Risolvere i problemi di Network Connectivity Center

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Scopri i passaggi per la risoluzione dei problemi che potresti trovare utili se riscontri problemi con l'utilizzo di Network Connectivity Center, spoke ibridi, spoke VPC e la propagazione delle connessioni Private Service Connect.

Per le limitazioni note, consulta Considerazioni nella pagina Panoramica.

Problemi comuni con la sintassi dei comandi

Quando aggiorni un raggio, devi specificare la località in cui si trova.

Collega le risorse agli spoke

Per requisiti, consigli e considerazioni dettagliati sulla creazione di spoke e sull'associazione di risorse, consulta Creare un spoke.

I percorsi non sono distribuiti tra le regioni.

Se le route non vengono distribuite correttamente tra le regioni, verifica che la modalità di routing dinamico della rete VPC sia impostata su global.

Il traffico di trasferimento dei dati non passa tra due reti nonGoogle Cloud

In questo contesto, una rete nonGoogle Cloud si riferisce al tuo data center on-premise, a una sede secondaria o alla rete di un altro cloud provider.

Se il traffico di trasferimento dati non scorre tra due località, verifica che le seguenti risorse siano configurate e funzionino correttamente:

• Verifica la funzionalità dei tunnel VPN ad alta disponibilità o dei collegamenti VLAN aggiunti come spoke.
• Verifica i percorsi programmati tra le due località.
• Verifica che le assegnazioni ASN siano configurate come descritto in Requisiti ASN per le risorse spoke.
• Verifica che per ogni raggio il campo di trasferimento dei dati da un sito all'altro sia impostato su true.

Annunci route duplicati dalle sessioni BGP

Se sono presenti annunci di route duplicati (alcuni provenienti da sessioni BGP che partecipano al trasferimento di dati e altri da sessioni che non partecipano al trasferimento di dati), il traffico di trasferimento dei dati potrebbe utilizzare ECMP per distribuire il traffico a tutti i hop successivi disponibili, anche se questi hop successivi non partecipano esplicitamente al trasferimento di dati.

Connessione di Interconnect a una località non supportata (nonGoogle Cloud network)

Per un esempio di come configurare gli annunci di route quando una delle tue connessioni di interconnessione ridondanti si trova in una località non supportata, consulta Annunci di route ottimali per Network Connectivity Center.

Risolvere i problemi di connettività di rete utilizzando i test di connettività

Connectivity Tests è uno strumento di diagnostica che ti consente di verificare la connettività tra gli endpoint della tua rete. Analizza la tua configurazione e, in alcuni casi, esegue la verifica di runtime.

Per analizzare le configurazioni di rete, i test di connettività simulano il percorso di inoltro previsto di un pacchetto attraverso la rete VPC (Virtual Private Cloud), i tunnel VPN Cloud, i collegamenti VLAN o le istanze di appliance router.

Puoi utilizzare l'analisi di configurazione di Connectivity Tests per valutare la raggiungibilità tra:

• Due reti nonGoogle Cloud collegate tramite Network Connectivity Center. In questo contesto, una rete nonGoogle Cloud è in genere il tuo data center on-premise, una filiale o la rete di un altro cloud provider.
• Due reti VPC connesse tramite un hub di Network Connectivity Center.

Poiché Connectivity Tests non ha accesso alla configurazione della rete on-premise, non può verificare la configurazione delle route e delle regole firewall sul router on-premise. Pertanto, il traffico dalla rete on-premise alla rete VPC è sempre considerato valido dall'analisi di configurazione dei test di connettività e vengono verificate solo le configurazioni all'interno di Google Cloud .

Per eseguire test di connettività tra due reti on-premise collegate tramite Network Connectivity Center, consulta Eseguire test di connettività.

Per ulteriori informazioni, consulta la panoramica dei test di connettività.

Risolvere i problemi degli spoke ibride

Il seguente problema può verificarsi negli appliance router, nei collegamenti VLAN e negli spoke VPN.

Le subnet dell'hub configurate non vengono pubblicizzate a una rete on-premise

Se le subnet dell'hub configurate non sono pubblicizzate nella rete on-premise (Anteprima), controlla la tabella delle route dell'hub del gruppo dello spoke ibrido per verificare la presenza dei seguenti problemi:

• Se le subnet sono visualizzate nella tabella dei percorsi dell'hub:

  • Assicurati che il criterio di route BGP non abbia eliminato la subnet da pubblicizzare.

  • Contatta l'Google Cloud assistenza per diagnosticare il problema di fondo.

