Nützliche Tipps zur Behebung etwaiger Fehler bei der Verwendung von Network Connectivity Center, Hybrid-Spokes, VPC-Spokes und der Weiterleitung von Private Service Connect-Verbindungen.
Bekannte Einschränkungen finden Sie unter Überlegungen auf der Übersichtsseite.
Häufige Probleme mit der Befehlssyntax
Beim Aktualisieren eines Spoke müssen Sie den Standort angeben, an dem sich der Spoke befindet.
Ressourcen an Spokes anhängen
Ausführliche Informationen, Empfehlungen und Überlegungen zum Erstellen von Spokes und zum Anhängen von Ressourcen an Spokes finden Sie unter Spokes erstellen.
Routen werden nicht auf Regionen verteilt
Wenn Routen nicht ordnungsgemäß zwischen Regionen verteilt werden, prüfen Sie, ob der Modus für dynamisches Routing des VPC-Netzwerks auf global festgelegt ist.
Der Datenübertragungs-Traffic fließt nicht zwischen zwei Nicht-Google Cloud-Netzwerken
In diesem Zusammenhang bezieht sich ein Netzwerk außerhalb von Google Cloud auf Ihr lokales Rechenzentrum, eine Zweigstelle oder das Netzwerk eines anderen Cloud-Anbieters.
Wenn der Datentransfer zwischen zwei Standorten nicht fließt, prüfen Sie, ob die folgenden Ressourcen ordnungsgemäß konfiguriert sind und funktionieren:
- Prüfen Sie die Funktionalität von HA VPN-Tunneln oder VLAN-Anhängen, die als Spokes hinzugefügt werden.
- Prüfen Sie die Routen zwischen den beiden Standorten.
- Prüfen Sie, ob die ASN-Zuweisungen eingerichtet sind, wie unter ASN-Anforderungen für Spoke-Ressourcen beschrieben.
- Prüfen Sie, ob für jeden Spoke das Feld für die Site-to-Site-Datenübertragung auf
truefestgelegt ist.
Doppelte Route Advertisements aus BGP-Sitzungen
Wenn doppelte Route Advertisements vorhanden sind (einige von BGP-Sitzungen, die an der Datenübertragung teilnehmen, und einige von Sitzungen, die nicht an der Datenübertragung teilnehmen), verwendet der Datenübertragungs-Traffic möglicherweise ECMP, um den Traffic an alle verfügbaren nächsten Hops zu verteilen, selbst wenn diese nächsten Hops nicht explizit an der Datenübertragung teilnehmen.
Interconnect-Verbindung zu einem nicht unterstützten Standort (kein Google Cloud-Netzwerk)
Ein Beispiel für die Konfiguration von Routen-Advertisements, wenn eine Ihrer redundanten Interconnect-Verbindungen zu einem nicht unterstützten Standort führt, finden Sie unter Optimales Route Advertisement für das Network Connectivity Center.
Fehlerbehebung bei der Netzwerkverbindung mithilfe von Konnektivitätstests
Mit diesem Diagnosetool können Sie die Konnektivität zwischen den Endpunkten in Ihrem Netzwerk prüfen. Es analysiert Ihre Konfiguration und führt in einigen Fällen auch eine Laufzeitprüfung aus.
Zur Analyse der Netzwerkkonfigurationen simulieren Konnektivitätstests den erwarteten Weiterleitungspfad eines Pakets über Ihr Virtual Private Cloud-Netzwerk (VPC), Cloud VPN-Tunnel, VLAN-Anhänge oder Router-Appliance-Instanzen.
Sie können die Konfigurationsanalyse für Konnektivitätstests verwenden, um die Erreichbarkeit zwischen folgenden Elementen zu bewerten:
- Zwei Nicht-Google Cloud-Netzwerke, die über das Network Connectivity Center verbunden sind. In diesem Zusammenhang bezieht sich ein Netzwerk außerhalb von Google Cloud in der Regel auf Ihr lokales Rechenzentrum oder eine Zweigstelle oder das Netzwerk eines anderen Cloud-Anbieters.
- Zwei VPC-Netzwerke, die über einen Network Connectivity Center-Hub verbunden sind.
Da Konnektivitätstests keinen Zugriff auf Ihre lokale Netzwerkkonfiguration haben, kann die Konfiguration der Routen und Firewallregeln auf Ihrem lokalen Router nicht geprüft werden. Daher betrachtet die Konfigurationsanalyse der Konnektivitätstests den Traffic von Ihrem lokalen Netzwerk zu Ihrem VPC-Netzwerk immer als gültig und es werden nur Konfigurationen in Google Cloud verifiziert.
