Risoluzione dei problemi

Questa guida alla risoluzione dei problemi può aiutarti a risolvere i problemi comuni che potresti riscontrare durante l'utilizzo di Cloud Interconnect:

Per risposte alle domande più frequenti sull'architettura e sulle funzionalità di Cloud Interconnect, consulta le domande frequenti su Cloud Interconnect.

Per le definizioni dei termini utilizzati in questa pagina, consulta Termini chiave di Cloud Interconnect.

Per trovare informazioni su logging e monitoraggio e visualizzare le metriche di Cloud Interconnect, consulta Monitoraggio delle connessioni.

Risoluzione dei problemi generali

Controllare le interruzioni del servizio Cloud Interconnect

  • Puoi controllare le interruzioni note nella Google Cloud Status Dashboard. Puoi anche iscriverti al feed JSON o al feed RSS degli incidenti Cloud per ricevere aggiornamenti push.

  • Ricevi notifiche sugli eventi di manutenzione che influiscono sulle tue connessioni Dedicated Interconnect. Per maggiori dettagli, vedi Eventi di manutenzione dell'infrastruttura.

  • Ricevi notifiche sugli eventi di manutenzione che interessano i tuoi collegamenti VLAN Partner Interconnect. Le notifiche per Partner Interconnect vengono inviate in modo simile a quelle per le connessioni Dedicated Interconnect, con alcune piccole differenze. Per maggiori dettagli, vedi Eventi di manutenzione dell'infrastruttura.

Impossibile connettersi alle risorse in altre regioni

Per impostazione predefinita, le reti Virtual Private Cloud (VPC) sono regionali, il che significa che router Cloud annuncia solo le subnet nella sua regione. Per connetterti ad altre regioni, imposta la modalità di routing dinamico della tua rete VPC su globale in modo che router Cloud possa annunciare tutte le subnet.

Per saperne di più, consulta la sezione Modalità di routing dinamico nella documentazione del router Cloud.

Impossibile raggiungere le VM in una rete VPC in peering

In questo scenario, hai configurato una connessione Cloud Interconnect tra la tua rete on-premise e una rete VPC, rete A. Hai anche configurato il peering di rete VPC tra la rete A e un'altra rete VPC, la rete B. Tuttavia, non puoi raggiungere le VM nella rete B dalla tua rete on-premise.

Questa configurazione non è supportata, come descritto nelle limitazioni della panoramica del peering di rete VPC.

Tuttavia, puoi utilizzare gli annunci di intervalli IP personalizzati dai router Cloud nella tua rete VPC per condividere le route con le destinazioni nella rete peer. Inoltre, devi configurare le connessioni di peering di rete VPC per importare ed esportare route personalizzate.

Per saperne di più sulle route di pubblicità tra reti on-premise e reti con peering VPC, consulta le seguenti risorse:

Subnet mancanti in una connessione

Per annunciare tutte le subnet disponibili, specifica le route mancanti con route pubblicizzate personalizzate e annuncia tutte le route di subnet tra le regioni con il routing dinamico globale. A questo scopo, procedi nel seguente modo:

  1. Specifica le route annunciate personalizzate sia su un router Cloud sia sulla sessione Border Gateway Protocol (BGP).

    Per inserire le route mancanti, imposta i seguenti parametri:

    --set-advertisement-groups = ADVERTISED_GROUPS
--set-advertisement-ranges = ADVERTISED_IP_RANGES

    Sostituisci quanto segue:

    • ADVERTISED_GROUPS: un gruppo definito da Google che Cloud Router annuncia dinamicamente; può avere un valore di all_subnets, che imita il comportamento predefinito di un router Cloud
    • ADVERTISED_IP_RANGES: i contenuti del nuovo array di intervalli di indirizzi IP; può avere uno o più valori a tua scelta

    Per ulteriori dettagli ed esempi, consulta Pubblicità di intervalli IP personalizzati.

  2. Attiva la modalità di routing dinamico globale.

Impossibile eseguire il ping del router Cloud

Se non riesci a eseguire il ping del router Cloud dal router on-premise, trova il tuo prodotto nella tabella seguente ed esegui i passaggi per la risoluzione dei problemi relativi a quel prodotto. Le VM non possono raggiungere 169.254.0.0/16.

Procedura per la risoluzione dei problemi da seguire Dedicated Interconnect Partner Interconnect con partner L3 Partner Interconnect con partner L2
Per Partner Interconnect, il router Cloud potrebbe non essere mai raggiungibile tramite ping perché alcuni partner filtrano il traffico verso l'intervallo IP (169.254.0.0/16) per il router Cloud. Per i partner L3, il partner configura automaticamente BGP. Se BGP non viene visualizzato, contatta il tuo partner. Non applicabile Non applicabile
Verifica che il dispositivo locale abbia appreso l'indirizzo MAC corretto per il lato Google Cloud della connessione. Per saperne di più, consulta la sezione Risoluzione dei problemi relativi ad ARP. Non applicabile Non applicabile
Verifica che router Cloud abbia un'interfaccia e un peer BGP. Non è possibile eseguire il ping del router Cloud a meno che l'interfaccia e il peer BGP non siano completamente configurati, incluso l'ASN remoto.
  • Per Dedicated Interconnect, consulta Sessione BGP non funzionante.
  • Per Partner Interconnect L2, Google ha aggiunto automaticamente l'interfaccia e il peer BGP perrouter Cloudr, ma devi configurare l'ASN remoto.
 Non applicabile