• Se le sottoreti non sono nella tabella delle route dell'hub:

  • Controlla gli intervalli di indirizzi IP per l'esportazione inclusa e l'esportazione esclusa sullo spoke VPC delle subnet. Se la subnet è filtrata in base agli intervalli di esportazione inclusi o esclusi, puoi aggiornare lo spoke VPC.

Risolvere i problemi dell'appliance router

I seguenti problemi e soluzioni sono specifici dell'appliance router.

La documentazione per la risoluzione dei problemi relativi a Cloud Router si applica anche all'appliance router, oltre ai problemi descritti nelle sezioni seguenti.

Per ulteriori informazioni, consulta le seguenti risorse:

• Risolvere i problemi relativi alle sessioni BGP
• Risolvere i problemi di peering BGP
• Risolvere i problemi relativi alle route BGP e alla selezione delle route
• Risolvere i problemi relativi ai messaggi di log di Cloud Router

Le sessioni BGP non vengono stabilite

Se le sessioni BGP tra il router Cloud e l'appliance router non riescono a essere stabilite, controlla i seguenti problemi:

• Assicurati che una VM che agisce come istanza di appliance router sia configurata come parte di uno spoke in Network Connectivity Center. Per configurare un'istanza dell'appliance router all'interno di uno spoke, consulta Utilizzare gli spoke.
• Controlla le impostazioni del firewall per assicurarti che la porta TCP 179 sia consentita. Per configurare le impostazioni del firewall per l'appliance router, consulta Creare istanze dell'appliance router.
• Assicurati che né Cloud Router né l'istanza dell'appliance router utilizzino indirizzi link-local (ovvero 169.254.x.x) per comunicare tra loro. Per indicazioni, consulta Consigli per l'allocazione degli indirizzi IP.
• Assicurati che Cloud Router abbia stabilito due sessioni BGP distinte con l'istanza dell'appliance router, una da ogni interfaccia del router Cloud. L'istanza dell'appliance router deve pubblicizzare le stesse route su entrambe le sessioni BGP. Se una delle sessioni BGP si interrompe e la VM dell'appliance router perde la comunicazione con il router Cloud, controlla la configurazione delle interfacce del router Cloud. Per ulteriori informazioni, consulta Creare istanze dell'appliance router.

Problemi con gli indirizzi IP interni per le sessioni BGP sulle istanze dell'appliance router

Se riscontri problemi relativi alla configurazione degli indirizzi IP per le istanze dell'appliance router, assicurati di aver configurato indirizzi IP interni RFC 1918 per le sessioni BGP tra Cloud Router e le VM che fungono da istanze dell'appliance router.

Le istanze dell'appliance router non utilizzano indirizzi 169.254.x.x per le sessioni BGP. Devono invece utilizzare indirizzi IP nella stessa sottorete VPC di Cloud Router. Per ulteriori informazioni, consulta Creare istanze di appliance router.

Risolvere i problemi relativi agli spoke VPC

Autorizzazioni

Se l'autorizzazione viene rifiutata durante la creazione di uno spoke in un progetto diverso dall'hub, rivolgiti all'amministratore dell'hub per verificare di aver ricevuto l'autorizzazione networkconnectivity.groups.use necessaria nell'hub.

Errori di creazione dello spoke VPC

Se la creazione dello spoke VPC non è andata a buon fine, il motivo potrebbe essere uno dei seguenti:

• La rete VPC è già in peering con uno o più spoke esistenti utilizzando il peering VPC.
• Le subnet si sovrappongono agli spoke VPC esistenti.
• Le subnet si sovrappongono ai peer degli spoke VPC esistenti.
• Hai superato la quota di spoke VPC.
• Hai superato la quota di route per tabella dei route hub.
• Sono stati specificati più di 16 filtri di esportazione.
• Le subnet nella rete VPC sono più grandi di uno o più filtri specificati.

Per gli errori relativi alle quote, consulta Quote e limiti.

Errori di creazione di spoke VPC dopo l'eliminazione di uno spoke

Dopo aver eliminato uno spoke, devi attendere il periodo di attesa di almeno 10 minuti prima di poter creare un nuovo spoke per la stessa rete VPC collegata a un hub diverso. Questo periodo di attesa non è necessario se la rete VPC viene aggiunta come spoke allo stesso hub.

Errori di creazione delle subnet in uno spoke VPC

Se si verifica un errore di creazione della subnet in uno spoke VPC, il motivo potrebbe essere uno dei seguenti:

• Esistono subnet sovrapposte in altri spoke VPC o peer di spoke VPC.
• Hai superato la quota di route per tabella dei route hub.
• Le subnet nella rete VPC sono più grandi di uno o più filtri specificati.

