문제 해결 가이드는 Cloud Interconnect를 사용할 때 자주 발생하는 문제 해결을 위한 도움을 제공합니다.
- 일반적인 문제 해결
- Dedicated Interconnect
- Partner Interconnect
- Cloud Interconnect를 통한 HA VPN
- Cloud Interconnect용 MACsec
- 교차 Cloud Interconnect
Cloud Interconnect 아키텍처에 대한 일반적인 질문의 답은 Cloud Interconnect FAQ를 참조하세요.
이 페이지에 사용된 용어 정의는 Cloud Interconnect 주요 용어를 참조하세요.
로깅 및 모니터링 정보를 찾고 Cloud Interconnect 측정항목을 보려면 연결 모니터링을 참조하세요.
일반적인 문제해결
Cloud Interconnect 서비스 장애 확인
Google Cloud 상태 대시보드에서 알려진 장애를 확인할 수 있습니다. Cloud 이슈 JSON 피드 또는 RSS 피드를 구독하여 푸시 업데이트를 받을 수도 있습니다.
Dedicated Interconnect 연결에 영향을 미치는 유지보수 이벤트에 대한 알림이 제공됩니다. 자세한 내용은 인프라 유지보수 이벤트를 참조하세요.
Partner Interconnect VLAN 연결에 영향을 미치는 유지보수 이벤트에 대한 알림이 제공됩니다. Partner Interconnect 알림은 Dedicated Interconnect 연결 알림과 비슷한 방식으로 전송되며 약간의 차이가 있습니다. 자세한 내용은 인프라 유지보수 이벤트를 참조하세요.
다른 리전의 리소스에 연결할 수 없음
기본적으로 Virtual Private Cloud(VPC) 네트워크는 리전별로 운영되며 Cloud Router는 해당 리전의 서브넷만 공지합니다. 다른 리전에 연결하려면 VPC 네트워크의 동적 라우팅 모드를 전역으로 설정해서 Cloud Router가 모든 서브넷을 공지할 수 있도록 합니다.
자세한 내용은 Cloud Router 문서의 동적 라우팅 모드를 참조하세요.
피어링된 VPC 네트워크에서 VM에 도달할 수 없음
이 시나리오에서는 온프레미스 네트워크와 VPC 네트워크 network A 간에 Cloud Interconnect 연결을 설정했습니다. network A와 다른 VPC 네트워크인 network B 사이에 VPC 네트워크 피어링도 설정했습니다. 하지만 온프레미스 네트워크에서 network B의 VM에 연결할 수 없습니다.
VPC 네트워크 피어링 개요의 제한사항에 설명된 대로 이 구성은 지원되지 않습니다.
그러나 VPC 네트워크에서 Cloud Router의 커스텀 IP 범위 공지를 사용하여 경로를 피어 네트워크의 대상 위치와 공유할 수 있습니다. 또한 VPC 네트워크 피어링 연결을 구성하여 커스텀 경로를 가져오고 내보내야 합니다.
온프레미스 네트워크와 VPC 피어링된 네트워크 간의 경로 공지에 대한 자세한 내용은 다음 리소스를 참조하세요.
- 커스텀 IP 범위 공지
- VPC 네트워크 피어링 사용 시 문제 해결
연결에 서브넷이 누락됨
사용 가능한 모든 서브넷을 공지하려면 공지된 커스텀 경로를 사용하여 누락된 경로를 지정하고 전역 동적 라우팅을 사용하는 리전 간의 모든 서브넷 경로를 공지합니다. 이를 위해 다음 단계를 따르세요.
Cloud Router와 경계 게이트웨이 프로토콜(BGP) 세션 모두에서 공지된 커스텀 경로를 지정합니다.
누락된 경로를 입력하기 위해 다음 매개변수를 설정합니다.
--set-advertisement-groups = ADVERTISED_GROUPS --set-advertisement-ranges = ADVERTISED_IP_RANGES
다음을 바꿉니다.
ADVERTISED_GROUPS
: Cloud Router가 동적으로 공지하는 Google 정의 그룹입니다. Cloud Router의 기본 동작을 따라하는all_subnets
의 값을 포함할 수 있습니다.ADVERTISED_IP_RANGES
: 새로운 IP 주소 범위 배열의 콘텐츠입니다. 사용자가 선택한 하나 이상의 값을 포함할 수 있습니다.
자세한 내용과 예시는 커스텀 IP 범위 공지를 참조하세요.
전역 동적 라우팅 모드를 사용 설정합니다.
Cloud Router를 핑할 수 없음
온프레미스 라우터에서 Cloud Router를 핑할 수 없는 경우 다음 표에서 제품을 찾은 후 해당 제품의 문제 해결 단계를 수행합니다. VM은 169.254.0.0/16
에 도달할 수 없습니다.
수행할 문제 해결 단계 | Dedicated Interconnect | L3 파트너와의 Partner Interconnect | L2 파트너와의 Partner Interconnect |
---|---|---|---|
Partner Interconnect의 경우 일부 파트너가 Cloud Router의 IP 범위(169.254.0.0/16 )에 대한 트래픽을 필터링하므로 Cloud Router를 핑할 수 없습니다. L3 파트너의 경우 파트너가 자동으로 BGP를 구성합니다. BGP가 표시되지 않으면 파트너에게 문의하세요. |
해당 사항 없음 | 예 | 해당 사항 없음 |
로컬 기기가 연결의 Google Cloud 측에 해당하는 올바른 MAC 주소를 알고 있는지 확인합니다. 자세한 내용은 ARP 문제 해결을 참조하세요. | 예 | 해당 사항 없음 | 해당 사항 없음 |
Cloud Router에 인터페이스와 BGP 피어가 있는지 확인합니다. 원격 ASN를 비롯하여 인터페이스와 BGP 피어가 완전히 구성된 경우가 아니면 Cloud Router를 핑할 수 없습니다.