Risoluzione dei problemi relativi ad ARP

Per Dedicated Interconnect, per trovare l'indirizzo MAC corretto, esegui il seguente comando gcloud:

  gcloud compute interconnects get-diagnostics INTERCONNECT_NAME

googleSystemID contiene l'indirizzo MAC che deve essere presente nella tabella ARP del dispositivo per gli indirizzi IP assegnati al router Cloud.

  result:
    links:
    — circuitId: SAMPLE-0
      googleDemarc: sample-local-demarc-0
      lacpStatus:
        googleSystemId: ''
        neighborSystemId: ''
        state: DETACHED
      receivingOpticalPower:
        value: 0.0
      transmittingOpticalPower:
        value: 0.0
    macAddress: 00:00:00:00:00:00

Se il dispositivo non ha appreso un indirizzo MAC, verifica che l'ID VLAN e l'indirizzo IP corretti siano configurati sulla sottointerfaccia.

Per Partner Interconnect, se sul tuo dispositivo visualizzi l'indirizzo MAC sbagliato, verifica di non aver eseguito il bridging dei segmenti di livello 2 di due collegamenti VLAN. Il lato Google Cloud della connessione Cloud Interconnect è configurato con ip proxy-arp, che risponde a tutte le richieste ARP e può causare l'apprendimento di voci ARP errate da parte del router on-premise.

Impossibile creare il collegamento VLAN

Se tenti di creare un collegamento VLAN per Dedicated Interconnect o Partner Interconnect che viola una policy dell'organizzazione, viene visualizzato un messaggio di errore. Vedi il seguente messaggio di errore di esempio dall'esecuzione di gcloud compute interconnects attachments partner create:

ERROR: (gcloud.compute.interconnects.attachments.partner.create) Could not fetch resource:
- Constraint constraints/compute.restrictPartnerInterconnectUsage violated for projects/example-project. projects/example-project/global/networks/example-network is not allowed to use the Partner Interconnect.

Per ulteriori informazioni, consulta Limitare l'utilizzo di Cloud Interconnect e Utilizzare policy dell'organizzazione personalizzate e contatta l'amministratore dell'organizzazione.

Condividere le connessioni con altri progetti nella mia organizzazione

Utilizza il VPC condiviso per condividere una connessione, ad esempio un collegamento VLAN o una connessione Dedicated Interconnect in un progetto host.

Per ulteriori informazioni sulla configurazione di una rete VPC condivisa, consulta Provisioning di VPC condiviso.

Per ulteriori informazioni sulla configurazione degli allegati in una rete VPC condiviso, consulta Opzioni per la connessione a più reti VPC.

Dedicated Interconnect

Google non può eseguire il ping durante il processo di provisioning della connessione

Verifica di utilizzare la configurazione IP e LACP corretta. Durante la procedura di test, Google ti invia diverse configurazioni IP di test per il tuo router on-premise, a seconda che tu ordini un bundle multiline o un bundle monoline. Non configurare i collegamenti VLAN per nessuno di questi test.

  • Il primo insieme di indirizzi IP inviati da Google serve per testare la connettività multicanale su ogni singolo link. Configura gli indirizzi IP di test su ogni collegamento fisico (senza LACP configurato), come indicato nelle email che ti ha inviato Google. Google deve eseguire il ping di tutti gli indirizzi IP prima che questo primo test venga superato.
  • Per il secondo test, rimuovi tutti gli indirizzi IP del primo test. Configura il canale di porta con LACP anche se la connessione ha un solo link. Google esegue il ping dell'indirizzo del canale della porta. Non modificare la configurazione LACP del canale di porta dopo che la connessione ha superato il test finale. Tuttavia, devi rimuovere l'indirizzo IP di test dall'interfaccia del canale della porta.
  • Google invia l'indirizzo IP di produzione finale per testare la connettività a circuito singolo. Configura l'indirizzo IP sull'interfaccia del bundle (con LACP configurato, in modalità attiva o passiva), come indicato nell'email che Google ti ha inviato. Prima che questo test venga superato, Google deve eseguire il ping dell'indirizzo IP dell'interfaccia del bundle. Configura il canale di porta con LACP anche se la connessione ha un solo link.

Impossibile eseguire il ping del router Cloud

  • Verifica di poter eseguire il ping dell'indirizzo IP del canale di porta di Google. L'indirizzo IP è il valore di googleIpAddress quando visualizzi i dettagli della connessione.
  • Verifica di avere la VLAN corretta nella sottointerfaccia del router on-premise. Le informazioni VLAN devono corrispondere a quelle fornite dal collegamento VLAN.
  • Verifica di avere l'indirizzo IP corretto nella sottointerfaccia del router on-premise. Quando crei un collegamento VLAN, viene allocata una coppia di indirizzi IP link-local. Una è per un'interfaccia su un router cloud (cloudRouterIpAddress) e l'altra è per una subinterfaccia sul canale di porta del router on-premise, non sul canale di porta stesso (customerRouterIpAddress).
  • Se stai testando le prestazioni dei tuoi collegamenti VLAN, non eseguire il ping delrouter Cloudr. Crea e utilizza invece un'istanza di macchina virtuale (VM) Compute Engine nella tua rete VPC. Per ulteriori informazioni, vedi Test delle prestazioni.

