Troubleshoot Network Connectivity Center

Découvrez les étapes de dépannage qui pourraient vous être utiles en cas de problème lors de l'utilisation de Network Connectivity Center, des spokes hybrides, des spokes VPC, des spokes de passerelle NCC ou de la propagation de connexion Private Service Connect.

Pour en savoir plus sur les problèmes connus, consultez la section Remarques de la page "Présentation".

Problèmes courants avec la syntaxe de commande

Lorsque vous mettez à jour un spoke, vous devez spécifier l'emplacement dans lequel il se trouve.

Associer des ressources aux spokes

Pour plus d'informations sur les exigences, les recommandations et les éléments à prendre en compte pour créer des spokes et y associer des ressources, consultez la section Utiliser des spokes.

Les routes ne sont pas réparties entre les régions

Si les routes ne sont pas réparties correctement entre les régions, vérifiez que le mode de routage dynamique du réseau VPC est défini sur global.

Le trafic de transfert de données ne transite pas entre deux réseaux non-Google Cloud Google Cloud

Dans ce contexte, un réseau non-Google Cloud Google Cloud est votre centre de données sur site , une filiale ou le réseau d'un autre fournisseur cloud.

Si le trafic de transfert de données ne se situe pas entre deux emplacements, vérifiez que les ressources suivantes sont correctement configurées et fonctionnent :

Annonces de routage en double à partir de sessions BGP

S'il existe des annonces de routage en double (certaines provenant de sessions BGP participant au transfert de données et d'autres de sessions ne participant pas au transfert de données), le trafic de transfert de données peut utiliser ECMP pour distribuer le trafic à tous les sauts suivants disponibles, même si ces sauts suivants ne participent pas explicitement au transfert de données.

Connexion d'interconnexion à un emplacement non compatible (réseau non-Google Cloud Google Cloud)

Pour obtenir un exemple de configuration d'annonces de routage lorsqu'une de vos connexions par interconnexion redondante est à un emplacement non compatible, consultez la section Configurer un routeur externe pour éviter les emplacements non compatibles.

Résoudre les problèmes de connectivité réseau à l'aide de Tests de connectivité

Les tests de connectivité se présentent comme un outil de diagnostic qui vous permet de vérifier la connectivité entre les points de terminaison de votre réseau. Cet outil analyse votre configuration et, dans certains cas, procède à la vérification de l'exécution.

Pour analyser les configurations réseau, les tests de connectivité simulent le chemin de transfert attendu d'un paquet via votre réseau cloud privé virtuel (VPC), vos tunnels Cloud VPN, vos rattachements de VLAN ou vos

Vous pouvez utiliser l'analyse de configuration "Tests de connectivité" pour évaluer la joignabilité des réseaux suivants :

Étant donné que Tests de connectivité n'a pas accès à votre configuration réseau sur site, il ne peut pas vérifier la configuration des routes et des règles de pare-feu sur votre routeur sur site. Ainsi, le trafic entre votre réseau sur site et votre réseau VPC est toujours considéré comme valide par l'analyse de la configuration des tests de connectivité, et seules les configurations de Google Cloud sont validées.

Pour exécuter Tests de connectivité entre deux réseaux sur site connectés via NCC, consultez la section Effectuer un test d'un réseau non-Google Cloud Google Cloud à un autreGoogle Cloud réseau.

Pour en savoir plus, consultez la présentation de Tests de connectivité.

Résoudre les problèmes liés aux spokes hybrides

Le problème suivant peut se produire dans les appareils de routeur, les rattachements de VLAN et les spokes de VPN.

Les sous-réseaux de hub configurés ne sont pas annoncés sur un réseau sur site

Si les sous-réseaux de hub configurés ne sont pas annoncés sur le réseau sur site, vérifiez que le tableau de routage du hub du groupe de spokes hybrides ne présente pas les problèmes suivants :

  • Si les sous-réseaux s'affichent dans la table de routage du hub, procédez comme suit :

  • Si les sous-réseaux ne figurent pas dans la table de routage du hub, procédez comme suit :

    • Vérifiez les plages d'adresses IP include-export et exclude-export sur le spoke VPC des sous-réseaux. Si le sous-réseau est filtré par des plages include-export ou exclude-export, vous pouvez mettre à jour le spoke VPC.