Lo spoke VPC è stato creato, ma manca la connettività del piano dati

Se lo spoke VPC è visualizzato come creato, ma manca la connettività del dataplane, il motivo potrebbe essere uno dei seguenti:

• Il spoke si trova in un progetto diverso dall'hub e l'amministratore dell'hub non ha accettato la proposta dello spoke.
• Tutte le subnet nella rete VPC vengono filtrate ed escluse dalla connettività.
• Le subnet di destinazione vengono filtrate in base ai filtri spoke VPC corrispondenti.

La tabella dei route dell'hub non mostra alcune subnet negli spoke VPC

Se la tabella di routing dell'hub non mostra alcune delle sottoreti negli spoke VPC, il motivo potrebbe essere uno dei seguenti:

• Le subnet vengono filtrate utilizzando i filtri di esportazione.
• Le sottoreti sono state create negli ultimi 5-10 minuti e la tabella delle route dell'hub non è stata ancora aggiornata.

Risolvere gli errori di propagazione della connessione Private Service Connect

Prima di esaminare i problemi, consulta le seguenti pagine:

• Propagazione della connessione Private Service Connect tramite Network Connectivity Center
• Configurare un hub

La VM in uno spoke non riesce ad accedere alla connessione Private Service Connect in un altro spoke

Se una VM in uno spoke VPC non riesce ad accedere all'endpoint Private Service Connect in un altro spoke, assicurati che siano soddisfatte le seguenti condizioni:

• Il campo --export_psc è attivato nell'hub.

  Per verificare se il campo --export_psc è abilitato nell'hub, utilizza il comando gcloud network-connectivity hubs describe.

  gcloud

  gcloud network-connectivity hubs describe HUB_NAME \
      --project=PROJECT_ID \
      --format='get(export_psc)'
  

  Sostituisci i seguenti valori:

  • HUB_NAME: il nome dell'hub
  • PROJECT_ID: l'ID progetto in cui risiede l'hub

• L'indirizzo IP dell'endpoint Private Service Connect non è incluso in nessun intervallo di esclusione dell'esportazione dello spoke di hosting. Gli endpoint Private Service Connect che si trovano nell'intervallo di esclusione dell'esportazione non vengono propagati.

  Per controllare gli intervalli di esportazione esclusi specificati di uno spoke, utilizza il comando gcloud network-connectivity spokes describe.

  gcloud

  gcloud network-connectivity spokes describe SPOKE_NAME \
      --global \
      --project=PROJECT_ID \
      --format='get(linked_vpc_network.exclude_export_ranges)'
  

  Sostituisci i seguenti valori:

  • SPOKE_NAME: il nome dello spoke
  • PROJECT_ID: l'ID progetto in cui si trova lo spoke

• Non hai superato la quota di utilizzo di Network Connectivity Center.

• Il psc_connection_status dell'endpoint è nello stato ACCEPTED. Per informazioni sugli stati di connessione, consulta Stati di connessione.

• Lo stato della connessione propagato dell'endpoint nello spoke contenente la VM è READY. Se non viene visualizzato alcun stato, controlla i motivi nella sezione Non riesci a visualizzare lo stato di alcuni raggi target di questa pagina. Puoi controllare lo stato della connessione propagata utilizzando il comando gcloud network-connectivity hubs query-status:

    gcloud network-connectivity hubs query-status HUB_NAME\
        --filter='psc_propagation_status.source_spoke="SOURCE_SPOKE_NAME" AND psc_propagation_status.target_spoke="TARGET_SPOKE_NAME" AND psc_propagation_status.source_forwarding_rule="ENDPOINT_NAME"
  

  Sostituisci i seguenti valori:

  • HUB_NAME: il nome dell'hub per cui vuoi controllare lo stato di propagazione della connessione
  • SOURCE_SPOKE_NAME: il nome dello spoke di origine
  • TARGET_SPOKE_NAME: il nome dello spoke di destinazione
  • ENDPOINT_NAME: il nome dell'endpoint

  Per informazioni dettagliate su come utilizzare questi flag, consulta la pagina del comando gcloud network-connectivity hubs query-status.

• La rete VPC host dell'endpoint Private Service Connect (sorgente) è uno spoke VPC nell'hub.

• L'indirizzo IP dell'endpoint Private Service Connect è un indirizzo RFC 1918.

Hai esaurito la quota del producer

Se visualizzi il messaggio di errore PRODUCER_QUOTA_EXHAUSTED, puoi chiedere al produttore del servizio di richiedere un aumento della quota PSC_ILB_CONSUMER_FORWARDING_RULES_PER_PRODUCER_NETWORK. Per maggiori dettagli, consulta la sezione Quote per rete della documentazione VPC.