La sessione BGP non funziona

  • Attiva BGP multihop sul router on-premise con almeno due hop.
  • Verifica di aver configurato l'indirizzo IP del vicino corretto sul router on-premise. Utilizza l'indirizzo IP peer BGP (cloudRouterIpAddress) allocato dal collegamento VLAN.
  • Verifica che la configurazione dell'ASN locale sul router on-premise corrisponda all'ASN peer su router Cloud. Inoltre, verifica che la configurazione ASN locale sul router Cloud corrisponda all'ASN peer sul router on-premise.

  • A ogni collegamento viene allocato un CIDR /29 univoco da 169.254.0.0/16 all'interno della tua rete VPC. Un indirizzo IP nel CIDR /29 viene allocato perrouter Cloudr e l'altro per il router on-premise.

    Verifica che gli indirizzi IP corretti siano allocati per l'interfaccia del router on-premise e il relativo vicino BGP. Un errore comune è configurare un /30 sull'interfaccia del router on-premise anziché un /29. Google Cloud riserva tutti gli altri indirizzi nel CIDR /29.

    Assicurati di non aver allocato altri indirizzi IP da questo CIDR all'interfaccia di collegamento VLAN sul router.

Impossibile raggiungere le VM nella tua rete VPC

  • Verifica di poter eseguire il ping del canale di porta e del collegamento VLAN.
  • Verifica che la sessione BGP sia attiva.
  • Controlla che il router on-premise stia pubblicizzando e ricevendo route.
  • Verifica che non ci siano sovrapposizioni tra le pubblicità delle route on-premise e gli intervalli di rete. Google Cloud
  • Imposta le dimensioni MTU sugli stessi valori per il router on-premise, il VPC e il collegamento VLAN.

Il traffico IPv6 non passa attraverso il collegamento VLAN

Se hai difficoltà a connetterti agli host IPv6, procedi nel seguente modo:

  1. Verifica che le route IPv6 vengano pubblicizzate correttamente. Se le route IPv6 non vengono annunciate, consulta la sezione Risolvere i problemi relativi alle route BGP e alla selezione delle route.
  2. Controlla le regole firewall per assicurarti di consentire il traffico IPv6.
  3. Verifica di non avere intervalli di subnet IPv6 sovrapposti nella rete VPC e nella rete on-premise. Vedi Controllare gli intervalli di subnet sovrapposti.
  4. Determina se hai superato quote e limiti per le route apprese nel router Cloud. Se hai superato la quota per le route apprese, i prefissi IPv6 vengono eliminati prima dei prefissi IPv4. Consulta Controllare quote e limiti.

  5. Verifica che tutti i componenti correlati alla configurazione IPv6 siano stati configurati correttamente.

    • La rete VPC ha abilitato l'utilizzo di indirizzi IPv6 interni con il flag --enable-ula-internal-ipv6.
    • La subnet VPC è configurata per utilizzare il tipo di stack IPV4_IPV6.
    • La subnet VPC ha --ipv6-access-type impostato su INTERNAL.
    • Le VM Compute Engine nella subnet sono configurate con indirizzi IPv6.
    • Il collegamento VLAN è configurato per utilizzare il tipo di stack IPV4_IPV6.

    • Il peer BGP ha abilitato IPv6 e gli indirizzi hop successivo IPv6 corretti sono configurati per la sessione BGP.

Test delle prestazioni sui collegamenti VLAN

Se devi testare le prestazioni dei collegamenti VLAN, utilizza una VM nella tua rete VPC. Aggiungi gli strumenti per il monitoraggio delle prestazioni che ti servono sulla VM. Non utilizzare l'indirizzo IP locale rispetto al collegamento del router Cloud per testare la latenza, ad esempio il ping ICMP o l'MTU del percorso. L'utilizzo del router Cloud può dare risultati imprevedibili.

Accesso alla diagnostica

Per ottenere informazioni tecniche dettagliate e aggiornate sul lato Google Cloud di una connessione Dedicated Interconnect su richiesta, vedi Ottenere la diagnostica.

Partner Interconnect

La sessione BGP non funziona (connessioni di livello 2)

  • Verifica che il router on-premise sia stato configurato con una sessione BGP per i router Cloud. Per saperne di più, consulta Configurazione dei router on-premise per Partner Interconnect.
  • Attiva BGP multihop sul router on-premise con almeno due hop.
  • Verifica di aver configurato l'indirizzo IP del vicino corretto sul router on-premise. Utilizza l'indirizzo IP peer BGP (cloudRouterIpAddress) allocato dal collegamento VLAN.
  • Verifica che la configurazione dell'ASN locale sul router on-premise corrisponda all'ASN peer sul router Cloud (16550). Inoltre, verifica che la configurazione dell'ASN locale sul router Cloud corrisponda all'ASN peer sul router on-premise.

