Konnektivität zu und von Nicht-Google Cloud-Netzwerken testen

Auf dieser Seite werden die folgenden gängigen Anwendungsfälle für Konnektivitätstests beschrieben:

  • Verbindung von einem VPC-Netzwerk (Virtual Private Cloud) zu einem Nicht-Google Cloud-Netzwerk testen
  • Konnektivität von einem Nicht-Google Cloud-Netzwerk zu einem VPC-Netzwerk testen
  • Verbindung zwischen zwei Nicht-Google Cloud-Netzwerken testen
Für Trace-Diagramme auf dieser Seite werden die in der folgenden Legende beschriebenen Symbole verwendet.
Symbole Name Bedeutung
Graue Raute
Grafik: Legende für das Paket-Trace-Diagramm: graue Raute.
Logo: Check Point Ein Entscheidungspunkt, an dem Konnektivitätstests eine Konfiguration prüfen und entscheiden, ob ein Trace-Paket weitergeleitet, zugestellt oder verworfen werden soll.
Blaues Rechteck
Legende für das Paket-Trace-Diagramm: blaues Rechteck.
Hop Ein Schritt im Weiterleitungspfad für ein Trace-Paket, der eine Google Cloud-Ressource darstellt, die ein Paket an den nächsten Hop in einem VPC-Netzwerk weiterleitet, z. B. an einen Cloud Load Balancing-Proxy oder einen Cloud VPN-Tunnel.
Orangefarbenes Sechseck
Legende für das Paket-Trace-Diagramm: orangefarbenes Sechseck.
Endpunkt Die Quelle oder das Ziel eines Trace-Pakets.

Von einem VPC-Netzwerk in ein Nicht-Google Cloud-Netzwerk testen

Sie können die Konfigurationsanalyse der Konnektivitätstests verwenden, um die Konnektivität von Ihrem VPC-Netzwerk zu einem Nicht-Google Cloud-Netzwerk über Cloud VPN oder Cloud Interconnect zu testen. In der Regel ist ein Nicht-Google Cloud-Netzwerk Ihr lokales Netzwerk oder das Netzwerk eines anderen Cloud-Anbieters.

Die Konfigurationsanalyse bewertet den Netzwerkpfad nur bis zur externen IP-Adresse des Routers oder VPN-Gateways in einem Peer-Netzwerk.

Das folgende Beispiel zeigt ein Trace von VM1 in einem VPC-Netzwerk über einen klassischen VPN-Tunnel mit statischem Routing zu VM2 in einem lokalen Netzwerk.

Paket-Trace durch einen Cloud-VPN-Tunnel unter Verwendung statischer Routes
Paket-Trace durch einen Cloud-VPN-Tunnel unter Verwendung statischer Routes

Wenn in einem Peering-Netzwerk eine übereinstimmende statische oder dynamische Route für die Ziel-IP-Adresse vorhanden ist, passt die Konfigurationsanalyse die Route an und prüft sie gemäß der Routenpriorität.

Es gibt eine standardmäßige statische Route für alle Ziele mit dem nächsten Hop als Internetgateway. Konnektivitätstests können dieser Standardroute entsprechen, sofern Sie sie nicht entfernt oder geändert haben.

Wenn die statische Standardroute nicht vorhanden ist und keine anderen gültigen Routen zum Ziel vorhanden sind, gibt das Trace den endgültigen Zustand Drop zurück.

Trace-Pfad zu einem Nicht-Google Cloud-Netzwerk mithilfe des statischen Routings
Trace-Pfad zu einem Nicht-Google Cloud-Netzwerk mithilfe des statischen Routings


Trace-Pfad zu einem Nicht-Google Cloud-Netzwerk mithilfe des statischen Routings
Trace-Pfad zu einem Nicht-Google Cloud-Netzwerk mithilfe des dynamischen Routings

Von einem Nicht-Google Cloud-Netzwerk zu einem VPC-Netzwerk

Die Konfigurationsanalyse prüft, ob Ihr VPC-Netzwerk ein eingehendes Paket von Ihrem lokalen Netzwerk empfangen kann, nachdem dieses Paket in Ihrem VPC-Netzwerk eingegangen ist. Die Analyse prüft auch, ob die VPC-Netzwerkkonfiguration die Zustellung dieses Pakets an das vorgesehene Ziel zulassen wird. Die Konfigurationsanalyse zeigt das Ergebnis Paket konnte übertragen werden an. In der API-Antwort lautet der endgültige Zustand delivered. Das Ziel gilt als erreichbar.

Wenn Ihr VPC-Netzwerk über Cloud Router mit Ihrem lokalen Netzwerk per Peering verbunden ist, empfängt das VPC-Netzwerk eine oder mehrere dynamische Routen von Ihrem lokalen Peering-Netzwerk. Gleichzeitig bewirbt Ihr VPC-Netzwerk seine eigenen Routen zu Ihrem lokalen Peering-Netzwerk.

Da Konnektivitätstests keinen Zugriff auf Ihre lokale Netzwerkkonfiguration haben, kann die Konfiguration der korrekten Routen und Firewallregeln auf Ihrem lokalen Router nicht geprüft werden. Daher betrachtet die Konfigurationsanalyse der Konnektivitätstests den Traffic von Ihrem lokalen Netzwerk zu Ihrem VPC-Netzwerk immer als gültig.

Konnektivitätstests können jedoch auswerten, ob die VPC-Konfiguration die Zustellung eines Pakets an ein Ziel in Google Cloud zulassen würde. Dabei werden die folgenden Google Cloud-Ressourcen ausgewertet, um die Erreichbarkeit zu bewerten:

  • Firewallregeln für eingehenden Traffic des VPC-Netzwerks.
  • Die beworbene Route für IP-Adressen in Ihrem VPC-Netzwerk, die Cloud Router für Ihr lokales (Peering-)Netzwerk bewirbt.

