Network Connectivity Center のトラブルシューティング

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

Network Connectivity Center、ハイブリッド スポーク、VPC スポーク、Private Service Connect 接続の伝播の使用中に問題が発生した場合に役立つトラブルシューティングの手順について説明します。

既知の問題については、概要ページの考慮事項をご覧ください。

コマンド構文に関する一般的な問題

スポークを更新するときに、スポークが存在するロケーションを指定する必要があります。

リソースをスポークに接続する

スポークを作成してリソースを接続するための要件、推奨事項、考慮事項については、スポークの作成をご覧ください。

ルートがリージョン間で分散されない

ルートがリージョン間で正しく分散されていない場合は、VPC ネットワークの動的ルーティング モードが global に設定されていることを確認します。

データ転送トラフィックがGoogle Cloud 以外の 2 つのネットワーク間で流れない

このコンテキストにおけるGoogle Cloud 以外のネットワークとは、オンプレミスのデータセンター、ブランチ オフィス、または別のクラウド プロバイダのネットワークを指します。

2 つのロケーション間でデータ転送トラフィックが流れない場合は、次のリソースが正しく構成され、動作していることを確認します。

• スポークとして追加される HA VPN トンネルまたは VLAN アタッチメントの機能を確認します。
• 2 つのロケーション間にプログラムされたルートを確認します。
• スポーク リソースの ASN 要件で説明されているように、ASN を割り当てる必要があります。
• 各スポークのサイト間データ転送のフィールドが true に設定されていることを確認します。

BGP セッションからのルート アドバタイズの重複

重複するルート アドバタイズ（データ転送に参加している BGP セッションからのものと、データ転送に参加していないセッションからのもの）がある場合、ネクストホップが明示的にデータ転送に参加していなくても、データ転送トラフィックで ECMP を使用して利用可能なすべてのネクストホップにトラフィックを分散することがあります。

サポートされていないロケーション（Google Cloud 以外のネットワーク）への Interconnect 接続

冗長な Interconnect 接続の 1 つがサポートされていないロケーションの場合にルート アドバタイズを構成する方法の例については、Network Connectivity Center の最適なルート アドバタイズをご覧ください。

接続テストによるネットワーク接続のトラブルシューティング

接続テストは、ネットワーク内のエンドポイント間の接続を確認できる診断ツールです。構成を分析し、場合によってはランタイム検証を行います。

ネットワーク構成を分析するため、接続テストでは、Virtual Private Cloud（VPC）ネットワーク、Cloud VPN トンネル、VLAN アタッチメント、またはルーター アプライアンス インスタンスを通過するパケットの想定転送パスをシミュレートします。

接続テストの構成分析を使用すると、次のネットワーク間の到達可能性を評価できます。

• Network Connectivity Center 経由で接続された Google Cloud 以外の 2 つのネットワーク。このコンテキストにおけるGoogle Cloud 以外のネットワークとは、通常、オンプレミスのデータセンター、ブランチ オフィス、または別のクラウド プロバイダのネットワークです。
• Network Connectivity Center ハブ経由で接続された 2 つの VPC ネットワーク。

接続テストはオンプレミス ネットワークの構成にアクセスしないため、オンプレミス ルーターでルートとファイアウォール ルールの構成を確認できません。したがって、オンプレミス ネットワークから VPC ネットワークへのトラフィックは、常に接続テスト構成分析によって有効とみなされ、 Google Cloud 内の構成のみが検証されます。

Network Connectivity Center を介して接続された 2 つのオンプレミス ネットワーク間で接続テストを行うには、接続テストの実施をご覧ください。

詳細については、接続テストの概要をご覧ください。

ハイブリッド スポークのトラブルシューティング

次の問題は、ルーター アプライアンス、VLAN アタッチメント、VPN スポークで発生する可能性があります。

構成されたハブサブネットがオンプレミス ネットワークにアドバタイズされない

構成されたハブサブネットがオンプレミス ネットワーク（プレビュー）にアドバタイズされていない場合は、ハイブリッド スポークのグループのハブ ルート テーブルで次の問題を確認します。

• サブネットがハブ ルート テーブルに表示されている場合は、次の操作を行います。

  • BGP ルートポリシーで、アドバタイズするサブネットがドロップされていないことを確認します。

  • 根本的な問題を診断するには、Google Cloud サポートにお問い合わせください。

• サブネットがハブ ルート テーブルにない場合は、次の操作を行います。

  • サブネットの VPC スポークで、include-export と exclude-export の IP アドレス範囲を確認します。サブネットが include-export 範囲または exclude-export 範囲でフィルタされている場合は、VPC スポークを更新できます。

