Network Connectivity Center、ハイブリッド スポーク、VPC スポーク、Private Service Connect 接続の伝播の使用中に問題が発生した場合に役立つトラブルシューティングの手順について説明します。
既知の制限事項については、概要ページの考慮事項をご覧ください。
コマンド構文に関する一般的な問題
スポークを更新するときに、スポークが存在するロケーションを指定する必要があります。
リソースをスポークに接続する
スポークを作成してリソースを接続するための要件、推奨事項、考慮事項については、スポークの作成をご覧ください。
ルートがリージョン間で分散されない
ルートがリージョン間で正しく分散されていない場合は、VPC ネットワークの動的ルーティング モードが global に設定されていることを確認します。
データ転送トラフィックが 2 つの Google Cloud 以外のネットワーク間で流れない
このコンテキストにおける Google Cloud 以外のネットワークとは、オンプレミスのデータセンター、ブランチ オフィス、または別のクラウド プロバイダのネットワークを指します。
2 つのロケーション間でデータ転送トラフィックが流れない場合は、次のリソースが正しく構成され、動作していることを確認します。
- スポークとして追加される HA VPN トンネルまたは VLAN アタッチメントの機能を確認します。
- 2 つのロケーション間にプログラムされたルートを確認します。
- スポーク リソースの ASN 要件で説明されているように、ASN を割り当てる必要があります。
- 各スポークのサイト間データ転送のフィールドが
trueに設定されていることを確認します。
BGP セッションからのルート アドバタイズの重複
重複するルート アドバタイズ(データ転送に参加している BGP セッションからのものと、データ転送に参加していないセッションからのもの)がある場合、ネクストホップが明示的にデータ転送に参加していなくても、データ転送トラフィックで ECMP を使用して利用可能なすべてのネクストホップにトラフィックを分散することがあります。
サポートされていないロケーション(Google Cloud 以外のネットワーク)への Interconnect 接続
冗長な Interconnect 接続の 1 つがサポートされていないロケーションの場合にルート アドバタイズを構成する方法の例については、Network Connectivity Center の最適なルート アドバタイズをご覧ください。
接続テストによるネットワーク接続のトラブルシューティング
接続テストは、ネットワーク内のエンドポイント間の接続を確認できる診断ツールです。構成を分析し、場合によってはランタイム検証を行います。
ネットワーク構成を分析するため、接続テストでは、Virtual Private Cloud(VPC)ネットワーク、Cloud VPN トンネル、VLAN アタッチメント、またはルーター アプライアンス インスタンスを通過するパケットの想定転送パスをシミュレートします。
接続テストの構成分析を使用すると、次のネットワーク間の到達可能性を評価できます。
- Network Connectivity Center 経由で接続された 2 つの Google Cloud 以外のネットワーク。このコンテキストにおける Google Cloud 以外のネットワークとは、通常、オンプレミスのデータセンター、ブランチ オフィス、または別のクラウド プロバイダのネットワークです。
- Network Connectivity Center ハブ経由で接続された 2 つの VPC ネットワーク。
接続テストはオンプレミス ネットワークの構成にアクセスしないため、オンプレミス ルーターでルートとファイアウォール ルールの構成を確認できません。したがって、オンプレミス ネットワークから VPC ネットワークへのトラフィックは、常に接続テスト構成分析によって有効とみなされ、Google Cloud 内の構成のみが検証されます。
Network Connectivity Center を介して接続された 2 つのオンプレミス ネットワーク間で接続テストを行うには、接続テストの実施をご覧ください。
詳細については、接続テストの概要をご覧ください。
ハイブリッド スポークのトラブルシューティング
次の問題は、Router アプライアンス、VLAN アタッチメント、VPN スポークで発生する可能性があります。
構成されたハブ サブネットがオンプレミス ネットワークにアドバタイズされない
構成されたハブ サブネットがオンプレミス ネットワーク(プレビュー)にアドバタイズされていない場合は、ハイブリッド スポークのグループのハブ ルート テーブルで次の問題を確認します。
サブネットがハブ ルート テーブルに表示されている場合は、次の操作を行います。
BGP ルートポリシーで、アドバタイズするサブネットがドロップされていないことを確認します。
根本的な問題を診断するには、Google Cloud サポートにお問い合わせください。
サブネットがハブ ルート テーブルにない場合は、次の操作を行います。
- サブネットの VPC スポークで、エクスポートの包含と除外の IP アドレス範囲を確認します。サブネットが include-export 範囲または exclude-export 範囲でフィルタされている場合は、VPC スポークを更新できます。
Router アプライアンスのトラブルシューティング
次の問題と解決策は Router アプライアンスに固有のものです。