|
예 | 해당 사항 없음 | 예 |
ARP 문제 해결
Dedicated Interconnect의 경우 올바른 MAC 주소를 찾으려면 다음 gcloud
명령어를 실행합니다.
gcloud compute interconnects get-diagnostics INTERCONNECT_NAME
googleSystemID
에는 Cloud Router에 할당된 IP 주소에 매핑되는 MAC 주소가 포함되며 이 주소가 사용자 기기의 ARP 테이블에 있어야 합니다.
result: links: — circuitId: SAMPLE-0 googleDemarc: sample-local-demarc-0 lacpStatus: googleSystemId: '' neighborSystemId: '' state: DETACHED receivingOpticalPower: value: 0.0 transmittingOpticalPower: value: 0.0 macAddress: 00:00:00:00:00:00
기기가 MAC 주소를 알지 못하면 올바른 VLAN ID 및 IP 주소가 하위 인터페이스에 구성되어 있는지 확인합니다.
Partner Interconnect의 경우 기기에 잘못된 MAC 주소가 있으면 VLAN 연결 2개의 Layer 2 세그먼트를 브리지하지 않았는지 확인합니다. Cloud Interconnect 연결의 Google Cloud 측은 모든 ARP 요청에 응답하는 ip proxy-arp로 구성되기 때문에 모든 ARP 요청에 대응하고 온프레미스 라우터가 발생하여 잘못된 ARP 항목을 학습할 수 있습니다.
VLAN 연결을 만들 수 없음
조직 정책을 위반하는 Dedicated Interconnect 또는 Partner Interconnect용 VLAN 연결을 만들려고 하면 오류 메시지가 표시됩니다. gcloud compute interconnects attachments partner create
를 실행하는 오류 메시지의 예시는 다음과 같습니다.
ERROR: (gcloud.compute.interconnects.attachments.partner.create) Could not fetch resource: - Constraint constraints/compute.restrictPartnerInterconnectUsage violated for projects/example-project. projects/example-project/global/networks/example-network is not allowed to use the Partner Interconnect.
자세한 내용은 Cloud Interconnect 사용 제한 및 커스텀 조직 정책 사용을 참고하고 조직 관리자에게 문의하세요.
조직 내의 다른 프로젝트와 연결 공유
공유 VPC를 사용하여 호스트 프로젝트에 포함된 VLAN 연결이나 Dedicated Interconnect 연결 등의 연결을 공유할 수 있습니다.
공유 VPC 네트워크의 설정에 대한 자세한 내용은 공유 VPC 프로비저닝을 참조하세요.
공유 VPC 네트워크의 연결 구성에 대한 자세한 내용은 여러 VPC 네트워크에 연결하는 옵션을 참조하세요.
Dedicated Interconnect
연결 프로비저닝 프로세스 중에는 Google이 고객 IP를 핑할 수 없음
올바른 IP 및 LACP 구성을 사용하고 있는지 확인합니다. 테스트 프로세스 중에 Google은 다중 연결 번들을 주문하는지, 아니면 단일 연결 번들을 주문하는지에 따라 고객의 온프레미스 라우터를 위한 다양한 테스트 IP 구성을 전송합니다. 두 개의 번들 테스트 모두 VLAN 연결을 구성하면 안 됩니다.
다중 연결 번들
- Google에서 전송하는 첫 번째 IP 주소 세트는 각 개별 링크의 다중 회선 연결을 테스트하는 용도입니다. Google에서 보낸 이메일에 안내된 대로 모든 물리적 회선에서 LACP가 아닌 테스트 IP 주소를 구성합니다. Google에서 이러한 IP를 모두 핑해야 이 첫 번째 테스트에 통과합니다.
- 두 번째 테스트에서는 첫 번째 테스트에 사용된 IP 주소를 모두 삭제합니다. 연결에 링크가 하나만 있더라도 LACP를 사용하여 포트 채널을 구성합니다. Google에서는 포트 채널 주소를 핑합니다. 연결이 최종 테스트를 통과한 후에는 포트 채널의 LACP 구성을 수정하면 안 됩니다. 하지만 포트 채널 인터페이스에서 테스트 IP 주소를 삭제해야 합니다.
단일 연결 번들
- Google은 단일 회선 연결을 테스트하기 위해 최종 프로덕션 IP 주소를 전송합니다. Google에서 보낸 이메일에 안내된 대로 LACP를 활성 또는 수동 모드로 구성하여 번들 인터페이스에서 IP 주소를 구성합니다. Google에서 번들 인터페이스 IP 주소를 핑해야 이 테스트에 통과합니다. 연결에 링크가 하나만 있더라도 LACP를 사용하여 포트 채널을 구성합니다.
Cloud Router를 핑할 수 없음
- Google의 포트 채널 IP 주소를 핑할 수 있는지 확인합니다. IP 주소는 연결 세부정보를 볼 때 표시되는
googleIpAddress
값입니다. - 온프레미스 라우터의 하위 인터페이스에 올바른 VLAN이 있는지 확인합니다. VLAN 정보는 VLAN 연결에 의해 제공된 정보와 일치해야 합니다.
- 온프레미스 라우터의 하위 인터페이스에 올바른 IP 주소가 있는지 확인합니다. VLAN 연결을 만들 때 한 쌍의 링크-로컬 IP 주소가 할당됩니다. 하나(
cloudRouterIpAddress
)는 Cloud Router의 인터페이스를 위한 것이고 다른 하나(customerRouterIpAddress
)는 포트 채널 자체가 아니라 온프레미스 라우터 포트 채널의 하위 인터페이스를 위한 것입니다. - VLAN 연결의 성능을 테스트하는 경우 Cloud Router를 핑하면 안 됩니다. 대신 VPC 네트워크에서 Compute Engine 가상 머신(VM) 인스턴스를 만들어 사용하세요. 자세한 내용은 성능 테스트를 참조하세요.