Informationen zum Ausführen von Konnektivitätstests zwischen zwei lokalen Netzwerken, die über Network Connectivity Center verbunden sind, finden Sie unter Verbindungstests ausführen.
Weitere Informationen finden Sie unter Konnektivitätstests – Übersicht.
Fehlerbehebung bei Hybrid-Spokes
Das folgende Problem kann bei Router-Appliances, VLAN-Anhängen und VPN-Spokes auftreten.
Konfigurierte Hub-Subnetze werden nicht in einem lokalen Netzwerk beworben
Wenn die konfigurierten Hub-Subnetze nicht für das lokale Netzwerk (Vorabversion) beworben werden, prüfen Sie die Hub-Routentabelle der Gruppe des Hybrid-Spokes auf die folgenden Probleme:
Wenn die Subnetze in der Hub-Routingtabelle angezeigt werden, gehen Sie so vor:
Achten Sie darauf, dass das zu bewerbende Subnetz nicht von der BGP-Routenrichtlinie entfernt wurde.
Wenden Sie sich an den Google Cloud-Support, um das zugrunde liegende Problem zu diagnostizieren.
Wenn die Subnetze nicht in der Hub-Routingtabelle enthalten sind, gehen Sie so vor:
- Prüfen Sie die IP-Adressbereiche für den Export einschließen und Export ausschließen auf dem VPC-Spoke der Subnetze. Wenn das Subnetz nach Export-Einschlussbereichen oder Export-Ausschlussbereichen gefiltert wird, können Sie den VPC-Spoke aktualisieren.
Fehlerbehebung bei Router-Appliance
Die im Folgenden aufgeführten Probleme und Lösungen gelten nur für die Router-Appliance.
Die Dokumentation zur Fehlerbehebung für Cloud Router gilt auch für die Router-Appliance sowie die in den folgenden Abschnitten beschriebenen Probleme.
Hier finden Sie weitere Informationen:
- Fehlerbehebung: BGP-Sitzungen
- Fehlerbehebung: BGP-Peering
- Fehlerbehebung: BGP-Routen und Routenauswahl
- Fehlerbehebung: Cloud Router-Logmeldungen
Fehler beim Erstellen von BGP-Sitzungen
Wenn die BGP-Sitzungen zwischen dem Cloud Router und der Router-Appliance nicht hergestellt werden, prüfen Sie, ob folgende Probleme vorliegen:
- Prüfen Sie, ob eine VM, die als Router-Appliance-Instanz fungiert, im Rahmen eines Spoke im Network Connectivity Center konfiguriert ist. Informationen zum Konfigurieren einer Router-Appliance-Instanz als Teil eines Spoke finden Sie unter Mit Spokes arbeiten.
- Prüfen Sie die Firewalleinstellungen. Achten Sie dabei darauf, dass der TCP-Port
179zugelassen wird. Informationen zum Konfigurieren von Firewalleinstellungen für die Router-Appliance finden Sie unter Router Appliance-Instanzen erstellen. - Achten Sie darauf, dass weder der Cloud Router noch die Router-Appliance-Instanz Link-Local-Adressen (d. h.
169.254.x.x) für das gegenseitige Peering verwenden. Weitere Informationen finden Sie unter Empfehlungen für die Zuweisung von IP-Adressen. - Vergewissern Sie sich, dass Cloud Router zwei separate BGP-Sitzungen zu Ihrer Router-Appliance-Instanz aufgebaut hat, eine von jeder Cloud Router-Schnittstelle. Die Router-Appliance-Instanz muss in beiden BGP-Sitzungen dieselben Routen bereitstellen. Wenn eine Ihrer BGP-Sitzungen ausfällt und Ihre Router-Appliance-VM die Verbindung zum Cloud Router verliert, überprüfen Sie die Konfiguration Ihrer Cloud Router-Schnittstellen. Weitere Informationen finden Sie unter Router-Appliance-Instanzen erstellen.
Probleme mit internen IP-Adressen für BGP-Sitzungen auf Router-Appliance-Instanzen
Wenn Sie Probleme mit Ihrer IP-Adresskonfiguration für Router-Appliance-Instanzen feststellen, müssen Sie interne RFC 1918-IP-Adressen für BGP-Sitzungen zwischen Cloud Router und den VMs konfigurieren, die als Router-Appliance-Instanzen fungieren.
