排解 Network Connectivity Center 問題

瞭解實用的疑難排解步驟，解決您在使用 Network Connectivity Center、混合式輪輻、虛擬私有雲輪輻、NCC Gateway 輪輻或 Private Service Connect 連線傳播功能時遇到的問題。

如要瞭解已知的限制，請參閱總覽頁面中的 Network Connectivity Center 注意事項。

指令語法常見問題

更新輻條時，您必須指定輻條所在的位置。

將資源連結至輪輻

如要進一步瞭解建立輻條及附加資源的詳細規定、建議和注意事項，請參閱「使用輻條」一文。

路徑未在區域間分發

如果路徑未在各區域間正確分配，請確認 VPC 網路的動態路徑模式已設為 global。

資料傳輸流量不會在兩個非Google Cloud 網路之間流動

在本主題中，非Google Cloud 網路是指地端部署資料中心、分公司或其他雲端服務供應商的網路。

如果兩個位置之間沒有資料傳輸流量，請確認下列資源已正確設定且運作正常：

• 驗證高可用性 VPN 通道或VLAN 連結的功能，這些通道或連結會新增為輻條。
• 驗證兩個地點之間設定的路線。
• 確認已依照「網站對網站資料移轉的 ASN 需求」所述設定 ASN 指派。
• 確認每個輻條的網站對網站資料傳輸欄位都設為 true。

來自 BGP 工作階段的重複路徑廣告

如果有重複的路由廣告，有些來自參與資料傳輸的 BGP 工作階段，有些則來自不參與資料傳輸的工作階段，那麼資料傳輸流量可能會使用 ECMP 將流量分派至所有可用的下個躍點，即使這些下個躍點並未明確參與資料傳輸也一樣。

連線至不支援的位置 (非Google Cloud 網路)

如要瞭解如何在其中一個備援互連網路連線位於不支援的位置時，設定路由廣告，請參閱「設定外部路由器，避免位於不支援的位置」。

使用連線能力測試排解網路連線問題

連線測試是一種診斷工具，可讓您檢查網路端點之間的連線。系統會分析您的設定，並在某些情況下執行執行階段驗證。

為了分析網路設定，連線能力測試會模擬封包預期的轉送路徑，透過虛擬私有雲 (VPC) 網路、Cloud VPN 通道、VLAN 連結或

您可以使用連線能力測試設定分析，評估下列網路的可及性：

• 從非Google Cloud 網路連線至透過 Network Connectivity Center 連線的虛擬私有雲網路。在這個情況下，非Google Cloud 網路通常是指地端部署資料中心、分公司或其他雲端服務供應商的網路。
• 透過 Network Connectivity Center 中樞測試 VM 執行個體之間的連線能力

由於 Connectivity Tests 無法存取內部部署網路設定，因此無法驗證內部部署路由器上的路徑和防火牆規則設定。因此，連線測試設定分析一律會將從內部部署網路傳送至虛擬私有雲網路的流量視為有效，且只會驗證 Google Cloud 中的設定。

如要透過 Network Connectivity Center 連線的兩個內部網路之間執行連線測試，請參閱「從非Google Cloud 網路測試非Google Cloud 網路」。