BGP 세션이 작동하지 않음
- 둘 이상의 홉이 있는 내부 라우터에서 멀티 홉 BGP를 사용 설정합니다.
- 온프레미스 라우터에 올바른 인접 항목 IP 주소가 구성되어 있는지 확인합니다. VLAN 연결이 할당된 BGP 피어 IP 주소(
cloudRouterIpAddress
)를 사용합니다. - 온프레미스 라우터의 로컬 ASN 구성과 Cloud Router의 피어 ASN이 일치하는지 확인합니다. 또한 Cloud Router의 로컬 ASN 구성과 온프레미스 라우터의 피어 ASN이 일치하는지 확인합니다.
각 연결에는 VPC 네트워크에 있는
169.254.0.0/16
의 고유한 /29 CIDR이 할당됩니다. /29 CIDR에서 IP 주소 하나가 Cloud Router에 할당되고 다른 주소가 온프레미스 라우터에 할당됩니다.온프레미스 라우터 인터페이스와 해당 BGP 인접 항목에 올바른 IP 주소가 할당되었는지 확인합니다. 일반적으로 온프레미스 라우터 인터페이스에 /29 대신 /30을 구성하는 실수를 합니다. /29 CIDR의 다른 모든 주소는 Google Cloud에 예약되어 있습니다.
이 CIDR의 다른 IP 주소를 라우터의 VLAN 연결 인터페이스에 할당하지 않았는지 확인합니다.
VPC 네트워크에서 VM에 연결할 수 없음
- 포트 채널과 VLAN 연결을 핑할 수 있는지 확인합니다.
- BGP 세션이 활성 상태인지 확인합니다.
- 온프레미스 라우터가 경로를 공지하고 수신하는지 확인합니다.
- 온프레미스 경로 공지와 Google Cloud 네트워크 범위 사이에 겹치는 것이 없는지 확인합니다.
- MTU 크기를 온프레미스 라우터, VPC, VLAN 연결에 동일한 값으로 설정합니다.
IPv6 트래픽이 VLAN 연결을 통해 전달되지 않음
IPv6 호스트에 연결하는 데 문제가 있으면 다음을 수행합니다.
- IPv6 경로가 올바르게 공지되는지 확인합니다. IPv6 경로가 공지되지 않으면 BGP 경로 및 경로 선택 문제 해결을 참조하세요.
- 방화벽 규칙을 조사해서 IPv6 트래픽이 허용되는지 확인합니다.
- VPC 네트워크와 온프레미스 네트워크에서 IPv6 서브넷 범위가 겹치지 않는지 확인합니다. 겹치는 서브넷 범위 확인을 참조하세요.
- Cloud Router에서 학습된 경로에 대해 할당량 및 한도를 초과하는지 확인합니다. 학습된 경로의 할당량을 초과한 경우 IPv4 프리픽스 전에 IPv6 프리픽스가 삭제됩니다. 할당량 및 한도 확인을 참조하세요.
IPv6 구성과 관련된 모든 구성요소가 올바르게 구성되었는지 확인합니다.
- VPC 네트워크에서
--enable-ula-internal-ipv6
플래그로 내부 IPv6 주소를 사용하도록 설정되었습니다. - VPC 서브넷이
IPV4_IPV6
스택 유형을 사용하도록 구성되어 있습니다. - VPC 서브넷에서
--ipv6-access-type
이INTERNAL
로 설정되어 있습니다. - 서브넷의 Compute Engine VM이 IPv6 주소로 구성되어 있습니다.
- VLAN 연결이
IPV4_IPV6
스택 유형을 사용하도록 구성되어 있습니다. BGP 피어가 IPv6를 사용하도록 설정되어 있고 BGP 세션에 대해 올바른 IPv6 다음 홉 주소가 구성되어 있습니다.
- Cloud Router 상태 및 경로를 보려면 Cloud Router 상태 및 경로 보기를 참조하세요.
- BGP 세션 구성을 보려면 BGP 세션 구성 보기를 참조하세요.
- VPC 네트워크에서
IPv4 및 IPv6(이중 스택) 스택 유형으로 VLAN 연결을 만들 수 없음
IPv4 및 IPv6(이중 스택) 스택 유형으로 VLAN 연결을 만들면 다음 오류 메시지와 함께 실패합니다.
Cannot create a dual stack interconnect attachment. Dual stack attachment can only be used with a provisioned interconnect attachments that have Dataplane version 2.
문제 해결 방법
모든 코로케이션 시설 테이블에서 Dataplane v2에서 연결 생성을 지원하는 리전을 확인하세요.
리전이 나열되지 않으면 지원되는 리전에서 연결을 다시 만듭니다.
IPv4 및 IPv6(이중 스택) 스택 유형을 사용하도록 기존 VLAN 연결을 수정할 수 없음
IPv4 및 IPv6(이중 스택) 스택 유형을 사용하도록 기존 VLAN 연결을 업데이트하면 다음 오류 메시지와 함께 실패합니다.
Cannot create a dual stack interconnect attachment. Dual stack attachment can only be used with a provisioned interconnect attachments that have Dataplane version 2.
문제 해결 방법
연결의 Dataplane 버전을 확인하고 연결에서 Dataplane 버전 1을 사용하는지 확인합니다. 연결의 데이터 영역 버전 확인을 참조하세요.
모든 새 연결을 Dataplane v2에서 만들 수 있는 리전에서 연결을 다시 만듭니다. 리전 목록은 모든 코로케이션 시설을 참조하세요.