ルーター アプライアンスのトラブルシューティング

次の問題と解決策はルーター アプライアンスに固有のものです。

ルーター アプライアンスの問題を解決する場合、以降のセクションの説明だけでなく、Cloud Router のトラブルシューティングのドキュメントも役立ちます。

詳しくは以下をご覧ください。

• BGP セッションのトラブルシューティング
• BGP ピアリングのトラブルシューティング
• BGP ルートとルート選択のトラブルシューティング
• Cloud Router ログ メッセージのトラブルシューティング

BGP セッションを確立できない

Cloud Router と Router アプライアンスの間で BGP セッションを確立できない場合は、次の問題を確認します。

• ルーター アプライアンス インスタンスとして機能する VM が、Network Connectivity Center でスポークの一部として構成されていることを確認します。スポークの一部としてルーター アプライアンス インスタンスを構成する方法については、スポークの操作をご覧ください。
• ファイアウォールの設定を確認して、TCP ポート 179 が許可されていることを確認します。Router アプライアンスのファイアウォールを構成する方法については、Router アプライアンス インスタンスの作成をご覧ください。
• Cloud Router と Router アプライアンス インスタンスがリンクローカル アドレス（169.254.x.x）を使用して互いにピアリングしていないことを確認します。詳しくは、IP アドレスの割り振りに関する推奨事項をご覧ください。
• Cloud Router が Router アプライアンス インスタンスと 2 つの異なる BGP セッションを確立していることを確認します（1 つの Cloud Router インターフェースから 1 つずつ）。ルーター アプライアンス インスタンスは、両方の BGP セッションで同じルートをアドバタイズする必要があります。BGP セッションのいずれかが停止し、ルーター アプライアンス VM が Cloud Router との通信を失った場合は、Cloud Router インターフェースの構成を確認します。詳細については、ルーター アプライアンス インスタンスを作成するをご覧ください。

ルーター アプライアンス インスタンスでの BGP セッションの内部 IP アドレスに関する問題

Router アプライアンス インスタンスの IP アドレスの構成に関する問題が見つかった場合は、ルーター アプライアンス インスタンスとして機能する VM と Cloud Router 間の BGP セッションに、RFC 1918 の内部 IP アドレスが設定されていることを確認します。

Router アプライアンス インスタンスは、BGP セッションで 169.254.x.x アドレスを使用しません。代わりに、Cloud Router と同じ VPC サブネットの IP アドレスを使用する必要があります。詳細については、Router アプライアンス インスタンスの作成をご覧ください。

VPC スポークのトラブルシューティング

権限

ハブと異なるプロジェクトでスポークを作成するときに権限が拒否された場合は、ハブに必要な networkconnectivity.groups.use 権限が付与されていることをハブ管理者に確認します。

VPC スポークの作成エラー

VPC スポークの作成に失敗した場合は、次のいずれかの理由が考えられます。

• VPC ネットワークが、VPC ピアリングを使用して既存のスポークとすでにピアリングされている。
• サブネットが既存の VPC スポークと重複している。
• サブネットが既存の VPC スポークのピアと重複している。
• VPC スポークの割り当てを超えた。
• ハブ ルート テーブルあたりのルート割り当てを超過した。
• 16 個を超えるエクスポート フィルタが指定されている。
• VPC ネットワーク内のサブネットが、指定された 1 つ以上のフィルタを超えている。

割り当て関連のエラーについては、割り当てと上限をご覧ください。

スポーク削除後の VPC スポーク作成エラー

スポークを削除した後、別のハブに接続された同一の VPC ネットワークに対して新しいスポークを作成するには、10 分以上のクールダウン期間を設ける必要があります。VPC ネットワークが同じハブにスポークとして追加されている場合、このクールダウン期間は必要ありません。

VPC スポークでのサブネット作成の失敗

VPC スポークでサブネットの作成に失敗した場合は、次のいずれかの理由が考えられます。

• 他の VPC スポークまたは VPC スポークのピアに、重複するサブネットが存在する。
• ハブ ルート テーブルあたりのルート割り当てを超過した。
• VPC ネットワーク内のサブネットが、指定された 1 つ以上のフィルタを超えている。