La sessione BGP non funziona (connessioni di livello 3)

  • Il router Cloud deve essere configurato con l'ASN del fornitore di servizi. Contatta il tuo fornitore di servizi per ricevere assistenza.

Il collegamento VLAN non è attivo per una connessione Partner Interconnect

Lo stato di un collegamento VLAN può essere visualizzato come inattivo anche se non ci sono problemi con la configurazione e la connessione Partner Interconnect.Google Cloud

Assicurati di aver configurato EBGP multihop sul router on-premise in modo che abbia almeno quattro hop. Puoi visualizzare una configurazione di esempio in Configurazione dei router on-premise.

Problema con la chiave di accoppiamento in una connessione Partner Interconnect

Quando provi a configurare una connessione Partner Interconnect, potresti visualizzare un messaggio di errore come "Google - Provider status not available" (Google - Provider status not available). Per risolvere il problema, segui questi passaggi:

  1. Assicurati che la chiave di accoppiamento sia stata generata dal collegamento VLAN lato cliente (tipo PARTNER). La chiave è una lunga stringa casuale che Google utilizza per identificare l'allegato. La regione Google Cloud di destinazione e il dominio di disponibilità edge sono codificati nella chiave di accoppiamento nel seguente formato:

    <random_string>/<region_name>/<domain>

    Il campo domain contiene la stringa any se il collegamento VLAN non è limitato a un dominio specifico o se non specifichi il dominio di disponibilità perimetrale. Per saperne di più sulle chiavi di accoppiamento, consulta la pagina Chiave di accoppiamento.

  2. Assicurati che il dominio di disponibilità edge della connessione Partner Interconnect corrisponda al dominio specificato dalla chiave di accoppiamento.

Impossibile eseguire il ping del router Cloud (connessioni di livello 2)

  • Verifica di avere il collegamento VLAN corretto nella sottointerfaccia del router on-premise. Le informazioni sul collegamento VLAN devono corrispondere a quelle fornite dal tuo fornitore di servizi.
  • Verifica di avere l'indirizzo IP corretto nella sottointerfaccia del router on-premise. Dopo che il provider di servizi ha configurato il collegamento VLAN, il collegamento alloca una coppia di indirizzi IP link-local. Una è per un'interfaccia sul router Cloud associato (cloudRouterIpAddress) e l'altra è per una sottointerfaccia sul canale di porta del router on-premise, non per il canale di porta stesso (customerRouterIpAddress).
  • Se stai testando le prestazioni degli allegati, non eseguire il ping delrouter Cloudr. Crea e utilizza invece una VM nella tua rete VPC. Per saperne di più, consulta Test delle prestazioni.

Perdita di potenza ottica sulla porta della connessione Partner Interconnect

Se si verifica una perdita di potenza ottica su una porta, potresti riscontrare uno dei seguenti problemi:

  • Perdita della connettività di livello 3 (perdita di una sessione BGP) o impossibilità di accedere alle tue istanze VM Google Cloud .
  • Rendimento ridotto del bundle di link. Questo problema si verifica se più porte 10GE sono raggruppate e solo alcuni dei link in un bundle funzionano.

La perdita di potenza ottica su una porta indica che l'hardware non è in grado di rilevare un segnale dall'altra estremità. Può essere dovuto a uno dei seguenti problemi:

  • Un ricetrasmettitore difettoso
  • Un sistema di trasporto difettoso
  • Un problema fisico con la fibra

Per risolvere il problema, contatta il tuo provider di Partner Interconnect e/o del circuito. Possono eseguire i seguenti passaggi:

  1. Controlla che il transceiver funzioni.
  2. Esegui un loop fisico nella Meet-Me Room (MMR) per verificare se i livelli di luce sul dispositivo funzionano come previsto.
  3. Verifica se i problemi si verificano sul loro lato o su quello di Google. Il modo migliore per isolare l'interfaccia è inserire un loop bidirezionale nel punto di demarcazione. Le interfacce su ciascun lato trasmetteranno la luce fino al punto di demarcazione, dove verrà reindirizzata a se stessa. Il lato difettoso sarà quello del punto di demarcazione che non si solleva facilmente.
  4. Pulisci e riposiziona tutte le fibre sul lato del tecnico.

Impossibile inviare e apprendere valori MED tramite una connessione Partner Interconnect L3

Se utilizzi una connessione Partner Interconnect in cui un fornitore di servizi di livello 3 gestisce BGP per te, router Cloud non può apprendere i valori MED dal router on-premise né inviarli a questo router. Questo perché i valori MED non possono passare attraverso i sistemi autonomi. Su questo tipo di connessione, non puoi impostare le priorità delle route per le route pubblicizzate dal router Cloud al tuo router on-premise. Inoltre, non puoi impostare le priorità delle route per le route annunciate dal router on-premise alla tua rete VPC.