VLAN 연결에 대한 성능 테스트
VLAN 연결의 성능을 테스트해야 하는 경우 VPC 네트워크의 VM을 사용합니다. 또한 VM에 필요한 성능 도구를 추가해야 합니다. ICMP 핑 또는 경로 MTU 등의 지연 시간을 테스트하는 데 Cloud Router의 링크-로컬 IP 주소를 사용하면 안 됩니다. Cloud Router를 사용하면 예측하지 못한 결과가 발생할 수 있습니다.
진단 가져오기
주문형 Dedicated Interconnect 연결의 Google Cloud 측에 대한 자세한 최신 기술 정보는 진단 받기를 참조하세요.
Partner Interconnect
BGP 세션이 작동하지 않음(Layer 2 연결)
- 온프레미스 라우터에 Cloud Router와의 BGP 세션이 구성되었는지 확인합니다. 자세한 내용은 Partner Interconnect의 온프레미스 라우터 구성을 참조하세요.
- 둘 이상의 홉이 있는 내부 라우터에서 멀티 홉 BGP를 사용 설정합니다.
- 온프레미스 라우터에 올바른 인접 항목 IP 주소가 구성되어 있는지 확인합니다. VLAN 연결이 할당된 BGP 피어 IP 주소(
cloudRouterIpAddress
)를 사용합니다. - 온프레미스 라우터의 로컬 ASN 구성과 Cloud Router의 피어 ASN(
16550
)이 일치하는지 확인합니다. 또한 Cloud Router의 로컬 ASN 구성과 온프레미스 라우터의 피어 ASN이 일치하는지 확인합니다.
BGP 세션이 작동하지 않음(Layer 3 연결)
- Cloud Router에 서비스 제공업체의 ASN이 구성되어 있어야 합니다. 도움이 필요하면 서비스 제공업체에 문의하세요.
Partner Interconnect 연결을 위한 VLAN 연결
Google Cloud 구성 및 Partner Interconnect 연결에 문제가 없어도 VLAN 연결 상태가 다운된 것으로 표시될 수 있습니다.
온프레미스 라우터에서 EBGP 멀티 홉이 4개 이상의 홉을 사용하도록 구성했는지 확인합니다. 온프레미스 라우터 구성의 샘플 구성을 참조하세요.
Partner Interconnect 연결의 페어링 키 문제
Partner Interconnect 연결을 설정하려고 시도할 때 'Google - 제공업체 상태를 알 수 없음'과 같은 오류 메시지가 표시될 수 있습니다. 이 문제를 해결하려면 다음 단계를 따르세요.
페어링 키가 고객 측 VLAN 연결(
PARTNER
유형)로 생성되었는지 확인합니다. 키는 Google에서 연결 식별을 위해 사용되는 임의의 긴 문자열입니다. 대상 Google Cloud 리전 및 에지 가용성 도메인은 다음 형식으로 페어링 키에 인코딩됩니다.<random_string>/<region_name>/<domain>
VLAN 연결이 특정 도메인으로 제한되지 않거나 에지 가용성 도메인을 지정하지 않을 경우
domain
필드에any
문자열이 포함됩니다. 페어링 키에 대한 자세한 내용은 페어링 키를 참조하세요.Partner Interconnect 연결의 에지 가용성 도메인이 페어링 키로 지정된 도메인과 일치하는지 확인합니다.
Cloud Router를 핑할 수 없음(Layer 2 연결)
- 온프레미스 라우터의 하위 인터페이스에 올바른 VLAN 연결이 있는지 확인합니다. VLAN 연결 정보는 서비스 제공업체에서 제공된 정보와 일치해야 합니다.
- 온프레미스 라우터의 하위 인터페이스에 올바른 IP 주소가 있는지 확인합니다. 서비스 제공업체에서 VLAN 연결을 구성한 후에는 해당 연결에 의해 한 쌍의 링크-로컬 IP 주소가 할당됩니다. 하나는 관련 Cloud Router의 인터페이스를 위한 것이고(
cloudRouterIpAddress
) 다른 하나는 포트 채널 자체가 아니라 온프레미스 라우터 포트 채널의 하위 인터페이스를 위한 것입니다(customerRouterIpAddress
). - VLAN 연결의 성능을 테스트하는 경우에는 Cloud Router를 핑하면 안 됩니다. 대신 VPC 네트워크에 VM을 만들어 사용합니다. 자세한 내용은 성능 테스트를 참조하세요.
Partner Interconnect 연결의 포트에서 광출력 손실
포트에서 광출력이 손실되면 다음 문제 중 하나가 발생할 수 있습니다.
- Layer 3 연결 손실(BGP 세션 손실)이 발생하거나 Google Cloud VM 인스턴스에 액세스할 수 없게 됩니다.
- 링크 번들의 성능이 저하됩니다. 이 문제는 여러 10GE 포트가 하나의 번들로 묶여 있고 번들에서 일부 링크만 작동할 때 발생합니다.
포트의 광출력 손실은 하드웨어가 다른 쪽의 신호를 감지할 수 없음을 의미합니다. 이것은 다음 문제 중 하나로 인해 발생할 수 있습니다.
- 트랜시버 결함
- 전송 시스템 결함
- 물리적인 광섬유 문제
이 문제를 해결하려면 Partner Interconnect 또는 회로 제공업체에 연락하세요. 다음 단계를 수행할 수 있습니다.
- 트랜시버 작동 상태를 확인합니다.
- Meet-Me Room(MMR)에 대해 하드 루프를 실행하여 해당 기기의 광신호 수준이 정상 작동하는지 확인합니다.
- 사용자 측 또는 Google 측 문제인지 확인합니다. 인터페이스를 격리하는 최선의 방법은 분계점에 양방향 루프를 두는 것입니다. 양측의 인터페이스가 전달한 광신호가 분계점까지 전달된 후 다시 원래 위치로 돌아갑니다. 전달한 광신호가 깨끗하게 나타나지 않는 분계점에 문제가 있습니다.