詳情請參閱「連線能力測試總覽」。

排解混合式輪輻問題

路由器設備、VLAN 連結和 VPN 輪輻可能會發生下列問題。

已設定的中樞子網路未通報至內部部署網路

如果設定的中樞子網路未通告至內部部署網路 (Preview)，請檢查混合式輪輻群組的中樞路徑表，確認是否有以下問題：

• 如果子網路顯示在中樞路徑表中，請執行下列操作：

  • 請確認 BGP 路由政策並未捨棄要宣傳的子網路。

  • 請與Google Cloud 支援團隊聯絡，診斷潛在問題。

• 如果子網路不在中樞路由表中，請執行下列操作：

  • 請檢查子網路的 VPC 輪輻上是否有納入匯出和排除匯出 IP 位址範圍。如果子網路是根據包含匯出範圍或排除匯出範圍篩選，您可以更新 VPC 輪輻。

排解路由器設備問題

以下問題和解決方案僅適用於 Router 應用程式。

解決 Cloud Router 問題的說明文件也適用於 Router 應用程式，以及下列各節中所述的問題。

如要瞭解詳情，請參考下列資源：

• 排解 BGP 工作階段問題
• 排解 BGP 對等點問題
• 排解 BGP 路徑和路徑選取問題
• 排解 Cloud Router 記錄訊息問題

無法建立 BGP 工作階段

如果 Cloud Router 和路由器裝置之間的 BGP 工作階段無法建立，請檢查以下問題：

• 請確認做為路由器設備執行個體的 VM 已在 Network Connectivity Center 中設為輪輻的一部分。如要將路由器裝置執行個體設為輻射狀態，請參閱輻射狀態。
• 檢查防火牆設定，確認已允許 TCP 通訊埠 179。如要設定路由器設備的防火牆設定，請參閱「建立路由器設備執行個體」。
• 請確認 Cloud Router 和路由器裝置執行個體都沒有使用連結本機位址 (即 169.254.x.x) 來彼此配對。如需相關指南，請參閱「IP 位址和路由器裝置執行個體」。
• 請確認 Cloud Router 已與路由器裝置例項建立兩個獨立的 BGP 工作階段，每個 Cloud Router 介面各一個。路由器設備例項必須在兩個 BGP 工作階段中宣告相同的路徑。如果其中一個 BGP 工作階段中斷，且路由器機器 VM 無法與 Cloud Router 通訊，請檢查 Cloud Router 介面的設定。詳情請參閱「建立路由器裝置執行個體」。

路由器設備執行個體 BGP 工作階段的內部 IP 位址問題

如果您發現路由器裝置執行個體的 IP 位址設定相關問題，請確認您已為 Cloud Router 和充當路由器裝置執行個體的 VM 之間的 BGP 工作階段，設定 RFC 1918 內部 IP 位址。

路由器設備執行個體不會使用 169.254.x.x 位址進行 BGP 工作階段。而是必須使用與 Cloud Router 相同 VPC 子網路中的 IP 位址。詳情請參閱「建立路由器裝置執行個體」。

排解虛擬私有雲輪輻問題

權限

如果在中心以外的專案中建立輻射項目時遭拒，請向中心管理員確認您是否已獲得中心的必要 networkconnectivity.groups.use 權限。

虛擬私有雲輪輻建立失敗

如果您無法建立 VPC 輻，可能是下列其中一個原因：

• 虛擬私有雲網路已透過虛擬私有雲對等互連功能，與一或多個現有輪輻建立對等關係。
• 子網路與現有的虛擬私有雲輪輻重疊。
• 子網路與現有 VPC 輪輻的對等項目重疊。
• 您已超過 VPC 輻射狀節點配額。
• 您已超過每個樞紐路徑表的路徑配額。
• 指定的匯出篩選器超過 16 個。
• 虛擬私有雲網路中的子網路比指定的一或多個篩選器還要大。

如需瞭解配額相關錯誤，請參閱「配額與限制」。

刪除輪輻後，無法建立虛擬私有雲輪輻

刪除輻射狀結構後，您必須等待至少 10 分鐘的冷卻期，才能為連結至不同中樞的相同 VPC 網路建立新的輻射狀結構。如果虛擬私有雲網路是新增為同一個中樞的輪輻，就不需要這段冷卻期。

在虛擬私有雲輪輻中建立子網路失敗

如果在 VPC 輪輻中遇到子網路建立失敗問題，可能是下列其中一個原因：

• 其他虛擬私有雲輪輻或虛擬私有雲輪輻的對等網路中，有重疊的子網路。
• 您已超過每個樞紐路徑表的路徑配額。
• 虛擬私有雲網路中的子網路比指定的一或多個篩選器還要大。

