsatisfiedReason: INCOMPLETE_TUNNELS_COVERAGE.

Console

  1. Acesse a página VPN no Console do Google Cloud.
    Acesse a página da VPN
  2. Clique em Nome do gateway para ver os detalhes do gateway e dos túneis. Para gateways de VPN de alta disponibilidade, também é possível ver o status de alta disponibilidade do gateway.

gcloud

Para exibir o status do túnel para o gateway da VPN de alta disponibilidade, digite o comando abaixo. Substitua as opções conforme indicado:

  • gw-name é o nome do gateway da VPN de alta disponibilidade.
  • region é a região em que o gateway reside.
  gcloud compute vpn-gateways get-status gw-name \
      --region region

A resposta ao comando a seguir mostra informações sobre um gateway de VPN de alta disponibilidade conectado a um gateway de peering com duas interfaces.

  peerGateways:
  — peerExternalGateway: peer-gw
  tunnels:
  — localGatewayInterface: 0
    peerGatewayInterface: 0
    tunnelUrl:
    https://www.googleapis.com/compute/v1/projects/project-id/
    regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0
  — localGatewayInterface: 1
    peerGatewayInterface:1
    tunnelUrl:
    https://www.googleapis.com/compute/v1/projects/project-id/
    regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1
    HighAvailabilityRedundancyRequirementState:
      state: CONNECTION_REDUNDANCY_MET

O seguinte exemplo de saída é para dois gateways de VPN de alta disponibilidade conectados entre si. Para este tipo de configuração, insira o comando para cada nome de gateway de VPN de alta disponibilidade.

O status de "ha-vpn-gw-a" mostra a conexão com "ha-vpn-gw-b":

  peerGateways:
  — peerGcpGateway: ha-vpn-gw-b
  tunnels:
  — localGatewayInterface: 0
    peerGatewayInterface: 0
    tunnelUrl:
    https://www.googleapis.com/compute/v1/projects/project-id/
    regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0
  — localGatewayInterface: 1
    peerGatewayInterface: 1
    tunnelUrl:
    https://www.googleapis.com/compute/v1/projects/project-id/
    regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1
    HighAvailabilityRedundancyRequirementState:
      state: CONNECTION_REDUNDANCY_MET

O status de "ha-vpn-gw-b" mostra a conexão com "ha-vpn-gw-a":

  peerGateways:
  — peerGcpGateway: ha-vpn-gw-a
  tunnels:
  — localGatewayInterface: 0
    peerGatewayInterface: 0
    tunnelUrl:
    https://www.googleapis.com/compute/v1/projects/project-id/
    regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
  — localGatewayInterface: 1
    peerGatewayInterface: 1
    tunnelUrl:
    https://www.googleapis.com/compute/v1/projects/project-id/
    regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1
    HighAvailabilityRedundancyRequirementState:
      state: CONNECTION_REDUNDANCY_MET

O exemplo de saída a seguir refere-se a um gateway da VPN de alta disponibilidade conectado a um gateway virtual da AWS com duas conexões e quatro endereços IP.

  peerGateways:
  - peerExternalGateway: peer-gw
  tunnels:
   - localGatewayInterface: 0
     peerGatewayInterface: 0
     tunnelUrl:
     https://www.googleapis.com/compute/v1/projects/project-id/
     regions/us-central1/vpnTunnels/tunnel-a-to-aws-connection-0-ip0
   - localGatewayInterface: 0
     peerGatewayInterface: 1
     tunnelUrl:
     https://www.googleapis.com/compute/v1/projects/project-id/
     regions/us-central1/vpnTunnels/tunnel-a-to-aws-connection-0-ip1
   - localGatewayInterface: 1
     peerGatewayInterface: 2
     tunnelUrl:
     https://www.googleapis.com/compute/v1/projects/project-id/
     regions/us-central1/vpnTunnels/tunnel-a-to-aws-connection-1-ip0
   - localGatewayInterface: 1
     peerGatewayInterface: 3
     tunnelUrl:
     https://www.googleapis.com/compute/v1/projects/project-id/
     regions/us-central1/vpnTunnels/tunnel-a-to-aws-connection-1-ip1
     HighAvailabilityRedundancyRequirementState:
       state: CONNECTION_REDUNDANCY_MET

O exemplo de saída a seguir é para dois gateways de VPN de alta disponibilidade conectados uns aos outros com um único túnel. Esta configuração não atende ao SLA de disponibilidade de 99,99%.

  peerGateways:
    - peerGcpGateway: ha-vpn-gw-a
    tunnels:
    - localGatewayInterface: 0
      peerGatewayInterface: 0
      tunnelUrl:
      https://www.googleapis.com/compute/v1/projects/project-id/
      regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
      HighAvailabilityRedundancyRequirementState:
        state: CONNECTION_REDUNDANCY_NOT_MET
      detailedStatus:
        redundancyUnsatisfiedReason: INCOMPLETE_TUNNELS_COVERAGE

API

Para obter o status de um gateway de VPN de alta disponibilidade específico em um projeto e região específicos:

faça uma solicitação GET com o método vpnGateways.getStatus.

  GET https://www.googleapis.com/compute/v1/projects/project-id/regions/region/vpnGateways/gateway-name/getStatus

Como verificar o status do BGP

Para túneis usando roteamento dinâmico com BGP, também é possível verificar o status do Cloud Router para ver detalhes, como o status das sessões do BGP de um roteador ou as rotas que o Cloud Router está divulgando.

A seguir