- 해당 인터페이스에서 광섬유를 청소하고 다시 장착합니다.
L3 Partner Interconnect 연결을 통해 MED 값을 보내고 학습할 수 없음
Layer 3 서비스 제공업체에서 BGP를 처리하는 Partner Interconnect 연결을 사용하는 경우 Cloud Router는 온프레미스 라우터에서 MED 값을 확인하거나 해당 라우터에 MED 값을 전송할 수 없습니다. MED 값이 자율 시스템을 통과할 수 없기 때문입니다. 이러한 유형의 연결을 통해 Cloud Router가 공지하는 경로에 온프레미스 라우터에 대한 경로 우선순위를 설정할 수 없습니다. 또한 온프레미스 라우터가 VPC 네트워크에 공지하는 경로의 경로 우선순위를 설정할 수 없습니다.
연결의 스택 유형을 이중 스택으로 변경한 후 IPv6 트래픽이 작동하지 않음
Cloud Router 상태를 확인하고
status: UP
이 표시되는지 확인합니다.BGP가 작동하지 않으면 다음을 수행합니다.
온프레미스 라우터(또는 Layer 3 파트너를 사용하는 경우 파트너의 라우터)가 IPv6 BGP 세션으로 구성되어 있고 세션이 올바른 IPv6 주소를 사용하는지 확인합니다.
BGP 세션 구성을 확인하고
bgpPeers.enable
에 Cloud Router에'TRUE'
가 표시되는지 확인합니다.
BGP가 작동하면 Cloud Router 경로를 확인하여 예상 IPv6
best_routes
가 표시되는지 확인합니다.예상한
best_routes
가 표시되지 않으면 온프레미스 라우터(또는 Layer 3 파트너를 사용하는 경우 파트너의 라우터)가 올바른 IPv6 경로로 구성되었는지 확인합니다.
기타 모든 문제
추가 지원은 서비스 제공업체에 문의하세요. 필요한 경우 네트워크의 Google 측 관련 문제를 해결하기 위해 서비스 제공업체에서 Google에 연락합니다.
Cloud Interconnect를 통한 HA VPN
Cloud Interconnect를 통해 HA VPN을 배포할 때는 다음과 같은 두 가지 운영 계층을 만듭니다.
- VLAN 연결과 Cloud Interconnect용 Cloud Router가 포함된 Cloud Interconnect 등급
- HA VPN 게이트웨이 및 터널, HA VPN용 Cloud Router가 포함된 HA VPN 등급
각 계층에는 자체 Cloud Router가 필요합니다.
- Cloud Interconnect용 Cloud Router는 VLAN 연결 간에 VPN 게이트웨이 프리픽스를 교환하는 데만 사용됩니다. 이 Cloud Router는 Cloud Interconnect 등급의 VLAN 연결에서만 사용됩니다. HA VPN 등급에서는 사용할 수 없습니다.
- HA VPN용 Cloud Router는 VPC 네트워크와 온프레미스 네트워크 간에 프리픽스를 교환합니다. 일반 HA VPN 배포와 동일한 방식으로 HA VPN용 Cloud Router와 BGP 세션을 구성합니다.
Cloud Interconnect 등급을 기반으로 HA VPN 등급을 빌드합니다. 따라서 HA VPN 등급을 사용하려면 Dedicated Interconnect 또는 Partner Interconnect를 기반으로 한 Cloud Interconnect 등급이 올바르게 구성되고 작동해야 합니다.
Cloud Interconnect를 통한 HA VPN 배포 문제를 해결하려면 먼저 Cloud Interconnect 등급 문제를 해결하세요. Cloud Interconnect가 올바르게 작동하는지 확인한 후 HA VPN 등급 문제를 해결합니다.
암호화된 VLAN 연결을 만들 수 없음
다음 오류 메시지와 함께 암호화된 VLAN 연결 생성에 실패합니다.
Cannot create an interconnect attachment with IPSEC encryption. IPSEC encryption can only be used with a provisioned interconnect attachments that have Dataplane version 2.
이 문제를 해결하려면 다음 단계를 수행하세요.
모든 코로케이션 시설 테이블에서 Dataplane v2에서 연결 생성을 지원하는 리전을 확인하세요.
리전이 나열되지 않으면 지원되는 리전에서 연결을 다시 만듭니다.
Cloud Interconnect용 Cloud Router의 BGP 세션을 설정할 수 없음
VLAN 연결과 연관된 BGP 세션이 중단되었는지 감지하려면 다음 명령어를 실행합니다.
gcloud compute routers get-status INTERCONNECT_ROUTER_NAME
INTERCONNECT_ROUTER_NAME
을 Cloud Interconnect를 통한 HA VPN 배포의 Cloud Interconnect 등급에 대해 만든 Cloud Router 이름으로 바꿉니다.
이 문제를 해결하려면 다음 단계를 수행하세요.
- 연결 테스트 및 진단 받기의 단계에 따라 기본 Cloud Interconnect 연결이 정상인지 확인합니다.
- BGP 세션 인터페이스가 올바른 연결을 가리키는지 확인합니다.
- Cloud Router와 온프레미스 라우터 모두에서 BGP 세션 인터페이스에 구성된 IP 주소를 확인합니다.
- Cloud Router와 온프레미스 라우터 모두에 ASN 번호가 올바르게 구성되었는지 확인합니다.
- Cloud Interconnect 연결과 VLAN 연결이
admin-enabled
상태인지 확인합니다.
HA VPN 터널을 설정할 수 없음
터널 상태를 확인하려면 다음 명령어를 실행합니다.
gcloud compute vpn-tunnels describe VPN_TUNNEL_NAME
VPN_TUNNEL_NAME
을 HA VPN 터널의 이름으로 바꿉니다.