Wenn Sie eine lokale IP-Adresse für einen Quell- oder Zielendpunkt angeben möchten, entfernen Sie im Allgemeinen das Häkchen neben Dies ist eine IP-Adresse, die in Google Cloud verwendet wird. Entfernen Sie das Häkchen aus dem Kästchen für den Quellendpunkt, um einen Test wie in diesem Beispiel einzurichten.

Das folgende erfolgreiche Testergebnis prüft die Konnektivität über Cloud VPN von der lokalen IP-Adresse zu einer VM-Instanz sowie die BGP-Sitzung (Border Gateway Protocol), -Routen und -VPC-Firewallregeln.

Beispielausgabe für einen erfolgreichen Test vom lokalen Netzwerk zu Google Cloud
Beispielausgabe für einen erfolgreichen Test vom lokalen Netzwerk zu Google Cloud

Zwischen zwei Nicht-Google Cloud-Netzwerken

Sie können die Konfigurationsanalyse für Konnektivitätstests verwenden, um die Erreichbarkeit zwischen zwei Nicht-Google Cloud-Netzwerken zu prüfen, die über das Network Connectivity Center verbunden sind. In diesem Zusammenhang ist ein Nicht-Google Cloud-Netzwerk in der Regel Ihr lokales Rechenzentrum oder eine Zweigstelle.

Da Konnektivitätstests keinen Zugriff auf Ihre lokale Netzwerkkonfiguration haben, kann die Konfiguration der Routen und Firewallregeln auf Ihrem lokalen Router nicht geprüft werden. Daher betrachtet die Konfigurationsanalyse der Konnektivitätstests den Traffic von Ihrem lokalen Netzwerk zu Ihrem VPC-Netzwerk immer als gültig und es werden nur Konfigurationen in Google Cloud verifiziert.

Die Konfigurationsanalyse erkennt die lokalen Netzwerkbereiche von den Cloud Routern, die mit den Spokes des Network Connectivity Centers verknüpft sind. Sie können Konfigurationsprobleme in Ihrem VPC-Netzwerk identifizieren, die sich auf die Konnektivität zwischen den lokalen Netzwerken auswirken können.

Alle Spoke-Typen des Network Connectivity Centers verwenden Cloud Router, um Routen über BGP-Sitzungen auszutauschen. Beispiel:

  • Router-Appliance-Spokes: Wenn Cloud Router- und Router-Appliance-Instanzen sich in derselben Region befinden, tauschen sie Routen aus.
  • Cloud VPN- und VLAN-Anhangs-Spokes: Cloud Router tauschen BGP-Routen mit Routern im lokalen Netzwerk aus.

Weitere Informationen zum Network Connectivity Center finden Sie unter Network Connectivity Center – Übersicht.

Zwischen zwei Nicht-Google Cloud-Netzwerken über die Router-Appliance

Im folgenden Beispiel verfolgen Konnektivitätstests ein simuliertes Paket von einem lokalen Netzwerk zu einem anderen. Das Paket gelangt über die Router-Appliance-Spoke in das VPC-Netzwerk, die mit dem ersten lokalen Netzwerk verbunden ist. Von dort folgt es einer dynamische Route, die durch den Cloud Router beworben wird, der der Router-Appliance-Spoke zugeordnet ist, die mit dem zweiten lokalen Netzwerk verbunden ist. Das Paket erreicht das lokale Netzwerk über die zweite Router-Appliance-Instanz.

Wenn Sie einen Test dieses Typs einrichten möchten, müssen Sie sowohl für den Quell- als auch für den Zielendpunkt das Häkchen im Kästchen Dies ist eine IP-Adresse, die in Google Cloud verwendet wird entfernen.

Das folgende erfolgreiche Testergebnis bewertet die Konnektivität von einem lokalen Netzwerk über zwei Router-Appliance-Instanzen zu einem anderen lokalen Netzwerk. Außerdem werden die BGP-Sitzung, die Routen und die VPC-Firewallregeln bewertet.

Beispielausgabe für einen erfolgreichen Test von einer lokalen Umgebung zu einer lokalen Umgebung.
Beispielausgabe für einen erfolgreichen Test von einer lokalen Umgebung zu einer lokalen Umgebung

Zwischen zwei Nicht-Google Cloud-Netzwerken über Cloud VPN und Cloud Interconnect

Im folgenden Beispiel verfolgen Konnektivitätstests ein simuliertes Paket von einem lokalen Netzwerk zu einem anderen. Das Paket gelangt über das VPN-Gateway in das VPC-Netzwerk. Das Paket erreicht das andere lokale Netzwerk über eine Interconnect-Verbindung.

Wenn Sie einen Test dieses Typs einrichten möchten, müssen Sie sowohl für den Quell- als auch für den Zielendpunkt das Häkchen im Kästchen Dies ist eine IP-Adresse, die in Google Cloud verwendet wird entfernen.

Das folgende erfolgreiche Testergebnis bewertet die Konnektivität von einem lokalen Netzwerk über VPN und VLAN-Anhang-Spokes zu einem anderen lokalen Netzwerk.

Beispielausgabe für einen erfolgreichen Test von einem lokalen Netzwerk zu einem lokalen Netzwerk über VPN- und VLAN-Anhang-Spokes.
Beispielausgabe für einen erfolgreichen Test von einem lokalen Netzwerk zu einem lokalen Netzwerk über VPN- und VLAN-Anhang-Spokes

Nächste Schritte