建立虛擬私有雲輪輻，但缺少資料層連線

如果虛擬私有雲輪輻顯示已建立，但資料平面連線功能缺少，可能是下列其中一個原因：

• 輻條位於中樞專案之外，且中樞管理員未接受輻條提案。
• 虛擬私有雲網路中的所有子網路都會篩除並排除在連線範圍之外。
• 目的地子網路會根據對應的 VPC 輻條篩選器進行篩選。

中樞路由表未顯示 VPC 輻射點中的部分子網路

如果中樞路由表未顯示 VPC 輻射線中的部分子網路，可能是下列原因造成：

• 使用匯出篩選器篩選子網路。
• 子網路是在過去 5 到 10 分鐘內建立，而中樞路徑表尚未重新整理。

虛擬私有雲輪輻更新失敗

請確認輪輻更新符合所有 Network Connectivity Center 配額和限制；否則，輪輻更新會失敗。

如果虛擬私有雲輪輻或供應商虛擬私有雲輪輻位於不同的專案中 (不含包含中樞的專案)，且中樞管理員未啟用輪輻專案的自動接受提案功能，則中樞管理員必須接受或拒絕提案更新。如要進一步瞭解如何查看輻射狀態更新提案的狀態，請參閱「查看 VPC 輻射狀態」。

排解 Private Service Connect 連線傳播錯誤

請先熟讀下列頁面內容後，再研究問題。

• 透過 Network Connectivity Center 傳播 Private Service Connect 連線
• 設定中樞

一個輪輻中的 VM 無法存取另一個輪輻中的 Private Service Connect 連線

如果某個 VPC 輪輻中的 VM 無法存取另一個輪輻中的 Private Service Connect 端點，請確認符合下列條件：

• 在中心啟用 --export_psc 欄位。

  如要查看中心是否已啟用 --export_psc 欄位，請使用 gcloud network-connectivity hubs describe 指令。

  gcloud

  gcloud network-connectivity hubs describe HUB_NAME \
      --project=PROJECT_ID \
      --format='get(export_psc)'
  

  替換下列值：

  • HUB_NAME：中樞名稱
  • PROJECT_ID：中樞所在的專案 ID

• Private Service Connect 端點的 IP 位址不在主機代管 Spoke 的任何匯出排除範圍中。位於匯出排除範圍內的 Private Service Connect 端點不會傳播。

  如要檢查指定的輻條排除匯出範圍，請使用 gcloud network-connectivity spokes describe 指令。

  gcloud

  gcloud network-connectivity spokes describe SPOKE_NAME \
      --global \
      --project=PROJECT_ID \
      --format='get(linked_vpc_network.exclude_export_ranges)'
  

  替換下列值：

  • SPOKE_NAME：輻條的名稱
  • PROJECT_ID：輪輻所在的專案 ID

• 未超過 Network Connectivity Center 用量配額。

• 端點的 psc_connection_status 處於 ACCEPTED 狀態。如要瞭解連線狀態，請參閱「連線狀態」。

• 包含 VM 的輻條中，端點的傳播連線狀態為 READY。如果沒有顯示任何狀態，請參閱本頁的「您無法查看某些指定輻條的狀態」一節，瞭解原因。您可以使用 gcloud network-connectivity hubs query-status 指令檢查已複製的連線狀態：

  gcloud

  gcloud network-connectivity hubs query-status HUB_NAME\
      --filter='psc_propagation_status.source_spoke="SOURCE_SPOKE_NAME" AND psc_propagation_status.target_spoke="TARGET_SPOKE_NAME" AND psc_propagation_status.source_forwarding_rule="ENDPOINT_NAME"
  

  替換下列值：

  • HUB_NAME：要檢查連線傳播狀態的中心名稱
  • SOURCE_SPOKE_NAME：來源輪輻的名稱
  • TARGET_SPOKE_NAME：目標輪輻的名稱
  • ENDPOINT_NAME：端點名稱