이 문제를 해결하려면 다음 단계를 수행하세요.
- VPN 터널은 VLAN 연결을 통해 라우팅되므로 VLAN 연결과 연관된 BGP 세션이 설정되었는지 확인합니다. 설정이 되어있지 않은 경우 Cloud Interconnect용 Cloud Router의 BGP 세션을 설정할 수 없음을 참조하세요.
- 터널 PSK와 암호화가 Cloud VPN 게이트웨이와 온프레미스 VPN 게이트웨이 모두에 올바르게 구성되었는지 확인합니다.
- 온프레미스 라우터의 BGP 공지에 온프레미스 VPN 게이트웨이 주소가 포함되어 있는지 확인합니다. 포함되어 있지 않은 경우 온프레미스 라우터의 BGP 구성을 조정하여 주소를 공지합니다.
- 온프레미스 VPN 게이트웨이 경로가 기존 BGP 경로와 충돌하여 삭제되지 않았는지 확인합니다. 충돌이 있으면 VPN 게이트웨이 주소 또는 공지된 경로를 조정합니다.
Cloud Router의 BGP 공지에 HA VPN 게이트웨이 주소가 포함되어 있는지 확인합니다. 온프레미스 라우터에서 또는 BGP 피어의
advertisedRoutes
필드를 검사하여 이를 확인합니다.advertisedRoutes
필드를 보려면 다음 명령어를 실행합니다.gcloud compute routers get-status INTERCONNECT_ROUTER_NAME
INTERCONNECT_ROUTER_NAME
을 Cloud Interconnect를 통한 HA VPN 배포의 Cloud Interconnect 등급에 대해 만든 Cloud Router 이름으로 바꿉니다.HA VPN 게이트웨이 주소가 공지되지 않으면 VLAN 연결이 암호화된 Cloud Interconnect 라우터와 연결되어 있는지 확인합니다. 각 VLAN 연결이 예상 리전 내부 IPv4 주소(
--ipsec-internal-addresses
)로 구성되었는지 확인합니다.
HA VPN용 Cloud Router의 BGP 세션을 설정할 수 없음
VLAN 연결과 연관된 BGP 세션이 중단되었는지 확인하려면 다음 명령어를 실행합니다.
gcloud compute routers get-status VPN_ROUTER_NAME
VPN_ROUTER_NAME
을 Cloud Interconnect를 통한 HA VPN 배포의 HA VPN 등급에 대해 만든 Cloud Router의 이름으로 바꿉니다.
이 문제를 해결하려면 다음 단계를 수행하세요.
- BGP 트래픽은 VPN 터널을 통해 라우팅되므로 VPN 터널이 설정되었는지 확인합니다. 설정되어 있지 않은 경우 HA VPN 터널을 설정할 수 없음의 단계를 따릅니다.
- Cloud Router의 BGP 세션 인터페이스가 올바른 VPN 터널을 가리키는지 확인합니다.
- BGP 세션 인터페이스의 IP 주소가 Cloud Router와 온프레미스 VPN 기기 모두에서 올바르게 구성되었는지 확인합니다.
- Cloud Router와 온프레미스 라우터 모두에 ASN 번호가 올바르게 구성되었는지 확인합니다.
VPC 트래픽이 온프레미스 네트워크에 연결되지 않거나 반대의 경우
ping
또는 iperf
와 같은 VM에서 생성된 트래픽은 온프레미스 네트워크에 연결할 수 없고, 온프레미스 네트워크는 VM에서 생성된 트래픽에 연결할 수 없습니다.
이 문제를 해결하려면 다음 단계를 수행하세요.
VM 트래픽은 VPN 터널을 통해 라우팅되므로 VM에서 VPN 터널로의 경로가 Cloud Router에서 전송되는지 확인합니다.
HA VPN용 Cloud Router 세션이 설정되었는지 확인합니다. 설정되어 있지 않은 경우 HA VPN용 Cloud Router의 BGP 세션을 설정할 수 없음을 참조하세요.
패킷 손실 또는 낮은 처리량
VPC 네트워크의 VM에서 온프레미스 네트워크로의 트래픽 또는 온프레미스 네트워크에서 VPC 네트워크로의 트래픽이 감소합니다.
ping
, iperf
, 기타 네트워크 모니터링 도구를 통해 패킷 손실 또는 낮은 처리량을 관찰할 수 있습니다.
이 문제를 해결하려면 다음 단계를 수행하세요.
- VLAN 연결에 트래픽 과부하가 발생했는지 확인합니다. 트래픽 과부하가 발생한 경우 더 많은 VLAN 연결을 통해 트래픽을 분산하거나 VLAN 연결의 용량을 업데이트하세요.
- HA VPN에 트래픽 과부하가 발생했는지 확인합니다. 트래픽 과부하가 발생한 경우 해당 VLAN 연결을 통해 추가 VPN 터널을 만들어 트래픽을 다시 분산합니다.
- 갑작스러운 트래픽 증가가 없는지 확인합니다. TCP 스트림은 급격히 증가하는 UDP 트래픽과 같은 다른 스트림의 영향을 받을 수 있습니다.
- 터널 MTU를 초과하는 패킷이 파편화되었는지 확인합니다. VLAN 연결로 MTU가 올바르게 설정되었는지 확인하고 UDP 트래픽이 MSS 클램프되지 않는지 확인합니다.
BANDWIDTH_THROTTLE
로 인해 VLAN 연결 측정항목 표시가 감소함
연결을 모니터링할 때 VLAN 연결 측정항목을 보면 BANDWIDTH_THROTTLE
로 인해 감소가 표시될 수 있습니다.