Router-Appliance-Instanzen verwenden keine 169.254.x.x-Adressen für BGP-Sitzungen. Stattdessen müssen sie IP-Adressen im selben VPC-Subnetz wie Cloud Router verwenden. Weitere Informationen finden Sie unter Router-Appliance-Instanzen erstellen.
Fehlerbehebung bei VPC-Spokes
Berechtigungen
Wenn die Berechtigung beim Erstellen eines Spoke in einem anderen Projekt als dem Projekt des Hubs verweigert wird, fragen Sie den Hub-Administrator, ob Ihnen die erforderliche Berechtigung networkconnectivity.groups.use für den Hub erteilt wurde.
Fehler bei VPC-Spoke-Erstellung
Wenn die Erstellung des VPC-Spoke fehlgeschlagen ist, kann dies einen der folgenden Gründe haben:
- Das VPC-Netzwerk ist bereits über VPC-Peering mit einem oder mehreren der vorhandenen Spokes verbunden.
- Subnetze überschneiden sich mit vorhandenen VPC-Spokes.
- Subnetze überschneiden sich mit Peers vorhandener VPC-Spokes.
- Sie haben das Kontingent für VPC-Spokes überschritten.
- Sie haben das Kontingent für Routen pro Hub-Routingtabelle überschritten.
- Es sind mehr als 16 Exportfilter angegeben.
- Subnetze im VPC-Netzwerk sind größer als ein oder mehrere angegebene Filter.
Informationen zu kontingentbezogenen Fehlern finden Sie unter Kontingente und Limits.
Fehler beim Erstellen von VPC-Spokes nach dem Löschen eines Spoke
Nachdem Sie einen Spoke gelöscht haben, müssen Sie mindestens zehn Minuten warten, bevor Sie einen neuen Spoke für dasselbe VPC-Netzwerk erstellen können, das mit einem anderen Hub verbunden ist. Diese Wartezeit ist nicht erforderlich, wenn das VPC-Netzwerk demselben Hub als Spoke hinzugefügt wird.
Fehler bei der Subnetzerstellung in einem VPC-Spoke
Wenn bei einem VPC-Spoke ein Fehler bei der Subnetzerstellung auftritt, kann dies einen der folgenden Gründe haben:
- Es sind sich überschneidende Subnetze in anderen VPC-Spokes oder Peers von VPC-Spokes vorhanden.
- Sie haben das Kontingent für Routen pro Hub-Routingtabelle überschritten.
- Subnetze im VPC-Netzwerk sind größer als ein oder mehrere angegebene Filter.
Der VPC-Spoke wird erstellt, aber die Verbindung zur Datenebene fehlt
Wenn der VPC-Spoke als erstellt angezeigt wird, die Verbindung der Datenebene jedoch fehlt, kann dies einen der folgenden Gründe haben:
- Der Spoke befindet sich in einem anderen Projekt als der Hub und der Hub-Administrator hat den Spoke-Vorschlag nicht angenommen.
- Alle Subnetze im VPC-Netzwerk werden gefiltert und von der Verbindung ausgeschlossen.
- Zielsubnetze werden nach den entsprechenden VPC-Spoke-Filtern gefiltert.
In der Hub-Routingtabelle werden einige Subnetze in VPC-Spokes nicht angezeigt
Wenn in der Hub-Routingtabelle einige der Subnetze in den VPC-Spokes nicht angezeigt werden, kann dies einen der folgenden Gründe haben:
- Die Subnetze werden mithilfe von Exportfiltern gefiltert.
- Die Subnetze wurden innerhalb der letzten 5–10 Minuten erstellt und die Hub-Routingtabelle wurde noch nicht aktualisiert.
VM in einem Spoke kann nicht auf die Private Service Connect-Verbindung in einem anderen Spoke zugreifen
Wenn eine VM in einem VPC-Spoke nicht auf den Private Service Connect-Endpunkt (Vorabversion) in einem anderen Spoke zugreifen kann, prüfen Sie, ob eines der folgenden Probleme vorliegt:
Die Private Service Connect-Verbindung muss auf einen Dienstanhang ausgerichtet sein, der auf einem Private Service Connect-Endpunkt eines internen Passthrough-Network Load Balancers basiert. Weitere Informationen finden Sie unter Zugriff auf veröffentlichte Dienste über Endpunkte.