  如要進一步瞭解如何使用這些旗標，請參閱 gcloud network-connectivity hubs query-status 指令頁面。

• Private Service Connect 端點 (來源) 的主機虛擬私有雲網路是樞紐中的虛擬私有雲輪輻。

• Private Service Connect 端點的 IP 位址為 RFC 1918 位址。

供應端配額已用盡

如果您看到 PRODUCER_QUOTA_EXHAUSTED 錯誤訊息，可以請服務供應者要求提高 PSC_ILB_CONSUMER_FORWARDING_RULES_PER_PRODUCER_NETWORK 配額。詳情請參閱虛擬私人雲端說明文件中的「每個網路」部分。

您已超過生產端的傳播連線限制

如果您看到服務連結的傳播連線限制超出限制的錯誤訊息，可以要求服務供應商提高限制。當服務供應商更新傳播連線數量限制時， Google Cloud 會自動檢查是否可以建立任何待處理的傳播連線。

供應端 NAT IP 位址空間已用盡

如果您看到 PRODUCER_NAT_IP_SPACE_EXHAUSTED 錯誤訊息，表示您可能需要請服務供應者新增 NAT 子網路。如要瞭解如何新增子網路，請參閱「在已發布服務中新增或移除子網路」。

您已用盡用戶端配額

如果您看到 CONSUMER_QUOTA_EXHAUSTED 錯誤訊息，請與用戶端虛擬私有雲網路的擁有者聯絡，要求增加 PSC_PROPAGATED_CONNECTIONS_PER_VPC_NETWORK 配額。

您無法查看部分目標輻條的狀態

如果您看不到某些目標圓環的狀態，可能是下列其中一個原因：

• 目標輪輻不是虛擬私有雲輪輻。只有虛擬私有雲輪輻 (包括虛擬私有雲輪輻，以及包含混合式輪輻的虛擬私有雲端網路) 才能接收已傳播的連線。在路由 VPC 網路中，如果混合式輻條不是 VPC 輻條，就無法接收已傳播的連線。

• Network Connectivity Center 只會顯示每個虛擬私有雲輪輻的傳播狀態。如果虛擬私有雲網路同時是虛擬私有雲輪輻，且包含混合式輪輻，請檢查其虛擬私有雲輪輻的傳播狀態，判斷是否有包含混合式輪輻，且能連線至已傳播的 Private Service Connect 端點。

• 如果虛擬私有雲網路同時是 Private Service Connect 供應商虛擬私有雲網路，以及中樞上的虛擬私有雲輪輻，且該中樞會傳播其端點，Network Connectivity Center 就不會將端點傳回供應商虛擬私有雲網路。

• 中樞的拓撲不允許進行傳播。舉例來說，如果中樞設定為使用星狀拓撲，則下列條件也成立：

  • 中心群組中的 Private Service Connect 端點會傳播至所有其他虛擬私有雲輪輻。
  • 邊緣群組中的 Private Service Connect 端點只會傳播至中心群組中的虛擬私有雲輪輻。

排解虛擬私有雲輪輻路徑交換問題

虛擬私有雲輪輻和混合式輪輻已連接至相同中樞，但缺少資料層連線

如果虛擬私有雲輪輻和混合式輪輻已連結至同一個中樞，但資料層連線功能缺少，可能原因如下：

• 輪輻是跨專案輪輻，且中樞管理員尚未接受輪輻提案。
• 虛擬私有雲網路中的所有子網路都會篩除並排除在連線範圍之外。
• 未啟用虛擬私有雲子網路的自動套用功能，或未設定自訂路徑廣告。
• 動態路徑配額已用盡。

中樞路由表未顯示部分動態路由或顯示錯誤的動態路由

以下任一原因可能會導致中樞路徑表格無法正確顯示動態路徑：

• 在過去五到十分鐘內，BGP 路由已宣傳或撤銷，但中樞路由表尚未更新。
• 動態路徑配額已用盡。

無法建立混合式輪輻

如果建立混合式輻條失敗，可能是因為下列其中一個原因：

• 路由虛擬私有雲網路可能是與同一個中樞或不同中樞連結的現有虛擬私有雲輪輻。
• 由於有現有的混合式輻條連線與該樞紐連線，因此轉送 VPC 網路可能會隱含地與其他樞紐建立關聯。虛擬私有雲網路的混合式附件只能成為單一中樞的輪輻。