ルーター アプライアンスの問題を解決する場合、以降のセクションの説明だけでなく、Cloud Router のトラブルシューティングのドキュメントも役立ちます。
詳しくは以下をご覧ください。
- BGP セッションのトラブルシューティング
- BGP ピアリングのトラブルシューティング
- BGP ルートとルート選択のトラブルシューティング
- Cloud Router ログ メッセージのトラブルシューティング
BGP セッションを確立できない
Cloud Router と Router アプライアンスの間で BGP セッションを確立できない場合は、次の問題を確認します。
- ルーター アプライアンス インスタンスとして機能する VM が、Network Connectivity Center でスポークの一部として構成されていることを確認します。スポークの一部としてルーター アプライアンス インスタンスを構成する方法については、スポークの操作をご覧ください。
- ファイアウォールの設定を確認して、TCP ポート
179が許可されていることを確認します。Router アプライアンスのファイアウォールを構成する方法については、Router アプライアンス インスタンスの作成をご覧ください。 - Cloud Router と Router アプライアンス インスタンスがリンクローカル アドレス(
169.254.x.x)を使用して互いにピアリングしていないことを確認します。詳しくは、IP アドレスの割り振りに関する推奨事項をご覧ください。 - Cloud Router が Router アプライアンス インスタンスと 2 つの異なる BGP セッションを確立していることを確認します(1 つの Cloud Router インターフェースから 1 つずつ)。ルーター アプライアンス インスタンスは、両方の BGP セッションで同じルートをアドバタイズする必要があります。BGP セッションのいずれかが停止し、ルーター アプライアンス VM が Cloud Router との通信を失った場合は、Cloud Router インターフェースの構成を確認します。詳細については、Router アプライアンス インスタンスの作成をご覧ください。
ルーター アプライアンス インスタンスでの BGP セッションの内部 IP アドレスに関する問題
Router アプライアンス インスタンスの IP アドレスの構成に関する問題が見つかった場合は、ルーター アプライアンス インスタンスとして機能する VM と Cloud Router 間の BGP セッションに、RFC 1918 の内部 IP アドレスが設定されていることを確認します。
Router アプライアンス インスタンスは、BGP セッションで 169.254.x.x アドレスを使用しません。代わりに、Cloud Router と同じ VPC サブネットの IP アドレスを使用する必要があります。詳細については、Router アプライアンス インスタンスの作成をご覧ください。
VPC スポークのトラブルシューティング
権限
ハブと異なるプロジェクトでスポークを作成するときに権限が拒否された場合は、ハブに必要な networkconnectivity.groups.use 権限が付与されていることをハブ管理者に確認します。
VPC スポークの作成エラー
VPC スポークの作成に失敗した場合は、次のいずれかの理由が考えられます。
- VPC ネットワークが、VPC ピアリングを使用して既存のスポークとすでにピアリングされている。
- サブネットが既存の VPC スポークと重複している。
- サブネットが既存の VPC スポークのピアと重複している。
- VPC スポークの割り当てを超えた。
- ハブルート テーブルあたりのルート割り当てを超過している。
- 16 個を超えるエクスポート フィルタが指定されている。
- VPC ネットワーク内のサブネットが、指定された 1 つ以上のフィルタを超えている。
割り当て関連のエラーについては、割り当てと上限をご覧ください。
スポーク削除後の VPC スポーク作成エラー
スポークを削除した後、別のハブに接続された同一の VPC ネットワークに対して新しいスポークを作成する前に、10 分以上のクールダウン期間を設ける必要があります。VPC ネットワークが同じハブにスポークとして追加されている場合、このクールダウン期間は必要ありません。
VPC スポークでのサブネット作成の失敗
VPC スポークでサブネットの作成に失敗した場合は、次のいずれかの理由が考えられます。
- 他の VPC スポークまたは VPC スポークのピアに、重複するサブネットが存在する。
- ハブルート テーブルあたりのルート割り当てを超過している。
- VPC ネットワーク内のサブネットが、指定された 1 つ以上のフィルタを超えている。
VPC スポークは作成されているが、データプレーン接続がない
VPC スポークが作成済みとして表示されているにもかかわらず、データプレーンの接続がない場合は、次のいずれかの理由が考えられます。
- スポークがハブとは異なるプロジェクトにあり、ハブ管理者がスポーク プロポーザルを受け入れない。
- VPC ネットワーク内のすべてのサブネットがフィルタリングされ、接続から除外されている。
- 宛先サブネットが、対応する VPC スポーク フィルタによってフィルタリングされている。
ハブ ルート テーブルに VPC スポークの一部のサブネットが表示されない
ハブ ルート テーブルに VPC スポークのサブネットの一部が表示されない場合は、次のいずれかの原因が考えられます。