VPC スポークは作成されているが、データプレーン接続がない

VPC スポークが作成済みとして表示されているにもかかわらず、データプレーンの接続がない場合は、次のいずれかの理由が考えられます。

• スポークがハブと異なるプロジェクトにあり、ハブ管理者がスポークの提案を承認していない。
• VPC ネットワーク内のすべてのサブネットがフィルタされ、接続から除外されている。
• 宛先サブネットが、対応する VPC スポーク フィルタによってフィルタされている。

ハブ ルート テーブルに VPC スポークの一部のサブネットが表示されない

ハブ ルート テーブルに VPC スポークのサブネットの一部が表示されない場合は、次のいずれかの原因が考えられます。

• サブネットが、エクスポート フィルタでフィルタされている。
• サブネットが直前の 5～10 分以内に作成されており、ハブ ルート テーブルがまだ更新されていない。

Private Service Connect 接続の伝播エラーのトラブルシューティング

問題を調べる前に、次のページをよくお読みください。

• Network Connectivity Center を介した Private Service Connect 接続の伝播
• ハブを構成する

1 つのスポークの VM が別のスポークの Private Service Connect 接続にアクセスできない

1 つの VPC スポーク内の VM が別のスポーク内の Private Service Connect エンドポイントにアクセスできない場合は、次の条件を満たしていることを確認します。

• ハブで --export_psc フィールドが有効になっている。

  ハブで --export_psc フィールドが有効になっているかどうかを確認するには、gcloud network-connectivity hubs describe コマンドを使用します。

  gcloud

  gcloud network-connectivity hubs describe HUB_NAME \
      --project=PROJECT_ID \
      --format='get(export_psc)'
  

  次の値を置き換えます。

  • HUB_NAME: ハブの名前
  • PROJECT_ID: ハブが存在するプロジェクト ID

• Private Service Connect エンドポイントの IP アドレスが、ホストスポークのエクスポート除外範囲にない。エクスポートの除外範囲内にある Private Service Connect エンドポイントは伝播されません。

  スポークに指定されたエクスポートの除外範囲を確認するには、gcloud network-connectivity spokes describe コマンドを使用します。

  gcloud

  gcloud network-connectivity spokes describe SPOKE_NAME \
      --global \
      --project=PROJECT_ID \
      --format='get(linked_vpc_network.exclude_export_ranges)'
  

  次の値を置き換えます。

  • SPOKE_NAME: スポークの名前
  • PROJECT_ID: スポークが存在するプロジェクト ID

• Network Connectivity Center の使用量の割り当てを超えていない。

• エンドポイントの psc_connection_status は ACCEPTED 状態です。接続ステータスの詳細については、接続ステータスをご覧ください。

• VM を含むスポークのエンドポイントの伝播接続ステータスは READY です。ステータスが表示されない場合は、このページの一部のターゲット スポークのステータスが表示されないで理由を確認してください。伝播された接続ステータスを確認するには、gcloud network-connectivity hubs query-status コマンドを使用します。

    gcloud network-connectivity hubs query-status HUB_NAME\
        --filter='psc_propagation_status.source_spoke="SOURCE_SPOKE_NAME" AND psc_propagation_status.target_spoke="TARGET_SPOKE_NAME" AND psc_propagation_status.source_forwarding_rule="ENDPOINT_NAME"
  

  次の値を置き換えます。

  • HUB_NAME: 接続伝播ステータスを確認するハブの名前
  • SOURCE_SPOKE_NAME: ソーススポークの名前
  • TARGET_SPOKE_NAME: ターゲット スポークの名前
  • ENDPOINT_NAME: エンドポイントの名前

  これらのフラグの詳しい使用方法については、gcloud network-connectivity hubs query-status コマンドのページをご覧ください。

• Private Service Connect エンドポイント（ソース）のホスト VPC ネットワークは、ハブ内の VPC スポークです。

• Private Service Connect エンドポイントの IP アドレスは RFC 1918 アドレスです。

プロデューサーの割り当てを使い切った

「PRODUCER_QUOTA_EXHAUSTED」というエラー メッセージが表示された場合は、サービス プロデューサーに PSC_ILB_CONSUMER_FORWARDING_RULES_PER_PRODUCER_NETWORK 割り当ての増加をリクエストするよう依頼できます。詳細については、VPC ドキュメントのネットワークあたりの割り当てをご覧ください。