Il traffico IPv6 non funziona dopo aver modificato il tipo di stack di un collegamento in doppio stack

  1. Visualizza lo stato del router Cloud e verifica che venga visualizzato status: UP.

    Se BGP non è attivo, procedi nel seguente modo:

    1. Verifica che il router on-premise (o il router del partner se utilizzi un partner di livello 3) sia configurato con una sessione BGP IPv6 e che la sessione utilizzi gli indirizzi IPv6 corretti.

    2. Visualizza la configurazione della sessione BGP e verifica che bgpPeers.enable mostri 'TRUE' per il tuo router Cloud.

    Se BGP è attivo, visualizza le route del router Cloud per verificare che vengano visualizzati gli best_routes IPv6 previsti.

    Se i best_routes previsti non vengono visualizzati, verifica che il router on-premise (o il router del partner se utilizzi un partner di livello 3) sia configurato con le route IPv6 corrette.

Tutti gli altri problemi

Per ulteriore assistenza, contatta il tuo fornitore di servizi. Se necessario, il tuo fornitore di servizi contatterà Google per risolvere i problemi relativi alla parte di rete di Google.

VPN ad alta disponibilità su Cloud Interconnect

Quando esegui il deployment della VPN ad alta disponibilità su Cloud Interconnect, crei due livelli operativi:

  • Il livello Cloud Interconnect, che include i collegamenti VLAN e router Cloudr per Cloud Interconnect.
  • Il livello VPN ad alta disponibilità, che include i gateway e i tunnel VPN ad alta disponibilità e il router Cloud per la VPN ad alta disponibilità.

Ogni livello richiede il proprio router Cloud:

  • Il router Cloud per Cloud Interconnect viene utilizzato esclusivamente per scambiare i prefissi del gateway VPN tra i collegamenti VLAN. Questo router Cloud viene utilizzato solo dai collegamenti VLAN del livello Cloud Interconnect. Non può essere utilizzato nel livello VPN ad alta disponibilità.
  • Il router Cloud per VPN ad alta disponibilità scambia i prefissi tra la tua rete VPC e la tua rete on-premise. Configura router Cloud per la VPN ad alta disponibilità e le relative sessioni BGP nello stesso modo in cui faresti per un deployment VPN ad alta disponibilità normale.

Il livello VPN ad alta disponibilità si basa sul livello Cloud Interconnect. Pertanto, il livello VPN ad alta disponibilità richiede che il livello Cloud Interconnect, basato su Dedicated Interconnect o Partner Interconnect, sia configurato e operativo correttamente.

Per risolvere i problemi relativi a un deployment della VPN ad alta disponibilità su Cloud Interconnect, risolvi prima i problemi relativi al livello Cloud Interconnect. Dopo aver verificato che Cloud Interconnect funzioni correttamente, risolvi i problemi del livello VPN ad alta disponibilità.

Impossibile stabilire la sessione BGP per il router Cloud per Cloud Interconnect

Per rilevare se la sessione BGP associata al collegamento VLAN è inattiva, esegui questo comando:

   gcloud compute routers get-status INTERCONNECT_ROUTER_NAME

Sostituisci INTERCONNECT_ROUTER_NAME con il nome del router Cloud che hai creato per il livello Cloud Interconnect del deployment della VPN ad alta disponibilità su Cloud Interconnect.

Per risolvere il problema, segui questi passaggi:

  1. Segui i passaggi descritti in Testare le connessioni e Ottenere la diagnostica per assicurarti che la connessione Cloud Interconnect sottostante sia integra.
  2. Verifica che l'interfaccia della sessione BGP punti all'allegato corretto.
  3. Controlla gli indirizzi IP configurati per l'interfaccia della sessione BGP sia sul router Cloud che sul router on-premise.
  4. Verifica che i numeri ASN siano configurati correttamente sia sul router Cloud sia sul router on-premise.
  5. Verifica che la connessione Cloud Interconnect e il collegamento VLAN siano nello stato admin-enabled.

Impossibile stabilire un tunnel VPN ad alta disponibilità

Per controllare lo stato del tunnel, esegui il comando:

gcloud compute vpn-tunnels describe VPN_TUNNEL_NAME

Sostituisci VPN_TUNNEL_NAME con il nome del tunnel VPN ad alta disponibilità.

Per risolvere il problema, segui questi passaggi:

  1. Poiché il tunnel VPN viene instradato su un collegamento VLAN, verifica che la sessione BGP associata al collegamento VLAN sia stabilita. In caso contrario, consulta Impossibile stabilire la sessione BGP per il router Cloud per Cloud Interconnect.
  2. Controlla che la chiave precondivisa e le cifrature del tunnel siano configurate correttamente sia sui gateway Cloud VPN sia sui gateway VPN on-premise.
  3. Verifica che l'annuncio BGP del router on-premise includa gli indirizzi del gateway VPN on-premise. In caso contrario, modifica la configurazione BGP del router on-premise per annunciare gli indirizzi.
  4. Verifica che le route ai gateway VPN on-premise non siano state eliminate a causa di conflitti con le route BGP esistenti. Se si verificano conflitti, modifica gli indirizzi del gateway VPN o le route annunciate.

