測試與非 Google Cloud 網路之間的往來連線

本頁說明 Connectivity Tests 的下列常見用途:

  • 測試虛擬私有雲 (VPC) 網路與非Google Cloud 網路之間的連線
  • 測試從非Google Cloud 網路連線至虛擬私有雲網路
  • 測試兩個非Google Cloud 網路之間的連線能力
本頁的追蹤圖表使用下列圖例中所述的符號。
符號 名稱 意義
灰色鑽石圖示
封包追蹤圖表的圖例:灰色菱形。
Checkpoint 決定點,連線能力測試會檢查設定,並決定是否要轉送、傳送或捨棄追蹤封包。
藍色矩形
封包追蹤圖表的圖例:藍色矩形。
Hop 追蹤封包轉送路徑中的一個步驟,代表將封包轉送至虛擬私人雲端網路中下一個躍點的 Google Cloud 資源,例如 Cloud Load Balancing 代理程式或 Cloud VPN 通道。
橘色六邊形
封包追蹤圖表的圖例:橘色六邊形。
端點 追蹤封包的來源或目的地。

從虛擬私有雲網路連線至非Google Cloud 網路

您可以使用連線測試設定分析,透過 Cloud VPN 或 Cloud Interconnect 測試從 VPC 網路連線至非Google Cloud網路的連線能力。一般來說,非Google Cloud 網路是指內部部署網路或其他雲端服務供應商的網路。

設定分析只會評估網路路徑,直到對等網路中路由器或 VPN 閘道的外部 IP 位址為止。

以下範例顯示從 VPC 網路中的 VM1 到內部部署網路中的 VM2 的追蹤記錄,中間經過使用靜態轉送的傳統版 VPN 通道。

使用靜態路徑,透過 Cloud VPN 通道追蹤封包。
使用靜態路由追蹤透過 Cloud VPN 通道的封包

如果對等網路中存在與目的地 IP 位址相符的靜態或動態路徑,設定分析會根據路徑優先順序比對並驗證路徑。

所有目的地都有預設的靜態路徑,下一個躍點為網際網路閘道。除非您移除或修改預設路徑,否則連線測試可以比對這個預設路徑。

如果沒有預設靜態路徑,且沒有其他有效的目的地路徑,追蹤記錄會傳回 Drop 的最終狀態。

使用靜態路徑追蹤非Google Cloud 網路的路徑。
使用靜態路由追蹤通往非Google Cloud 網路的路徑


使用動態轉送功能,追蹤通往非Google Cloud 網路的路徑。
使用動態路由追蹤通往非Google Cloud 網路的路徑

從非Google Cloud 網路連線至虛擬私有雲網路

設定分析會驗證 VPC 網路可在封包抵達 VPC 網路後,接收來自地端部署網路的封包。分析也會驗證 VPC 網路設定是否可能允許將此封包傳送至預期目的地。設定分析顯示封包可以傳送 (在 API 回應中,最終狀態為 delivered)。系統會判定目的地可供存取。

當 VPC 網路透過 Cloud Router 與內部部署網路對等互連時,VPC 網路會從對等的內部部署網路接收一或多個動態路徑。同時,您的虛擬私有雲網路會向對等的內部部署網路宣傳自己的路徑。

由於 Connectivity Tests 無法存取內部部署網路設定,因此無法驗證內部部署路由器上正確的路徑和防火牆規則設定。因此,連線測試設定分析功能一律會將從內部部署網路傳送至 VPC 網路的流量視為有效。

不過,Connectivity Tests 可以評估 VPC 設定是否允許將封包傳送至 Google Cloud中的目的地。為評估可及性,系統會評估下列Google Cloud 資源:

  • 虛擬私有雲網路的輸入防火牆規則。
  • 針對 Cloud Router 向內部部署 (對等) 網路通告的 VPC 網路 IP 位址,通告的路徑

一般來說,如果您想為來源或目的地端點指定地端 IP 位址,請取消勾選「這是用於 Google Cloud 的 IP 位址」核取方塊。如要設定如本例所示的測試,請取消選取來源端點的核取方塊。

以下測試結果成功,代表 Cloud VPN 可從內部部署 IP 位址連線至 VM 執行個體。並評估邊界閘道通訊協定 (BGP) 工作階段、路徑和 VPC 防火牆規則。

從內部部署測試至 Google Cloud的成功測試輸出內容範例。
從內部部署至 Google Cloud的成功測試輸出內容範例

兩個非Google Cloud 網路之間

您可以使用連線能力測試設定分析,評估透過 Network Connectivity Center 連線的兩個非Google Cloud 網路之間的可及性。在這個情況下,非Google Cloud網路通常是指內部部署的資料中心或分公司。

Connectivity Tests 無法存取內部部署網路設定,因此無法驗證內部部署路由器上的路徑和防火牆規則設定。因此,連線測試設定分析一律會將從內部部署網路傳送至虛擬私有雲網路的流量視為有效,且只會驗證 Google Cloud 中的設定。

設定分析會從與 Network Connectivity Center 輪輻相關聯的 Cloud Router 中,學習內部部署網路範圍。您可以找出虛擬私有雲網路中的設定問題,這些問題可能會影響內部部署網路之間的連線。

所有 Network Connectivity Center 輻條類型都會使用 Cloud Router,透過 BGP 工作階段交換路由。例如:

  • 路由器裝置輻條:當 Cloud Router 和路由器裝置執行個體位於同一個地區時,會彼此交換路徑。
  • Cloud VPN 和 VLAN 連結輻條:Cloud Router 會與內部部署網路中的路由器交換 BGP 路徑。

如要進一步瞭解 Network Connectivity Center,請參閱 Network Connectivity Center 總覽

透過路由器設備連結兩個非Google Cloud 網路

在以下範例中,連線能力測試會追蹤從一個內部部署網路到另一個內部部署網路的模擬封包。封包會從連線至第一個內部部署網路的路由器設備輻條進入虛擬私有雲網路。從那裡開始,它會沿著 Cloud Router 通告的動態路徑,連線至與路由器裝置輻輳相關聯的第二個內部部署網路。封包會從第二個路由器設備執行個體傳送至內部部署網路。

如要設定這類測試,請務必清除來源和目的地端點的「這是 Google Cloud 中使用的 IP 位址」核取方塊。

以下成功的測試結果評估了從內部部署網路透過兩個路由器裝置執行個體連線至另一個內部部署網路的連線能力。並評估 BGP 工作階段、路徑和 VPC 防火牆規則。

從內部部署到內部部署的成功測試輸出結果範例。
從內部部署至內部部署的成功測試輸出內容範例

透過 Cloud VPN 和 Cloud Interconnect 連結兩個非Google Cloud 網路

在以下範例中,連線測試會追蹤從一個內部部署網路到另一個內部部署網路的模擬封包。封包會透過 VPN 閘道進入 VPC 網路。封包會透過互連網路連線抵達其他地端部署網路。

如要設定這類測試,請務必清除來源和目的地端點的「這是 Google Cloud 中使用的 IP 位址」核取方塊。

下列成功的測試結果會評估從內部部署網路透過 VPN 和 VLAN 連結至另一個內部部署網路的連線能力。

透過 VPN 和 VLAN 附加節點,從內部部署網路成功連線至內部部署網路的測試成功輸出結果範例。
透過 VPN 和 VLAN 連結輪輻,從內部部署系統成功測試至內部部署系統的輸出結果範例

後續步驟