Troubleshoot Router appliance

Les solutions et problèmes suivants sont propres à l'appareil de routeur.

La documentation sur le dépannage de Cloud Router s'applique également à l'appareil de routeur, ainsi qu'aux problèmes décrits dans les sections suivantes.

Pour en savoir plus, consultez les ressources suivantes :

Échec de l'établissement de sessions BGP

Si vous ne parvenez pas à établir des sessions BGP entre Cloud Router et l'appareil de routeur, vérifiez les points suivants :

  • Assurez-vous qu'une VM agissant en tant qu'instance d'appareil de routeur est configurée dans le cadre d'un spoke dans le Network Connectivity Center. Pour configurer une instance d'appareil de routeur dans le cadre d'un spoke, consultez la section Utiliser des spokes.
  • Vérifiez les paramètres de votre pare-feu pour vous assurer que le port TCP 179 est autorisé. Pour configurer les paramètres de pare-feu pour l'appareil de routeur, consultez la section Créer des instances d'appareils de routeur.
  • Veillez à ce que ni l'instance Cloud Router ni l'instance de votre appareil de routeur n'utilisent des adresses de liaison locale (c'est-à-dire 169.254.x.x) pouvant s'appairer. Pour obtenir des conseils, consultez la section Adresses IP et instances d'appareils de routeur .
  • Assurez-vous que Cloud Router a établi deux sessions BGP distinctes pour votre instance d'appareil de routeur, l'une dans chaque interface Cloud Router. L'instance d'appareil de routeur doit annoncer les mêmes routes sur les deux sessions BGP. Si l'une de vos sessions BGP est interrompue et que la VM d'appareil de routeur perd la communication avec Cloud Router, vérifiez la configuration de vos interfaces Cloud Router. Pour en savoir plus, consultez la page Créer des instances d'appareils de routeur.

Problèmes liés aux adresses IP internes pour les sessions BGP sur les instances d'appareils de routeur

Si vous rencontrez des problèmes liés à la configuration des adresses IP pour les instances d'appareils de routeur, assurez-vous d'avoir configuré des adresses IP internes RFC 1918 pour les sessions BGP entre Cloud Router et les VM agissant en tant qu'instances d'appareils de routeur.

Les instances d'appareils de routeur n'utilisent pas les adresses 169.254.x.x pour les sessions BGP. À la place, elles doivent utiliser les adresses IP figurant dans le même sous-réseau VPC que le routeur Cloud Router. Pour plus d'informations, consultez la page Créer des instances d'appareils de routeur.

Résoudre les problèmes liés aux spokes VPC

Autorisations

If permission is denied when creating a spoke in a different project from the hub, check with the hub administrator to confirm that you have been granted the required networkconnectivity.groups.use permission on the hub.

Échecs de création de spokes VPC

Si la création de votre spoke VPC a échoué, cela peut être dû à l'une des raisons suivantes :

  • Le réseau VPC est déjà appairé avec un ou plusieurs des spokes existants à l'aide de l'appairage VPC.
  • Subnets overlap with existing VPC spokes.
  • Les sous-réseaux se chevauchent avec les pairs des spokes VPC existants.
  • Vous avez dépassé le quota de spokes VPC.
  • Vous avez dépassé le quota de routes par hub pour la table de routage.
  • Plus de 16 filtres d'exportation sont spécifiés.
  • Les sous-réseaux du réseau VPC sont plus grands qu'un ou plusieurs filtres spécifiés.

Pour les erreurs liées aux quotas, consultez la page Quotas et limites.