無法建立虛擬私有雲輪輻

如果虛擬私有雲輪輻隱含地與中樞連結，做為路由虛擬私有雲網路，則建立虛擬私有雲輪輻可能會失敗。

錯誤訊息

如果嘗試建立輻射圖時收到「An internal error occurred」錯誤訊息，請與Google Cloud 支援團隊聯絡，以便排解問題。

排解 NCC 閘道輪輻問題

您可以在 NCC 閘道輪輻資源上使用 gcloud network-connectivity spokes describe 指令，查看與 NCC 閘道連結的服務和路由器。

  gcloud network-connectivity spokes describe SPOKE_NAME \
      --region REGION

createTime: '2022-11-25T06:06:11.572019860Z'
hub: projects/PROJECT/locations/REGION/hubs/HUB
gateway:
  ipRangeReservation: 10.1.2.0/24
  asn: 65123
  routers:
    projects/PROJECT/locations/REGION/routers/ROUTER

name: projects/PROJECT/locations/REGION/spokes/SPOKE
state: ACTIVE
uniqueId: 8ca10af0-ee69-43c2-b0b4-61e8f53d410b
updateTime: '2023-12-27T21:26:47.786506888Z'

您可以使用 gcloud compute routes list 指令查看應用程式 VPC 轉送表，以及建立的中樞路徑表格路徑，並將其傳播至 VPC 轉送表，其中下一個躍點是中樞：

  gcloud compute routes list \
      --filter="network=NETWORK"

NAME                                                  NETWORK  DEST_RANGE    NEXT_HOP  PRIORITY
ncc-static-route-7296f3a4-cdc2-4560-a905-95cdb1d6833e  vpc-1    17.0.0.0/8   hub       0

您可以使用 gcloud network-connectivity hubs route-tables routes list 指令查看輪輻群組的中樞路徑表格，並查看指向 NCC 閘道輪輻的相同建立路徑：

  gcloud network-connectivity hubs route-tables routes list --hub=HUB_NAME \
      --route_table

將 HUB_NAME 替換為中樞名稱。

中樞路徑表未顯示閘道宣傳的路徑

如果中樞路由表未顯示部分閘道宣傳路徑，且閘道輻條為下一個躍點，可能是因為路徑未在資料層安裝。這可能會導致 VPC 輻條與透過 NCC 閘道輻條連線的內部部署應用程式之間的連線問題。請按照下列步驟刪除及建立閘道廣告路徑：

1. 刪除通告路徑
2. 建立 NCC 閘道廣告路徑

3. 使用 gcloud beta network-connectivity spokes gateways advertised-routes list 指令查看與 NCC 閘道相關聯的廣告路徑：

   gcloud

   gcloud beta network-connectivity spokes gateways advertised-routes list
       --region=REGION
   

   將 REGION 替換為輻條所在的區域。

4. 使用 gcloud network-connectivity hubs route-tables list 指令，確認中樞路由表中的閘道廣告路由：

   gcloud

   gcloud network-connectivity hubs route-tables list \
       --hub=HUB_NAME
   

   將 HUB_NAME 替換為您要列出路由表的樞紐名稱。

   輸出結果大致如下。輸出內容中必須包含閘道宣傳路徑的項目。

   gcloud  network-connectivity hubs route-tables routes list --hub=HUB_NAME --route_table PROD
   IP_CIDR_RANGE  STATE    TYPE      NEXT_HOP   HUB       ROUTE_TABLE     PRIORITY
   10.0.0.0/8     ACTIVE   NCC_GW    NCC-GW-1   HUB_NAME  PROD            100
   

如有 Cloud Router 相關問題，請參閱「排解 Cloud Router 記錄訊息問題」。

如有 Cloud Interconnect 相關問題，請參閱 Cloud Interconnect 疑難排解頁面。