测试与非 Google Cloud 网络之间的连通性

本页面介绍 Connectivity Tests 的以下常见用例:

  • 测试从 Virtual Private Cloud (VPC) 网络到非 Google Cloud 网络的连通性
  • 测试从非 Google Cloud 网络到 VPC 网络的连通性
  • 测试两个非 Google Cloud 网络之间的连通性
本页面上的跟踪记录图表使用以下图例中描述的符号。
符号 名称 含义
灰色菱形
数据包跟踪图表的图例:灰色菱形。
Checkpoint Connectivity Tests 的决策点会检查配置,并确定是否应转发、递送或丢弃跟踪记录数据包。
蓝色矩形
数据包跟踪图表的图例:蓝色矩形。
跃点 跟踪记录数据包的转发路径中的一个步骤,表示将数据包转发到 VPC 网络中的下一个跃点的 Google Cloud 资源(例如,到 Cloud Load Balancing 代理或到 Cloud VPN 隧道)。
橙色六边形
数据包跟踪图表的图例:橙色六边形。
端点 跟踪记录数据包的来源或目标。

从 VPC 网络到非 Google Cloud 网络

您可以使用 Connectivity Tests 配置分析,通过 Cloud VPN 或 Cloud Interconnect 测试从您的 VPC 网络到非 Google Cloud 网络的连通性。通常,非 Google Cloud 网络是您的本地网络或其他云服务提供商的网络。

配置分析会评估网络路径,而且仅分析到对等网络中路由器或 VPN 网关的外部 IP 地址。

以下示例展示了从 VPC 网络中的 VM1(通过使用静态路由的传统 VPN 隧道到本地网络中的 VM2)的跟踪记录。

使用静态路由通过 Cloud VPN 隧道进行数据包跟踪记录。
使用静态路由通过 Cloud VPN 隧道进行数据包跟踪记录

如果对等网络中的目标 IP 地址有匹配的静态或动态路由,则配置分析会根据路由优先级匹配并验证路由。

对于所有目标,默认路由都是下一个跃点为互联网网关的静态路由。除非您已移除或修改它,否则 Connectivity Tests 可以匹配该默认路由。

如果默认静态路由不存在,并且没有其他到目标的有效路由,则跟踪记录将返回最终状态为 Drop

使用静态路由的非 Google Cloud 网络的跟踪记录路径。
使用静态路由的非 Google Cloud 网络的跟踪记录路径


使用静态路由的非 Google Cloud 网络的跟踪记录路径。
使用动态路由的非 Google Cloud 网络的跟踪记录路径

从非 Google Cloud 网络到 VPC 网络

配置分析会验证您的 VPC 网络可以从本地网络接收入站数据包,然后再将其到达您的 VPC 网络。此分析还会验证 VPC 网络配置是否可允许此数据包传送到预期目的地。配置分析显示数据包可以转发(在 API 响应中,最终状态为 Forward)。目的地被视为可到达。

当您的 VPC 网络通过 Cloud Router 与本地网络建立对等互连时,VPC 网络会从已建立对等互连的本地网络中接收一条或多条动态路由。同时,您的 VPC 网络将自己的路由发布到已建立对等互连的本地网络。

由于 Connectivity Tests 无法访问您的本地网络配置,因此无法验证是否在本地路由器上正确配置了路由和防火墙规则。因此,从本地网络到 VPC 网络的流量始终被 Connectivity Tests 配置分析视为有效。

但是,Connectivity Tests 可以评估 VPC 配置是否允许将数据包传送到 Google Cloud 中的目的地。如需评估可达性,Connectivity Tests 会评估以下 Google Cloud 资源:

  • VPC 网络的入站流量防火墙规则。
  • Cloud Router 向您的本地(对等)网络通告的 VPC 网络中 IP 地址的已通告路由

通常,如果您要为来源端点或目标端点指定本地 IP 地址,请取消选中标记为这是 Google Cloud 中使用的 IP 地址复选框。如需设置与本示例所示类似的测试,请针对来源端点清除该复选框。

以下成功的测试结果会评估通过 Cloud VPN 从本地 IP 地址到虚拟机实例的连接,还会评估边界网关协议 (BGP) 会话、路由和 VPC 防火墙规则。

从本地到 Google Cloud 成功测试的示例输出。
从本地到 Google Cloud 成功测试的示例输出

两个非 Google Cloud 网络之间

您可以使用 Connectivity Tests 配置分析,评估通过 Network Connectivity Center 连接的两个非 Google Cloud 网络之间的可达性。在此情况下,非 Google Cloud 网络通常是您的本地数据中心或分支办公室。

由于 Connectivity Tests 无法访问您的本地网络配置,因此无法验证是否在本地路由器上配置了路由和防火墙规则。因此,从本地网络到 VPC 网络的流量始终被 Connectivity Tests 配置分析视为有效,且系统只会验证 Google Cloud 中的配置。

配置分析会从与 Network Connectivity Center Spoke 关联的 Cloud Router 路由器获知本地网络范围。您可以识别 VPC 网络中可能影响本地网络之间的连接的配置问题。

所有 Network Connectivity Center Spoke 类型都使用 Cloud Routers 通过 BGP 会话交换路由。例如:

  • 路由器设备 Spoke::当 Cloud Router 路由器和路由器设备实例位于同一区域时,它们会相互交换路由。
  • Cloud VPN 和 VLAN 连接 Spoke:Cloud Router 路由器与本地网络中的路由器交换 BGP 路由。

如需详细了解 Network Connectivity Center,请参阅 Network Connectivity Center 概览

通过路由器设备的两个非 Google Cloud 网络之间

在以下示例中,Connectivity Tests 会跟踪从一个本地网络到另一个本地网络的模拟数据包。该数据包从连接到第一个本地网络的路由器设备 spoke 进入 VPC 网络。接着,它遵循与连接到第二个本地网络的路由器设备 spoke 关联的 Cloud Router 路由器通告的动态路由。该数据包会从第二个路由器设备实例到达本地网络。

如需设置此类型的测试,请确保对于来源和目标端点,都取消选中标记为这是 Google Cloud 中使用的 IP 地址的复选框。

以下成功的测试结果评估了通过两个路由器设备实例从一个本地网络到另一个本地网络的连接。它还评估了 BGP 会话、路由和 VPC 防火墙规则。

从本地到本地的测试成功的示例输出。
从本地到本地的测试成功的输出示例

通过 Cloud VPN 和 Cloud Interconnect 连接的两个非 Google Cloud 网络之间

在以下示例中,Connectivity Tests 会跟踪从一个本地网络到另一个本地网络的模拟数据包。该数据包通过 VPN 网关进入 VPC 网络。该数据包通过互连连接到达其他本地网络。

如需设置此类型的测试,请确保对于来源和目标端点,都取消选中标记为这是 Google Cloud 中使用的 IP 地址的复选框。

以下成功的测试结果会评估从一个通过 VPN 和 VLAN 连接 Spoke 的本地网络到另一个本地网络的连接。

从本地网络到通过 VPN 和 VLAN 连接 Spoke 的本地网络的测试成功的示例输出。
从本地网络到通过 VPN 和 VLAN 连接 Spoke 的本地网络的测试成功的示例输出

后续步骤