- サブネットが、エクスポート フィルタを使用してフィルタリングされている。
- サブネットが過去 5 ~ 10 分以内に作成されており、ハブルート テーブルがまだ更新されていない。
1 つのスポークの VM が別のスポークの Private Service Connect 接続にアクセスできない
1 つの VPC スポーク内の VM が別のスポーク内の Private Service Connect エンドポイント(プレビュー版)にアクセスできない場合は、次の問題を確認します。
Private Service Connect 接続が、内部パススルー ネットワーク ロードバランサ Private Service Connect エンドポイントに基づくサービス アタッチメントをターゲットにしていることを確認します。詳細については、エンドポイントを介した公開サービスへのアクセスについてをご覧ください。
プロジェクトの転送ルールに関連付けられたデータを取得するには、
gcloud compute forwarding-rules describeコマンドを使用します。gcloud
gcloud compute forwarding-rules describe FORWARDING_RULE_NAME \ --region=REGION_ID --project=PROJECT_ID --format='get(target)'
次の値を置き換えます。
FORWARDING_RULE_NAME: 転送ルールの名前REGION_ID: リージョン IDPROJECT_ID: ルールが存在するプロジェクト ID
ハブで
--export_pscフィールドが有効になっていることを確認します。ハブで
--export_pscフィールドが有効になっているかどうかを確認するには、gcloud network-connectivity hubs describeコマンドを使用します。gcloud
gcloud network-connectivity hubs describe HUB_NAME \ --project=PROJECT_ID --format='get(export_psc)'
次の値を置き換えます。
HUB_NAME: ハブの名前PROJECT_ID: ハブが存在するプロジェクト ID
Private Service Connect エンドポイントのアドレスが、ホスト スポークのエクスポート除外範囲にないことを確認します。エクスポートの除外範囲内にある Private Service Connect エンドポイントは伝播されません。
スポークの指定された除外エクスポート範囲を確認するには、
gcloud network-connectivity spokes describeコマンドを使用します。gcloud
gcloud network-connectivity spokes describe SPOKE_NAME \ --global \ --project=PROJECT_ID \ --format='get(linked_vpc_network.exclude_export_ranges)'
次の値を置き換えます。
SPOKE_NAME: スポークの名前PROJECT_ID: スポークが存在するプロジェクト ID
Network Connectivity Center の使用量の割り当てを超えていないことを確認します。
VPC スポーク ルート交換のトラブルシューティング
VPC スポークとハイブリッド スポークが同じハブに接続されているが、データプレーン接続がない
VPC スポークとハイブリッド スポークが同じハブに接続されていてもデータプレーン接続がない場合は、次のいずれかの理由が考えられます。
- スポークがプロジェクト間のスポークであり、ハブ管理者がスポークの提案を承認していない。
- VPC ネットワーク内のすべてのサブネットがフィルタされ、接続から除外されている。
- VPC サブネットの自動伝播が有効になっていないか、カスタムルートのアドバタイズが設定されていません。
- 動的ルートの割り当てが使い果たされています。
ハブ ルート テーブルに一部の動的ルートがないか、誤った動的ルートが表示される
次のいずれかの理由により、ハブ ルート テーブルに動的ルートが正しく表示されない場合があります。
- BGP ルートが過去 5 ~ 10 分以内にアドバタイズまたは取り消されており、ハブ ルート テーブルがまだ更新されていません。
- 動的ルートの割り当てが使い果たされています。
ハイブリッド スポークの作成に失敗する
ハイブリッド スポークの作成に失敗した場合は、次のいずれかの理由が考えられます。
- ルーティング VPC ネットワークは、同じハブまたは別のハブへの既存の VPC スポークです。
- ルーティング VPC ネットワークは、そのハブに接続されている既存のハイブリッド スポークが原因で、別のハブに暗黙的に関連付けられている場合があります。VPC ネットワークからのハイブリッド アタッチメントは、1 つのハブへのスポークにしかなりません。
VPC スポークの作成が失敗する
VPC スポークがルーティング VPC ネットワークとしてハブに暗黙的に関連付けられている場合、VPC スポークの作成が失敗することがあります。
エラー メッセージ
スポークの作成中に An
internal error occurred というエラー メッセージが表示された場合は、問題のトラブルシューティングを行うため、Google Cloud サポートにお問い合わせください。