이는 첨부파일을 통해 트래픽이 너무 빠른 속도로 전송되어 일부 트래픽이 제한될 때 발생합니다.
하지만 해당하는 인그레스 및 이그레스 사용률 그래프를 보면 트래픽 급증이 표시되지 않습니다. 이는 측정항목이 60초 샘플링 간격으로 캡처되므로 짧은 트래픽 급증 또는 급증을 가릴 수 있기 때문입니다.
이 문제를 해결하려면 이 연결의 사용량을 줄이거나 연결의 용량을 늘리거나 더 많은 VLAN 연결을 활용하세요.
암호화된 VLAN 연결을 삭제할 수 없음
Dedicated Interconnect 또는 Partner Interconnect의 암호화된 VLAN 연결을 삭제하려고 하면 다음 오류가 발생합니다.
ResourceInUseByAnotherResourceException
이 문제를 해결하려면 먼저 암호화된 VLAN 연결과 연관된 모든 HA VPN 게이트웨이와 터널을 삭제했는지 확인합니다. 자세한 내용은 Cloud Interconnect를 통한 HA VPN 삭제를 참조하세요.
암호화된 VLAN 연결에서 IP 주소 유형이 일치하지 않음
Cloud Interconnect를 통한 HA VPN 배포에 사용할 HA VPN 게이트웨이를 만들려고 하면 다음 오류가 발생합니다.
One of the VLAN attachments has private IP address type, while the other one has public IP address type; they must have same IP address type.
이 오류는 HA VPN 게이트웨이에 대해 암호화된 VLAN 연결을 두 개 지정한 상태에서 HA VPN 터널 인터페이스에 대한 IP 주소 지정 체계가 서로 다른 경우 발생합니다. IP 주소 유형은 두 VLAN 연결 간에 일치해야 합니다.
VPN 게이트웨이를 만드는 동안 두 VLAN 연결 모두 비공개 IP 주소 또는 공개 IP 주소를 사용하도록 지정합니다. VPN 게이트웨이를 만들 때 이 오류가 발생하면 올바른 주소 유형으로 VLAN 연결을 다시 만듭니다.
HA VPN 게이트웨이 인터페이스에서 VLAN 연결 누락
Cloud Interconnect를 통한 HA VPN을 배포하는 경우 HA VPN 게이트웨이에는 두 인터페이스 모두에 암호화된 VLAN 연결이 있어야 합니다.
VLAN 연결을 하나만 지정하면 다음 오류가 표시됩니다.
VPN Gateway should have VLAN attachment specified in both interfaces or in none.
이 문제를 해결하려면 HA VPN 게이트웨이를 만들고 VLAN 연결 두 개를 지정합니다.
잘못된 VLAN 연결 유형
암호화된 VLAN 연결은 DEDICATED
또는 PARTNER
유형이어야 합니다.
암호화된 VLAN 연결에 잘못된 유형을 지정하면 다음 오류 메시지가 표시됩니다.
VLAN attachment should have type DEDICATED or PARTNER.
이 문제를 해결하려면 DEDICATED
또는 PARTNER
유형으로 암호화된 VLAN 연결만 만드세요.
VLAN 연결에 대한 잘못된 MTU 값
Dedicated Interconnect에 대한 암호화된 VLAN 연결을 만들 때 다음 오류 메시지가 나타납니다.
Wrong MTU value [mtuValue] for VLAN attachment. The supported MTU for IPsec packets for HA VPN over Cloud Interconnect is 1440.
이 문제를 해결하려면 기본 값이자 올바른 값인 1440
을 사용하여 연결을 다시 만듭니다.
VLAN 연결 유형이 다름
HA VPN 게이트웨이 인터페이스에 암호화된 VLAN 연결을 지정하면 다음 오류 메시지가 표시됩니다.
VLAN attachments should both have same type DEDICATED or PARTNER. But found one DEDICATED and one PARTNER.
이 문제를 해결하려면 DEDICATED
또는 PARTNER
와 같은 유형의 VLAN 연결 2개를 지정합니다.
전용 VLAN 연결이 동일한 권역에 있지 않음
HA VPN 게이트웨이 인터페이스에 암호화된 VLAN 연결을 지정하면 다음 오류 메시지가 표시됩니다.
Dedicated VLAN attachments should be in the same metropolitan area.
이 문제를 해결하려면 Dedicated Interconnect에 대한 두 개의 암호화된 VLAN 연결을 동일한 권역 내에 만듭니다.
HA VPN 게이트웨이가 VLAN 연결과 동일한 네트워크에 있지 않음
HA VPN 게이트웨이 인터페이스에 암호화된 VLAN 연결을 지정하면 다음 오류 메시지가 표시됩니다.
VPN Gateway should be in the same network as VLAN attachment. VLAN attachment network: [networkName], VPN gateway network: [networkName]
이 문제를 해결하려면 암호화된 VLAN 연결과 동일한 네트워크에 HA VPN 게이트웨이를 만드세요.
VLAN 연결의 잘못된 암호화 유형
HA VPN 게이트웨이 인터페이스에 암호화된 VLAN 연결을 지정하면 다음 오류 메시지가 표시됩니다.
Wrong encryption type for VLAN attachment [interconnectAttachmentName], required IPSEC.
이 문제를 해결하려면 암호화 유형 IPSEC
로 구성된 암호화된 VLAN 연결만 지정하세요.
필요한 경우 암호화된 VLAN 연결을 만듭니다.
VLAN 연결 영역이 interfaceId와 일치하지 않음
HA VPN 게이트웨이 인터페이스에 암호화된 VLAN 연결을 지정하면 다음 오류 메시지가 표시됩니다.
VLAN attachment zone should match interfaceId: interface 0 - zone1, interface 1 - zone2, but found interface [interfaceId] - [zone] for [interconnectAttachmentName].