Hai superato il limite di connessioni propagate del producer

Se viene visualizzato un errore relativo al superamento del limite di connessioni propagate di un collegamento al servizio, puoi chiedere al producer del servizio di aumentare il limite. Quando un producer di servizi aggiorna il limite di connessioni propagate, Google Cloud controlla automaticamente se è possibile creare connessioni propagate in attesa.

Lo spazio degli indirizzi IP NAT del producer è esaurito

Se visualizzi il messaggio di errore PRODUCER_NAT_IP_SPACE_EXHAUSTED, significa che potrebbe essere necessario chiedere al produttore del servizio di aggiungere sottoreti NAT. Per informazioni sull'aggiunta di sottoreti, vedi Aggiungere o rimuovere sottoreti da un servizio pubblicato.

Hai esaurito la quota del consumer

Se viene visualizzato un messaggio di errore CONSUMER_QUOTA_EXHAUSTED, contatta il proprietario della rete VPC consumer e richiedi un aumento della quota CONSUMER_QUOTA_EXHAUSTED.PSC_PROPAGATED_CONNECTIONS_PER_VPC_NETWORK

Non riesci a vedere lo stato di alcuni raggi target

Se non vedi lo stato di alcuni raggi target, il motivo potrebbe essere uno dei seguenti:

• Lo spoke di destinazione non è uno spoke VPC. Solo gli spoke VPC, incluse le reti VPC che sono spoke VPC e contengono anche spoke ibridi, possono ricevere connessioni propagate. Uno spoke ibrido in una rete VPC di routing che non è anche uno spoke VPC non può ricevere connessioni propagate.

• Network Connectivity Center mostra solo lo stato di propagazione per ogni spoke VPC. Se una rete VPC è sia uno spoke VPC sia contiene spoke ibride, controlla lo stato di propagazione dello spoke VPC per determinare se gli spoke ibride contenuti hanno connettività agli endpoint Private Service Connect propagati.

• Se una rete VPC è sia la rete VPC del producer di Private Service Connect sia uno spoke VPC su un hub che propaga i propri endpoint, Network Connectivity Center non propaga i propri endpoint alla rete VPC del producer stessa.

• La propagazione non è consentita dalla topologia dell'hub. Ad esempio, se l'hub è configurato per utilizzare la topologia a stella, sono vere anche le seguenti condizioni:

  • Gli endpoint di Private Service Connect nel gruppo centrale vengono propagati a tutti gli altri spoke VPC.
  • Gli endpoint Private Service Connect nel gruppo perimetrale vengono propagati solo agli spoke VPC nel gruppo centrale.

Risolvere i problemi relativi allo scambio di route degli spoke VPC

Gli spoke VPC e gli spoke ibridi sono collegati allo stesso hub, ma manca la connettività del piano dati

Se gli spoke VPC e gli spoke ibridi sono collegati allo stesso hub, ma manca la connettività del piano dati, il motivo potrebbe essere uno dei seguenti:

• Lo spoke è un spoke tra progetti e l'amministratore dell'hub non ha accettato la proposta dello spoke.
• Tutte le subnet nella rete VPC vengono filtrate ed escluse dalla connettività.
• La propagazione automatica delle subnet VPC non è abilitata o l'annuncio di route personalizzate non è configurato.
• La quota delle route dinamiche è stata esaurita.

La tabella delle route dell'hub non mostra alcune route dinamiche o mostra route dinamiche spurie

La tabella delle route dell'hub potrebbe non mostrare correttamente le route dinamiche per uno dei seguenti motivi:

• Le route BGP sono state annunciate o ritirate negli ultimi cinque-dieci minuti e la tabella delle route dell'hub non è ancora aggiornata.
• La quota delle route dinamiche è stata esaurita.

La creazione di uno spoke ibrido non riesce

Se la creazione di un raggio ibrida non va a buon fine, il motivo potrebbe essere uno dei seguenti:

• La rete VPC di routing potrebbe essere uno spoke VPC esistente collegato allo stesso hub o a un hub diverso.
• La rete VPC di routing potrebbe essere associata implicitamente a un hub diverso a causa di uno spoke ibrido esistente connesso a quell'hub. Gli attacchi ibridi da una rete VPC possono diventare spoke di un solo hub.

La creazione dello spoke VPC non riesce

La creazione dello spoke VPC potrebbe non riuscire se lo spoke VPC è associato implicitamente a un hub come rete VPC di routing.

Messaggio di errore

Se provi a creare un raggio e ricevi un messaggio di errore che indica An internal error occurred, per risolvere il problema, contatta l'Google Cloud assistenza.