Verwenden Sie den Befehl
gcloud compute forwarding-rules describe, um Daten abzurufen, die mit einer Weiterleitungsregel in einem Projekt verknüpft sind.gcloud
gcloud compute forwarding-rules describe FORWARDING_RULE_NAME \ --region=REGION_ID --project=PROJECT_ID --format='get(target)'
Ersetzen Sie die folgenden Werte:
FORWARDING_RULE_NAME: der Name der WeiterleitungsregelREGION_ID: die Regions-IDPROJECT_ID: die Projekt-ID, in der sich die Regel befindet
Das Feld
--export_pscmuss im Hub aktiviert sein.Mit dem Befehl
gcloud network-connectivity hubs describekönnen Sie prüfen, ob das Feld--export_pscim Hub aktiviert ist.gcloud
gcloud network-connectivity hubs describe HUB_NAME \ --project=PROJECT_ID --format='get(export_psc)'
Ersetzen Sie die folgenden Werte:
HUB_NAME: Name des HubsPROJECT_ID: die Projekt-ID, in der sich der Hub befindet
Prüfen Sie, ob sich die Adresse des Private Service Connect-Endpunkts nicht in einem Exportausschließungsbereich des Hosting-Spokes befindet. Private Service Connect-Endpunkte, die sich im Ausschlussbereich für den Export befinden, werden nicht fortgeleitet.
Verwenden Sie den Befehl
gcloud network-connectivity spokes describe, um die angegebenen auszuschließenden Exportbereiche eines Spokes zu prüfen.gcloud
gcloud network-connectivity spokes describe SPOKE_NAME \ --global \ --project=PROJECT_ID \ --format='get(linked_vpc_network.exclude_export_ranges)'
Ersetzen Sie die folgenden Werte:
SPOKE_NAME: Name des SpokePROJECT_ID: Projekt-ID des Projekts, in dem sich der Spoke befindet
Achten Sie darauf, dass Sie das Kontingent für die Nutzung des Network Connectivity Center nicht überschritten haben.
Fehlerbehebung beim Routenaustausch von VPC-Spokes
VPC-Spokes und Hybrid-Spokes sind mit demselben Hub verbunden, aber die Verbindung zur Datenebene fehlt
Wenn die VPC-Spokes und Hybrid-Spokes mit demselben Hub verbunden sind, die Verbindung der Datenebene jedoch fehlt, kann dies einen der folgenden Gründe haben:
- Der Spoke ist ein projektübergreifender Spoke und der Hub-Administrator hat den Spoke-Vorschlag nicht akzeptiert.
- Alle Subnetze im VPC-Netzwerk werden gefiltert und von der Verbindung ausgeschlossen.
- Die automatische Weiterleitung von VPC-Subnetzen ist nicht aktiviert oder die Werbung für benutzerdefinierte Routen ist nicht eingerichtet.
- Das Kontingent für dynamische Routen ist aufgebraucht.
In der Hub-Routingtabelle werden einige dynamische Routen nicht oder fälschlicherweise angezeigt
Die dynamischen Routen werden in der Hub-Routingtabelle möglicherweise aus einem der folgenden Gründe nicht richtig angezeigt:
- BGP-Routen wurden innerhalb der letzten fünf bis zehn Minuten beworben oder zurückgezogen und die Hub-Routingtabelle wurde noch nicht aktualisiert.
- Das Kontingent für dynamische Routen ist aufgebraucht.
Fehler beim Erstellen eines Hybrid-Spokes
Wenn die Erstellung eines Hybrid-Spoke fehlschlägt, kann dies einen der folgenden Gründe haben:
- Das Routing-VPC-Netzwerk kann ein vorhandener VPC-Spoke mit demselben oder einem anderen Hub sein.
- Das Routing-VPC-Netzwerk ist möglicherweise implizit mit einem anderen Hub verknüpft, weil ein vorhandener Hybrid-Spoke mit diesem Hub verbunden ist. Hybrid-Anhänge aus einem VPC-Netzwerk können nur zu einem Hub werden.
Fehler beim Erstellen von VPC-Spokes
Die Erstellung eines VPC-Spokes kann fehlschlagen, wenn der VPC-Spoke implizit einem Hub als Routing-VPC-Netzwerk zugeordnet ist.
Fehlermeldung
Wenn Sie versuchen, einen Spoke zu erstellen, und die Fehlermeldung An
internal error occurred erhalten, wenden Sie sich an den Google Cloud-Support, um das Problem zu beheben.