  5. Verifica che l'annuncio BGP del router Cloud includa gli indirizzi del gateway VPN ad alta disponibilità. Controlla questa informazione dal router on-premise o esaminando il campo advertisedRoutes del peer BGP. Per visualizzare il campo advertisedRoutes, esegui questo comando:

    gcloud compute routers get-status INTERCONNECT_ROUTER_NAME

    Sostituisci INTERCONNECT_ROUTER_NAME con il nome del router Cloud che hai creato per il livello Cloud Interconnect del deployment della VPN ad alta disponibilità su Cloud Interconnect.

    Se gli indirizzi del gateway VPN ad alta disponibilità non vengono pubblicizzati, assicurati che i collegamenti VLAN siano associati al router Cloud Interconnect criptato. Verifica che ogni collegamento VLAN sia configurato con gli indirizzi IPv4 interni regionali previsti (--ipsec-internal-addresses).

Impossibile stabilire la sessione BGP per il router Cloud per la VPN ad alta disponibilità

Per verificare se la sessione BGP associata al collegamento VLAN è inattiva, esegui il comando:

gcloud compute routers get-status VPN_ROUTER_NAME

Sostituisci VPN_ROUTER_NAME con il nome del router Cloud che hai creato per il livello VPN ad alta disponibilità del deployment della VPN ad alta disponibilità su Cloud Interconnect.

Per risolvere il problema, segui questi passaggi:

  1. Poiché il traffico BGP viene instradato tramite il tunnel VPN, verifica che il tunnel VPN sia stabilito. In caso contrario, segui i passaggi descritti in Impossibile stabilire un tunnel VPN ad alta disponibilità.
  2. Verifica che l'interfaccia della sessione BGP per il router Cloud punti al tunnel VPN corretto.
  3. Controlla che gli indirizzi IP dell'interfaccia della sessione BGP siano configurati correttamente sia sul router Cloud che sul dispositivo VPN on-premise.
  4. Verifica che i numeri ASN siano configurati correttamente sia sul router Cloud sia sul router on-premise.

Il traffico VPC non raggiunge le reti on-premise o viceversa

Il traffico generato da una VM, ad esempio da ping o iperf, non può raggiungere la rete on-premise o la rete on-premise non può raggiungere il traffico generato da una VM.

Per risolvere il problema, segui questi passaggi:

  1. Poiché il traffico VM viene instradato tramite il tunnel VPN, assicurati che la route dalla VM al tunnel VPN venga inviata dal router Cloud.

  2. Verifica che la sessione del router Cloud per la VPN ad alta disponibilità sia stabilita. In caso contrario, consulta l'articolo Impossibile stabilire la sessione BGP per il router Cloud per la VPN ad alta disponibilità.

Perdita di pacchetti o velocità effettiva bassa

Il traffico dalle VM sulle reti VPC alle reti on-premise o dalle reti on-premise alle reti VPC viene eliminato.

Osservi la perdita di pacchetti o un basso throughput tramite ping, iperf e altri strumenti di monitoraggio della rete.

Per risolvere il problema, segui questi passaggi:

  1. Controlla se il collegamento VLAN è sovraccarico di traffico. In questo caso, distribuisci il traffico su più collegamenti VLAN o aggiorna la capacità del collegamento.
  2. Controlla se la VPN ad alta disponibilità è sovraccarica di traffico. In questo caso, crea tunnel VPN aggiuntivi sul collegamento VLAN per ridistribuire il traffico.
  3. Assicurati che non siano presenti picchi di traffico imprevisti o improvvisi o traffico burst. I flussi TCP potrebbero essere interessati da altri flussi, ad esempio il traffico UDP burst.
  4. Controlla se i pacchetti che superano l'MTU del tunnel sono frammentati. Assicurati che l'MTU sia impostata correttamente con i collegamenti VLAN e controlla che il traffico UDP non venga limitato dall'MSS.

La visualizzazione delle metriche collegamento VLAN diminuisce a causa di BANDWIDTH_THROTTLE

Quando visualizzi le metriche collegamento VLAN durante il monitoraggio delle connessioni, potresti notare cali dovuti a BANDWIDTH_THROTTLE. Ciò si verifica quando il traffico viene inviato a una velocità troppo elevata tramite l'allegato, quindi parte del traffico viene limitato.

Tuttavia, quando visualizzi i grafici di utilizzo in entrata e in uscita corrispondenti, non vengono visualizzati picchi di traffico. Questo perché le metriche vengono acquisite a un intervallo di campionamento di 60 secondi, che può mascherare picchi o raffiche di traffico brevi.

Per risolvere il problema, riduci l'utilizzo di questo collegamento, aumenta la capacità del collegamento o utilizza più collegamenti VLAN.

Impossibile eliminare un collegamento VLAN criptato

Quando provi a eliminare un collegamento VLAN criptato per Dedicated Interconnect o Partner Interconnect, viene visualizzato il seguente errore:

ResourceInUseByAnotherResourceException

Per risolvere il problema, assicurati di aver prima eliminato tutti i gateway VPN ad alta disponibilità e i tunnel associati al collegamento VLAN criptato. Per ulteriori informazioni, consulta Elimina la VPN ad alta disponibilità su Cloud Interconnect.