プロデューサーの伝播接続の上限を超えた

サービス アタッチメントの伝播接続の上限を超えたというエラーが表示された場合は、サービス プロデューサーに上限の引き上げを依頼できます。サービス プロデューサーが伝播接続の上限を更新すると、 Google Cloud は保留中の伝播接続を作成できるかどうかを自動的に確認します。

プロデューサーの NAT IP アドレス空間を使い切った

「PRODUCER_NAT_IP_SPACE_EXHAUSTED」というエラー メッセージが表示された場合は、NAT サブネットの追加をサービス プロデューサーに依頼する必要があります。サブネットの追加については、公開サービスに対してサブネットの追加または削除を行うをご覧ください。

コンシューマーの割り当てを使い切った

「CONSUMER_QUOTA_EXHAUSTED」というエラー メッセージが表示された場合は、コンシューマー VPC ネットワークのオーナーに、PSC_PROPAGATED_CONNECTIONS_PER_VPC_NETWORK 割り当ての増加をリクエストします。

一部のターゲット スポークのステータスを確認できない

一部のターゲット スポークのステータスが表示されない場合は、次のいずれかの理由が考えられます。

• ターゲット スポークが VPC スポークではない。伝播された接続を受信できるのは、VPC スポークである VPC ネットワーク（ハイブリッド スポークを含む）のみです。VPC スポークでもないルーティング VPC ネットワーク内のハイブリッド スポークは、伝播された接続を受信できません。

• Network Connectivity Center には、各 VPC スポークの伝播ステータスのみが表示されます。VPC ネットワークが VPC スポークであり、ハイブリッド スポークを含む場合は、VPC スポークの伝播ステータスを確認し、含まれているハイブリッド スポークが、伝播された Private Service Connect エンドポイントに接続しているかどうかを確認します。

• VPC ネットワークが Private Service Connect プロデューサー VPC ネットワークと、エンドポイントを伝播するハブ上の VPC スポークの両方である場合、Network Connectivity Center はエンドポイントをプロデューサー VPC ネットワーク自体に伝播しません。

• ハブのトポロジによって伝播が禁止されている。たとえば、ハブがスタートポロジを使用するように構成されている場合、次のことが行われます。

  • センター グループ内の Private Service Connect エンドポイントは、他のすべての VPC スポークに伝播されます。
  • エッジグループの Private Service Connect エンドポイントは、センター グループの VPC スポークにのみ伝播されます。

VPC スポークのルート交換のトラブルシューティング

VPC スポークとハイブリッド スポークが同じハブに接続されているが、データプレーン接続がない

VPC スポークとハイブリッド スポークが同じハブに接続されていてもデータプレーン接続がない場合は、次のいずれかの理由が考えられます。

• スポークがプロジェクト間のスポークであり、ハブ管理者がスポークの提案を承認していない。
• VPC ネットワーク内のすべてのサブネットがフィルタされ、接続から除外されている。
• VPC サブネットの自動伝播が有効になっていないか、カスタムルートのアドバタイズが設定されていない。
• 動的ルートの割り当てが使い果たされている。

ハブ ルート テーブルに一部の動的ルートがないか、誤った動的ルートが表示される

次のいずれかの理由により、ハブ ルート テーブルに動的ルートが正しく表示されない場合があります。

• BGP ルートが直近の 5～10 分以内にアドバタイズまたは取り消されており、ハブ ルート テーブルがまだ更新されてない。
• 動的ルートの割り当てが使い果たされている。

ハイブリッド スポークの作成に失敗する

ハイブリッド スポークの作成に失敗した場合は、次のいずれかの理由が考えられます。

• ルーティング VPC ネットワークが、同じハブまたは別のハブへの既存の VPC スポークになっている。
• ルーティング VPC ネットワークが、そのハブに接続されている既存のハイブリッド スポークが原因で、別のハブに暗黙的に関連付けられている。VPC ネットワークからのハイブリッド アタッチメントは、1 つのハブへのスポークにしかなりません。

VPC スポークの作成が失敗する

VPC スポークがルーティング VPC ネットワークとしてハブに暗黙的に関連付けられている場合、VPC スポークの作成が失敗することがあります。

エラー メッセージ

スポークの作成中に「An internal error occurred」というエラー メッセージが表示された場合は、問題のトラブルシューティングを行うため、Google Cloud サポートにお問い合わせください。