Échecs de création d'un spoke VPC après la suppression d'un spoke

Après avoir supprimé un spoke, vous devez respecter une période d'attente d'au moins 10 minutes avant de créer un spoke pour le même réseau VPC associé à un autre hub. Cette période d'attente n'est pas nécessaire si le réseau VPC est ajouté en tant que spoke au même hub.

Échecs de création de sous-réseau dans un spoke VPC

Si vous rencontrez un échec de création de sous-réseau dans un spoke VPC, cela peut être dû à l'une des raisons suivantes :

  • Il existe des sous-réseaux qui se chevauchent dans d'autres spokes VPC ou pairs de spokes VPC.
  • Vous avez dépassé le quota de routes par hub pour la table de routage.
  • Les sous-réseaux du réseau VPC sont plus grands qu'un ou plusieurs filtres spécifiés.

The VPC spoke is created but dataplane connectivity is missing

If your VPC spoke is showing as created, but dataplane connectivity is missing, it could be due to one of the following reasons:

  • The spoke is in a different project from the hub and the hub administrator has not accepted the spoke proposal.
  • All subnets in the VPC network are filtered and excluded from connectivity.
  • Les sous-réseaux de destination sont filtrés en fonction des filtres de spoke VPC correspondants.

La table de routage de hub n'affiche pas certains sous-réseaux dans les spokes VPC

Si votre table de routage de hub n'affiche pas certains sous-réseaux dans les spokes VPC, cela peut être dû à l'une des raisons suivantes :

  • The subnets are filtered using export filters.
  • Les sous-réseaux ont été créés au cours des 5 à 10 dernières minutes, et la table de routage du hub n'a pas encore été actualisée.

Échec de la mise à jour du spoke VPC

Assurez-vous que vos mises à jour de spoke respectent tous les quotas et limites NCC . Sinon, la mise à jour du spoke échoue.

Si un spoke VPC ou un spoke VPC de producteur se trouve dans un projet différent de celui contenant le hub, et qu'un administrateur de hub n'a pas activé l'acceptation automatique des propositions du projet de spoke, un administrateur de hub doit accepter ou refuser une mise à jour proposée. Pour en savoir plus sur la vérification de l'état de la proposition de mise à jour du spoke, consultez la section Vérifier l'état d'un spoke VPC.

Résoudre les erreurs de propagation de connexion Private Service Connect

Avant de vous pencher sur les problèmes, familiarisez-vous avec les pages suivantes :

VM in one spoke can't access the Private Service Connect connection in another spoke

If a VM in one VPC spoke can't access the Private Service Connect endpoint in another spoke, make sure that the following conditions are met:

  • Le champ --export_psc est activé dans le hub.

    To check if the --export_psc field is enabled in the hub, use the gcloud network-connectivity hubs describe command.

    gcloud 

    gcloud network-connectivity hubs describe HUB_NAME \
    --project=PROJECT_ID \
    --format='get(export_psc)'

    Remplacez les valeurs suivantes :

    • HUB_NAME : nom du hub
    • PROJECT_ID : ID du projet dans lequel se trouve le hub

  • L'adresse IP du point de terminaison Private Service Connect ne figure dans aucune plage d'exclusion d'exportation du spoke hôte. Les points de terminaison Private Service Connect qui se trouvent dans la plage d'exclusion d'exportation ne sont pas propagés.

    To check the specified exclude export ranges of a spoke, use the gcloud network-connectivity spokes describe command.

    gcloud 

    gcloud network-connectivity spokes describe SPOKE_NAME \
    --global \
    --project=PROJECT_ID \
    --format='get(linked_vpc_network.exclude_export_ranges)'

    Remplacez les valeurs suivantes :

    • SPOKE_NAME : le nom du spoke
    • PROJECT_ID : ID du projet où réside le spoke

  • Vous n'avez pas dépassé le quota d'utilisation de NCC quota.

  • L'état psc_connection_status du point de terminaison est ACCEPTED. Pour en savoir plus sur les états de connexion, consultez la section États de connexion.