Tipi di indirizzi IP non corrispondenti nei collegamenti VLAN criptati

Quando tenti di creare un gateway VPN ad alta disponibilità da utilizzare in un deployment di VPN ad alta disponibilità su Cloud Interconnect, viene visualizzato il seguente errore:

One of the VLAN attachments has private IP address type, while the other one
has public IP address type; they must have same IP address type.

Questo errore si verifica quando specifichi due collegamenti VLAN criptati per un gateway VPN ad alta disponibilità e questi hanno schemi di indirizzamento IP diversi per le interfacce del tunnel VPN ad alta disponibilità. I tipi di indirizzo IP devono corrispondere in entrambi i collegamenti VLAN.

Durante la creazione del gateway VPN, specifica i collegamenti VLAN che utilizzano entrambi gli indirizzi IP privati o entrambi gli indirizzi IP pubblici. Se ricevi questo errore durante la creazione di un gateway VPN, prova a ricreare il collegamento VLAN con il tipo di indirizzo corretto.

Collegamento VLAN mancante dall'interfaccia del gateway VPN ad alta disponibilità

Se viene eseguito il deployment per la VPN ad alta disponibilità su Cloud Interconnect, un gateway VPN ad alta disponibilità deve avere un collegamento VLAN criptato specificato per entrambe le interfacce.

Se specifichi un solo collegamento VLAN, viene visualizzato il seguente errore:

VPN Gateway should have VLAN attachment specified in both interfaces or in none.

Per risolvere il problema, crea il gateway VPN ad alta disponibilità e specifica due collegamenti VLAN.

Tipo di collegamento VLAN non valido

I collegamenti VLAN criptati devono avere il tipo DEDICATED o PARTNER.

Se specifichi un tipo non valido per un collegamento VLAN criptato, viene visualizzato il seguente messaggio di errore:

VLAN attachment should have type DEDICATED or PARTNER.

Per risolvere il problema, crea solo collegamenti VLAN criptati con il tipo DEDICATED o PARTNER.

Valore MTU errato per il collegamento VLAN

Quando crei un collegamento VLAN criptato per Dedicated Interconnect, viene visualizzato il seguente messaggio di errore:

Wrong MTU value [mtuValue] for VLAN attachment.
The supported MTU for IPsec packets for HA VPN over Cloud Interconnect is 1440.

Per risolvere il problema, ricrea l'allegato con il valore corretto di 1440, che è il valore predefinito.

I collegamenti VLAN hanno un tipo diverso

Quando specifichi i collegamenti VLAN criptati per le interfacce del gateway VPN ad alta disponibilità, viene visualizzato il seguente messaggio di errore:

VLAN attachments should both have same type DEDICATED or PARTNER.
But found one DEDICATED and one PARTNER.

Per risolvere il problema, specifica due collegamenti VLAN dello stesso tipo, DEDICATED o PARTNER.

I collegamenti VLAN dedicati non si trovano nella stessa area metropolitana

Quando specifichi i collegamenti VLAN criptati per le interfacce del gateway VPN ad alta disponibilità, viene visualizzato il seguente messaggio di errore:

Dedicated VLAN attachments should be in the same metropolitan area.

Per risolvere il problema, crea due collegamenti VLAN criptati per Dedicated Interconnect nella stessa area metropolitana.

Il gateway VPN ad alta disponibilità non si trova nella stessa rete del collegamento VLAN

Quando specifichi i collegamenti VLAN criptati per le interfacce del gateway VPN ad alta disponibilità, viene visualizzato il seguente messaggio di errore:

VPN Gateway should be in the same network as VLAN attachment.
VLAN attachment network: [networkName], VPN gateway network: [networkName]

Per risolvere il problema, crea il gateway VPN ad alta disponibilità nella stessa rete dei collegamenti VLAN criptati.

Tipo di crittografia errato per il collegamento VLAN

Quando specifichi i collegamenti VLAN criptati per le interfacce del gateway VPN ad alta disponibilità, viene visualizzato il seguente messaggio di errore:

Wrong encryption type for VLAN attachment [interconnectAttachmentName],
required IPSEC.

Per risolvere il problema, specifica solo i collegamenti VLAN criptati configurati con il tipo di crittografia IPSEC. Se necessario, crea collegamenti VLAN criptati.

La zona del collegamento VLAN non corrisponde a interfaceId

Quando specifichi i collegamenti VLAN criptati per le interfacce del gateway VPN ad alta disponibilità, viene visualizzato il seguente messaggio di errore:

VLAN attachment zone should match interfaceId: interface 0 - zone1,
interface 1 - zone2, but found interface [interfaceId] - [zone] for
[interconnectAttachmentName].

La prima interfaccia del gateway VPN ad alta disponibilità (interface 0) deve corrispondere al collegamento VLAN criptato della zona 1 e la seconda interfaccia (interface 1) deve corrispondere al collegamento VLAN criptato della zona 2.

Per risolvere il problema, specifica i collegamenti VLAN criptati dalle zone corrispondenti correttamente alle interfacce del gateway VPN ad alta disponibilità.