첫 번째 HA VPN 게이트웨이 인터페이스(interface 0
)는 영역 1의 암호화된 VLAN 연결과 일치해야 하며 두 번째 인터페이스(interface 1
)는 영역 2의 암호화된 VLAN 연결과 일치해야 합니다.
이 문제를 해결하려면 HA VPN 게이트웨이 인터페이스와 정확하게 일치하는 영역에서 암호화된 VLAN 연결을 지정하세요.
VPN 게이트웨이가 VLAN 연결과 동일한 리전에 있지 않음
HA VPN 게이트웨이 인터페이스에 암호화된 VLAN 연결을 지정하면 다음 오류 메시지가 표시됩니다.
VPN Gateway should be in the same region as VLAN attachment. VLAN attachment region: [region], VPN gateway region: [region].
이 문제를 해결하려면 동일한 리전에 HA VPN 게이트웨이와 암호화된 VLAN 연결을 만듭니다.
파트너 VLAN 연결이 활성 상태가 아님
HA VPN 게이트웨이 인터페이스의 Partner Interconnect에 암호화된 VLAN 연결을 지정하면 다음 오류 메시지가 표시됩니다.
Interconnect Attachments [name] must be in active state.
HA VPN 게이트웨이 인터페이스에 연결하기 전에 Partner Interconnect에 대한 VLAN 연결을 활성화해야 합니다.
자세한 내용은 연결 활성화를 참조하세요.
VLAN 연결에 잘못된 유형의 Cloud Router가 지정됨
암호화된 VLAN 연결을 만들려고 하면 다음 오류 메시지가 표시됩니다.
Router must be an encrypted interconnect router.
이 문제를 해결하려면 --encrypted-interconnect-router
플래그로 Cloud Router를 만듭니다. 이 Cloud Router는 Cloud Interconnect를 통한 HA VPN에만 사용됩니다.
그런 다음 암호화된 VLAN 연결을 만들고 암호화된 Cloud Router를 제공합니다.
교차 Cloud Interconnect
이 섹션에서는 Cross-Cloud Interconnect에서 발생할 수 있는 문제를 설명합니다.
Google은 다른 클라우드 서비스 제공업체의 네트워크에 도달하는 지점까지의 연결을 지원합니다. Google은 다른 클라우드 서비스 제공업체의 업타임을 보장하지 않으며 사용자를 대신하여 지원 티켓을 만들 수 없습니다. 하지만 권한을 부여하면 Google Cloud 지원팀은 다른 클라우드 제공업체의 지원팀과 직접 소통하여 문제를 빠르게 해결할 수 있습니다.
중복 포트 간 불일치
교차 Cloud Interconnect 포트를 주문한 후에는 포트를 원격 클라우드 포트에 연결하려는 방법에 대한 정보를 Google에 제공합니다. 또한 이 정보는 나중에 리소스를 구성할 때 사용합니다. 연결 문제가 발생한 경우 올바른 연결 세부정보를 사용하지 않은 것이 문제일 수 있습니다.
예를 들어 다음과 같이 안내할 수 있습니다.
azure-1
을gcp-1
에 연결azure-2
를gcp-2
에 연결
그러나 리소스를 구성할 때 포트가 다음과 같이 연결되었다고 가정할 수 있습니다.
azure-2
를gcp-1
에 연결azure-1
을gcp-2
에 연결
이 조건은 ARP 캐시 검사를 통해 감지될 수 있습니다. 그러나 더 간단한 해결책은 원격 클라우드로 이동하여 2개의 BGP 피어에 할당된 IP 주소 범위를 바꾸는 것입니다.
예를 들어 azure-1
에 169.254.0.2의 VLAN 연결 피어링이 있고 azure-2
에 169.254.99.2의 VLAN 연결 피어링이 있다고 가정해 보겠습니다. azure-1
연결이 169.254.99.2를 사용하고 azure-2
연결이 169.254.0.2를 사용하도록 IP 주소 범위를 바꿉니다.
각 포트의 VLAN 연결에 대한 서로 다른 VLAN ID를 사용한 경우 VLAN 연결에 사용되는 VLAN ID도 바꿔야 합니다. Azure의 경우, 각 연결에 대해 두 포트에서 동일한 VLAN ID를 사용해야 하므로 이 시나리오는 불가능합니다.
VLAN ID
때로는 연결 문제가 VLAN ID 값의 실수로 인해 추적될 수 있습니다. VLAN ID는 Cross-Cloud Interconnect VLAN 연결의 필드입니다.
Azure
Azure를 사용하려면 VLAN ID를 한 쌍의 두 포트에 동일하게 할당해야 합니다. VLAN 연결을 만들 때 Google Cloud 콘솔에서 이 요구사항을 적용합니다. 그러나 Google Cloud CLI 또는 API를 사용하여 연결을 설정하는 경우 다른 VLAN ID를 할당할 수 있습니다. 이러한 위험성은 연결을 만들 때 VLAN ID가 자동으로 할당되도록 하는 경우에 특히 큽니다. ID를 명시적으로 설정하지 않으면 자동으로 할당됩니다.
AWS
AWS에 연결할 때는 VLAN ID 자동 할당을 사용해도 됩니다. 그러나 AWS 리소스를 구성할 때는 Google Cloud에서 자동으로 할당된 것과 일치하도록 VLAN ID를 수동으로 구성해야 합니다. 또한 각 포트에 사용할 VLAN ID를 혼동하지 않아야 합니다. 잘못된 VLAN ID가 포트에 구성되어 있는 경우 가상 라우터가 통신할 수 없습니다.
연결 확인
아직 수행하지 않았다면 Google Cloud와 원격 클라우드 네트워크 간의 연결을 확인하는 단계를 따르세요.