  • L'état de connexion propagée du point de terminaison dans le spoke contenant la VM est READY. Si aucun état ne s'affiche, consultez les raisons dans la section Vous ne pouvez pas voir l'état de certains spokes cibles sur cette page. Vous pouvez vérifier l'état de la connexion propagée à l'aide de la gcloud network-connectivity hubs query-status commande :

    gcloud 

    gcloud network-connectivity hubs query-status HUB_NAME\
    --filter='psc_propagation_status.source_spoke="SOURCE_SPOKE_NAME" AND psc_propagation_status.target_spoke="TARGET_SPOKE_NAME" AND psc_propagation_status.source_forwarding_rule="ENDPOINT_NAME"

    Remplacez les valeurs suivantes :

    • HUB_NAME: nom du hub pour lequel vous souhaitez vérifier l'état de propagation de la connexion
    • SOURCE_SPOKE_NAME : nom du spoke source
    • TARGET_SPOKE_NAME : nom du spoke cible
    • ENDPOINT_NAME : nom du point de terminaison

    Pour en savoir plus sur l'utilisation de ces options, consultez la page de la commande gcloud network-connectivity hubs query-status.

  • Le réseau VPC hôte du point de terminaison Private Service Connect (source) est un spoke VPC dans le hub.

  • L'adresse IP du point de terminaison Private Service Connect est une adresse RFC 1918.

Vous avez dépassé le quota de producteur

Si le message d'erreur PRODUCER_QUOTA_EXHAUSTED s'affiche, vous pouvez demander au producteur de services d'augmenter le quota PSC_ILB_CONSUMER_FORWARDING_RULES_PER_PRODUCER_NETWORK. Pour en savoir plus, consultez la section Par réseau de la documentation VPC.

Vous avez dépassé la limite de connexion propagée du producteur

Si une erreur s'affiche concernant le dépassement de la limite de connexion propagée d'un rattachement de service, vous pouvez demander au producteur de services d' augmenter la limite. Lorsqu'un producteur de services met à jour la limite de connexion propagée, Google Cloud vérifie automatiquement si des connexions propagées en attente peuvent être créées.

L'espace d'adresses IP NAT du producteur est épuisé

Si le message d'erreur PRODUCER_NAT_IP_SPACE_EXHAUSTED s'affiche, cela signifie que vous devrez peut-être demander au producteur de services d'ajouter des sous-réseaux NAT. Pour en savoir plus sur l'ajout de sous-réseaux, consultez la section Ajouter des sous-réseaux à un service publié ou en supprimer.

Vous avez dépassé le quota de consommateur

Si le message d'erreur CONSUMER_QUOTA_EXHAUSTED s'affiche, contactez le propriétaire du réseau VPC de consommateur et demandez une augmentation du quota PSC_PROPAGATED_CONNECTIONS_PER_VPC_NETWORK.

Vous avez dépassé le quota de règles de transfert Private Service Connect

Si le message d'erreur Quota limit PerProjectPerHubPscIlbConsumerForwardingRules has been exceeded s'affiche, vous ne pourrez peut-être pas effectuer les opérations suivantes :

  • Créer des spokes VPC ou activer l'option --export_psc dans le hub.
  • Créer une règle de transfert Private Service Connect dans un réseau VPC qui est un spoke VPC.

Pour éviter de dépasser ce quota, envisagez la stratégie suivante pour chaque spoke VPC qui doit exporter certains points de terminaison Private Service Connect vers le hub. Dans chaque région du réseau de spokes VPC, procédez comme suit :

  • Créez un sous-réseau pour les points de terminaison Private Service Connect partagés avec le hub.
  • Créez un autre sous-réseau pour les points de terminaison Private Service Connect qui ne sont pas partagés avec le hub.

Lorsque vous ajoutez le réseau VPC à un hub en tant que spoke, vous pouvez ajouter la plage d'adresses IP du sous-réseau qui héberge la plage de sous-réseaux dans le réseau VPC au filtre d'exclusion d'exportation afin qu'aucun point de terminaison Private Service Connect hébergé dans cette plage de sous-réseaux ne soit partagé avec le hub.

Vous ne pouvez pas voir l'état de certains spokes cibles

Si l'état de certains spokes cibles ne s'affiche pas, cela peut être dû à l'une des raisons suivantes :

  • Le spoke cible n'est pas un spoke VPC. Seuls les spokes VPC, y compris les réseaux VPC qui sont des spokes VPC et qui contiennent également des spokes hybrides, peuvent recevoir des connexions propagées. Un spoke hybride dans un réseau VPC de routage qui n'est pas également un spoke VPC ne peut pas recevoir de connexions propagées.

  • NCC n'affiche l'état de propagation que pour chaque spoke VPC. Si un réseau VPC est à la fois un spoke VPC et contient des spokes hybrides, vérifiez l'état de propagation de son spoke VPC pour déterminer si les spokes hybrides contenus ont une connectivité aux points de terminaison Private Service Connect propagés.

  • Si un réseau VPC est à la fois le réseau VPC de producteur Private Service Connect et un spoke VPC sur un hub qui propage ses points de terminaison, NCC ne propage pas ses points de terminaison vers le réseau VPC de producteur lui-même.

  • La propagation n'est pas autorisée par la topologie du hub. Par exemple, si le hub est configuré pour utiliser une topologie en étoile, les conditions suivantes sont également vraies :

    • Les points de terminaison Private Service Connect du groupe central sont propagés à tous les autres spokes VPC.
    • Les points de terminaison Private Service Connect du groupe périphérique ne sont propagés qu'aux spokes VPC du groupe central.

Résoudre les problèmes liés à l'échange de routes des spokes VPC

Les spokes VPC et les spokes hybrides sont associés au même hub, mais la connectivité du plan de données est manquante

Si les spokes VPC et les spokes hybrides sont associés au même hub, mais que la connectivité du plan de données est manquante, cela peut être dû à l'une des raisons suivantes :

  • Le spoke est un spoke multiprojet et l'administrateur du hub n'a pas accepté la proposition de spoke.
  • Tous les sous-réseaux du réseau VPC sont filtrés et exclus de la connectivité.
  • La propagation automatique des sous-réseaux VPC n'est pas activée ou l'annonce de routes personnalisées n'est pas configurée.
  • Le quota de routes dynamiques est épuisé.

La table de routage du hub n'affiche pas certaines routes dynamiques ou affiche des routes dynamiques superflues

La table de routage du hub peut ne pas afficher correctement les routes dynamiques pour l'une des raisons suivantes :

  • Les routes BGP ont été annoncées ou retirées au cours des cinq à dix dernières minutes, et la table de routage du hub n'est pas encore mise à jour.
  • Le quota de routes dynamiques est épuisé.

Échec de la création d'un spoke hybride

Si la création d'un spoke hybride échoue, cela peut être dû à l'une des raisons suivantes :

  • Le réseau VPC de routage peut être un spoke VPC existant pour le même hub ou un autre hub.
  • Le réseau VPC de routage peut être associé implicitement à un autre hub en raison d'un spoke hybride existant connecté à ce hub. Les associations hybrides d'un réseau VPC ne peuvent devenir des spokes que pour un seul hub.

Échec de la création d'un spoke VPC

La création d'un spoke VPC peut échouer si le spoke VPC est associé implicitement à un hub en tant que réseau VPC de routage.

Message d'erreur

Si vous essayez de créer un spoke et que vous recevez un message d'erreur indiquant An internal error occurred, contactez Google Cloud l'assistance pour résoudre le problème.

Résoudre les problèmes liés aux spokes de passerelle NCC

Vous pouvez afficher les services et les routeurs connectés à votre passerelle NCC à l'aide de la gcloud network-connectivity spokes describe commande sur la ressource de spoke de passerelle NCC.

gcloud 

  gcloud network-connectivity spokes describe SPOKE_NAME \
      --region REGION

Remplacez les éléments suivants :

  • SPOKE_NAME : nom du spoke de passerelle NCC
  • REGION : région dans laquelle se trouve le spoke

Le résultat ressemble à ce qui suit :

createTime: '2022-11-25T06:06:11.572019860Z'
hub: projects/PROJECT/locations/REGION/hubs/HUB
gateway:
  ipRangeReservation: 10.1.2.0/24
  asn: 65123
  routers:
    projects/PROJECT/locations/REGION/routers/ROUTER

name: projects/PROJECT/locations/REGION/spokes/SPOKE
state: ACTIVE
uniqueId: 8ca10af0-ee69-43c2-b0b4-61e8f53d410b
updateTime: '2023-12-27T21:26:47.786506888Z'

Vous pouvez afficher la table de routage VPC de l'application et la route de table de routage de hub créée qui est propagée à votre table de routage VPC avec le saut suivant en tant que hub à l'aide de la gcloud compute routes list commande :

gcloud 

  gcloud compute routes list \
      --filter="network=NETWORK"

Remplacez NETWORK par le nom du réseau VPC.

Le résultat ressemble à ce qui suit :

NAME                                                  NETWORK  DEST_RANGE    NEXT_HOP  PRIORITY
ncc-static-route-7296f3a4-cdc2-4560-a905-95cdb1d6833e  vpc-1    17.0.0.0/8   hub       0

Vous pouvez afficher la table de routage du hub pour le groupe de spokes et voir la même route créée pointant vers le spoke de passerelle NCC à l'aide de la gcloud network-connectivity hubs route-tables routes list commande :

gcloud 

  gcloud network-connectivity hubs route-tables routes list --hub=HUB_NAME \
      --route_table

Remplacez HUB_NAME par le nom du hub.

La table de routage du hub n'affiche pas les routes annoncées de passerelle

Si votre table de routage de hub n'affiche pas certaines des routes annoncées de passerelle avec le spoke de passerelle comme saut suivant, cela peut être dû au fait que les routes ne sont pas installées dans le plan de données. Cela peut entraîner des problèmes de connectivité entre les spokes VPC et les applications sur site connectées via le spoke de passerelle NCC. Essayez de supprimer et de créer des routes annoncées de passerelle en procédant comme suit :

  1. Supprimer la route annoncée
  2. Créer une route annoncée de passerelle NCC

  3. Affichez la route annoncée associée à la passerelle NCC en utilisant la commande gcloud beta network-connectivity spokes gateways advertised-routes list :

    gcloud 

    gcloud beta network-connectivity spokes gateways advertised-routes list
    --region=REGION

    Remplacez REGION par la région dans laquelle se trouve le spoke.

  4. Vérifiez la route annoncée de passerelle dans la table de routage du hub à l'aide de la gcloud network-connectivity hubs route-tables list commande :

    gcloud 

    gcloud network-connectivity hubs route-tables list \
    --hub=HUB_NAME

    Remplacez HUB_NAME par le nom du hub pour lequel vous souhaitez afficher la table de routage.

    Le résultat renvoyé ressemble à ceci : Une entrée pour votre route annoncée de passerelle doit être présente dans le résultat.

    gcloud  network-connectivity hubs route-tables routes list --hub=HUB_NAME --route_table PROD
IP_CIDR_RANGE  STATE    TYPE      NEXT_HOP   HUB       ROUTE_TABLE     PRIORITY
10.0.0.0/8     ACTIVE   NCC_GW    NCC-GW-1   HUB_NAME  PROD            100

Pour résoudre les problèmes liés à Cloud Router, consultez la section Résoudre les problèmes liés aux messages de journal Cloud Router.

Pour résoudre les problèmes liés à Cloud Interconnect, consultez la page Dépannage de Cloud Interconnect.