Il gateway VPN non si trova nella stessa regione del collegamento VLAN

Quando specifichi i collegamenti VLAN criptati per le interfacce del gateway VPN ad alta disponibilità, viene visualizzato il seguente messaggio di errore:

VPN Gateway should be in the same region as VLAN attachment.
VLAN attachment region: [region], VPN gateway region: [region].

Per risolvere il problema, crea gateway VPN ad alta disponibilità e collegamenti VLAN criptati nella stessa regione.

Il collegamento VLAN partner non è in stato attivo

Quando specifichi i collegamenti VLAN criptati per Partner Interconnect per le interfacce del gateway VPN ad alta disponibilità, viene visualizzato il seguente messaggio di errore:

Interconnect Attachments [name] must be in active state.

Devi attivare i collegamenti VLAN per Partner Interconnect prima di associarli alle interfacce del gateway VPN ad alta disponibilità.

Per saperne di più, vedi Attivare le connessioni.

Tipo errato di router cloud specificato per il collegamento VLAN

Quando provi a creare un collegamento VLAN criptato, viene visualizzato il seguente messaggio di errore:

Router must be an encrypted interconnect router.

Per risolvere il problema, crea un router Cloud con il flag --encrypted-interconnect-router. Questo router Cloud viene utilizzato esclusivamente per la VPN ad alta disponibilità su Cloud Interconnect.

Quindi, crea il collegamento VLAN criptato e fornisci il router Cloud criptato.

Cross-Cloud Interconnect

Questa sezione descrive i problemi che possono verificarsi con Cross-Cloud Interconnect.

Google supporta la connessione fino al punto in cui raggiunge la rete dell'altro tuo provider di servizi cloud. Google non garantisce l'uptime da parte dell'altro provider di servizi cloud e non può creare un ticket di assistenza per conto tuo. Con la tua autorizzazione, l'assistenza clienti Google Cloud può comunicare direttamente con il team di assistenza dell'altro provider di servizi cloud per accelerare la risoluzione dei problemi. Tuttavia, devi aver aperto un ticket di assistenza con l'altro fornitore.

Mancate corrispondenze tra porte ridondanti

Dopo aver ordinato le porte Cross-Cloud Interconnect, fornisci a Google informazioni su come vuoi che le porte siano connesse alle porte cloud remote. Utilizzerai queste informazioni anche in un secondo momento, quando configurerai le risorse. Se hai problemi di connettività, uno dei problemi potrebbe essere che non hai utilizzato i dettagli di connettività corretti.

Ad esempio, potresti fornire istruzioni come le seguenti:

  • Collega gcp-1 a azure-1.

  • Collega gcp-2 a azure-2.

Tuttavia, quando configuri le risorse, potresti presumere che le porte siano connesse nel seguente modo:

  • Collega gcp-1 a azure-2.

  • Collega gcp-2 a azure-1.

Questa condizione potrebbe essere rilevabile tramite l'esame della cache ARP. Tuttavia, una soluzione più semplice è andare sul cloud remoto e provare a scambiare gli intervalli di indirizzi IP assegnati ai due peer BGP.

Ad esempio, supponiamo che azure-1 abbia un peering di collegamento VLAN su 169.254.0.2 e che azure-2 abbia un peering di collegamento VLAN su 169.254.99.2. Scambia gli intervalli di indirizzi IP in modo che l'allegato azure-1 utilizzi 169.254.99.2 e l'allegato azure-2 utilizzi 169.254.0.2.

Se hai utilizzato ID VLAN diversi per il collegamento su ogni porta, devi anche scambiare gli ID VLAN utilizzati dai collegamenti. Per Azure, questo scenario è impossibile perché richiede l'utilizzo dello stesso ID VLAN su entrambe le porte per ogni collegamento.

ID VLAN

A volte i problemi di connettività possono essere ricondotti a errori nei valori dell'ID VLAN. L'ID VLAN è un campo del collegamento VLAN Cross-Cloud Interconnect.

Azure

Azure richiede che gli ID VLAN vengano allocati in modo identico su entrambe le porte di una coppia. Quando crei il collegamento VLAN, la console Google Cloud impone questo requisito. Tuttavia, se configuri i collegamenti utilizzando Google Cloud CLI o l'API, è possibile allocare ID VLAN diversi. Questo rischio è particolarmente elevato se consenti l'assegnazione automatica degli ID VLAN quando crei il collegamento. Se non imposti esplicitamente l'ID, questo viene assegnato automaticamente.

AWS

Quando ti connetti ad AWS, puoi utilizzare l'assegnazione automatica degli ID VLAN. Tuttavia, quando configuri le risorse AWS, devi configurare manualmente gli ID VLAN in modo che corrispondano a quelli assegnati automaticamente. Google Cloud Inoltre, è importante non confondere l'ID VLAN da utilizzare per ogni porta. Se su una porta è configurato l'ID VLAN errato, i router virtuali non possono comunicare.

Verificare la connettività

Se non l'hai ancora fatto, segui i passaggi per verificare la connettività tra Google Cloud e la tua rete cloud remota: