Resolver problemas do Network Connectivity Center

Saiba mais sobre as etapas de solução de problemas que podem ser úteis se você tiver problemas ao usar o Network Connectivity Center, spokes híbridos, spokes de VPC, spokes de gateway do NCC ou propagação de conexão do Private Service Connect.

Para limitações conhecidas, consulte Considerações sobre o Network Connectivity Center na página de visão geral.

Problemas comuns com a sintaxe do comando

Ao atualizar um spoke, é preciso especificar o local em que ele está.

Anexar recursos a spokes

Para ver requisitos detalhados, recomendações e considerações para criar spokes e anexar recursos a eles, consulte Trabalhar com spokes.

As rotas não são distribuídas entre as regiões

Se as rotas não estiverem sendo distribuídas corretamente entre as regiões, verifique se o modo de roteamento dinâmico da rede VPC está definido como global.

O tráfego de transferência de dados não flui entre duas redes que não são doGoogle Cloud

Nesse contexto, uma rede que não é doGoogle Cloud refere-se ao seu data center local, a uma filial ou à rede de outro provedor de nuvem.

Se o tráfego de transferência de dados não estiver fluindo entre dois locais, confirme se os seguintes recursos estão configurados e funcionando corretamente:

• Verifique a funcionalidade dos túneis de VPN de alta disponibilidade ou anexos da VLAN que são adicionados como spokes.
• Verifique as rotas programadas entre os dois locais.
• Verifique se as atribuições de ASN estão configuradas conforme descrito em Requisitos do ASN para a transferência de dados site a site.
• Verifique se cada spoke tem o campo de transferência de dados site a site definido como true.

Divulgações de rota duplicadas de sessões do BGP

Se houver divulgações de rota duplicadas, algumas de sessões do BGP participantes da transferência de dados e outras de sessões não participantes, o tráfego de transferência de dados poderá usar o ECMP para distribuir o tráfego a todos os próximos saltos disponíveis, mesmo que eles não estejam participando explicitamente da transferência de dados.

Conexão de interconexão com um local sem suporte (rede que não seja doGoogle Cloud )

Para ver um exemplo de como configurar divulgações de rota quando uma das suas conexões de interconexão redundantes é de um local não compatível, consulte Configurar roteador externo para evitar locais incompatíveis.

Resolver problemas de conectividade de rede usando testes de conectividade

Os testes de conectividade são uma ferramenta de diagnóstico que permite verificar a conectividade entre os endpoints na sua rede. Eles analisam a configuração e, em alguns casos, executam a verificação de ambiente de execução.

Para analisar as configurações de rede, os testes de conectividade simulam o caminho de encaminhamento esperado de um pacote pela rede de nuvem privada virtual (VPC), túneis do Cloud VPN, anexos da VLAN ou

É possível usar a análise de configuração dos Testes de conectividade para avaliar a acessibilidade das seguintes redes:

• De uma rede que não é doGoogle Cloud para uma rede VPC conectadas pelo Network Connectivity Center. Nesse contexto, uma rede que não é doGoogle Cloud normalmente é o data center local, uma filial ou a rede de outro provedor de nuvem.
• Fazer testes entre instâncias de VM usando um hub do Network Connectivity Center

Como os Testes de conectividade não têm acesso à configuração de rede local, eles não podem verificar a configuração de rotas e regras de firewall no roteador local. Assim, o tráfego da rede local para a rede VPC é sempre considerado válido pela análise de configuração dos Testes de conectividade, e somente as configurações no Google Cloud são verificadas.

Para executar testes de conectividade entre duas redes locais conectadas pelo Network Connectivity Center, consulte Testar de uma rede que não éGoogle Cloud para uma rede que não éGoogle Cloud .

Para mais informações, consulte a visão geral dos testes de conectividade.

Resolver problemas de spokes híbridos

O problema a seguir pode ocorrer em spokes de dispositivo roteador, anexo da VLAN e VPN.

As sub-redes configuradas do hub não são divulgadas para uma rede local

Se as sub-redes configuradas do hub não forem divulgadas para a rede local, verifique a tabela de rotas do hub do grupo de spokes híbridos em relação aos seguintes problemas:

• Se as sub-redes forem exibidas na tabela de rotas do hub, faça isto:

  • Verifique se a política de rota do BGP não descartou a sub-rede a ser divulgada.

  • Entre em contato com o suporte doGoogle Cloud para diagnosticar o problema.

• Se as sub-redes não estiverem na tabela de rotas do hub, faça o seguinte:

  • Verifique os intervalos de endereços IP de inclusão/exportação e exclusão/exportação no spoke do VPC das sub-redes. Se a sub-rede for filtrada por intervalos de inclusão/exportação ou exclusão/exportação, será possível atualizar o spoke da VPC.

Resolver problemas do dispositivo roteador

Os problemas e soluções a seguir são exclusivos do dispositivo Router.

A documentação para solucionar problemas do Cloud Router também se aplica ao dispositivo do roteador, junto com os problemas descritos nas seções a seguir.

Para ver mais informações, consulte os seguintes tópicos:

• Resolver problemas de sessões do BGP
• Resolver problemas de peering do BGP
• Resolver problemas de rotas do BGP e seleção de rota
• Resolver problemas de mensagens de registro do Cloud Router

Falha ao estabelecer sessões do BGP

Se as sessões do BGP entre o Cloud Router e o dispositivo roteador não forem estabelecidas, verifique se há os seguintes problemas:

• Certifique-se de que uma VM atuando como uma instância de dispositivo do roteador esteja configurada como parte de uma fala do Network Connectivity Center. Para configurar uma instância do dispositivo do roteador como parte de um spoke, consulte Trabalhar com spokes.
• Verifique as configurações do firewall para garantir que a porta TCP 179 seja permitida. Para definir as configurações de firewall para o roteador do roteador, consulte Criar instâncias do dispositivo do roteador.
• Certifique-se de que nem o Cloud Router nem a instância do dispositivo do roteador estejam usando endereços link-local (ou seja, 169.254.x.x) para fazer peering entre si. Para mais orientações, consulte Endereços IP e instâncias do dispositivo roteador.
• Certifique-se de que o Cloud Router tenha estabelecido duas sessões do BGP separadas para a instância do dispositivo do roteador, uma de cada interface do Cloud Router. A instância do dispositivo do roteador precisa anunciar as mesmas rotas nas duas sessões do BGP. Se uma das sessões do BGP ficar inativa e a VM do dispositivo de roteador perder a comunicação com o Cloud Router, verifique a configuração das interfaces do Cloud Router. Para mais informações, consulte Criar instâncias de dispositivo do roteador.

Problemas com endereços IP internos para sessões do BGP em instâncias de dispositivo do roteador

Se você descobrir problemas relacionados à configuração do seu endereço IP para instâncias de dispositivo do roteador, verifique se configurou endereços IP internos RFC 1918 para sessões do BGP entre o Cloud Router e as VMs atuando como instâncias do dispositivo do roteador.

As instâncias do dispositivo do roteador não usam endereços 169.254.x.x para sessões do BGP. Em vez disso, eles precisam usar endereços IP na mesma sub-rede VPC que o Cloud Router. Para mais informações, consulte Criar instâncias do dispositivo de roteador.

Resolver problemas de spokes VPC

Permissões

Se a permissão for negada ao criar um spoke em um projeto diferente do hub, verifique com o administrador do hub se você recebeu a permissão networkconnectivity.groups.use necessária no hub.

Falhas na criação de spoke VPC

Se a criação do spoke da VPC falhou, pode ser por um dos seguintes motivos:

• A rede VPC já faz peering com um ou mais spokes atuais usando o peering de VPC.
• As sub-redes se sobrepõem a spokes VPC.
• As sub-redes se sobrepõem a pares de spokes VPC.
• Você excedeu a cota de spokes VPC.
• Você excedeu a cota da tabela de rotas por rota hub.
• Mais de 16 filtros de exportação foram especificados.
• As sub-redes na rede VPC são maiores que um ou mais filtros especificados.

Para erros relacionados à cota, consulte Cotas e limites.

Falhas na criação de spokes VPC após a exclusão de um spoke

Depois de excluir um spoke, aguarde um período de espera de pelo menos 10 minutos antes de criar um novo spoke para a mesma rede VPC anexada a um hub diferente. Esse período de espera não será necessário se a rede VPC for adicionada como spoke ao mesmo hub.

Falhas na criação de sub-rede em um spoke VPC

Se você encontrar uma falha de criação de sub-rede em um spoke VPC, pode ser devido a um dos seguintes motivos:

• Há sub-redes sobrepostas em outros spokes VPC ou pares de spokes VPC.
• Você excedeu a cota da tabela de rotas por rota hub.
• As sub-redes na rede VPC são maiores que um ou mais filtros especificados.

O spoke VPC foi criado, mas a conectividade do plano de dados está ausente

Se o spoke VPC estiver aparecendo como criado, mas a conectividade do plano de dados estiver ausente, isso pode ser devido a um dos seguintes motivos:

• O spoke está em um projeto diferente do hub e o administrador do hub não aceitou a proposta do spoke.
• Todas as sub-redes na rede VPC são filtradas e excluídas da conectividade.
• As sub-redes de destino são filtradas pelos filtros de spoke VPC correspondentes.

A tabela de rota de hub não mostra algumas sub-redes em spokes VPC

Se a tabela de rota de hub não mostra algumas das sub-redes nos spokes VPC, pode ser devido a um dos seguintes motivos:

• As sub-redes são filtradas usando filtros de exportação.
• As sub-redes foram criadas nos últimos 5 a 10 minutos e a tabela de rotas de hub ainda não foi atualizada.

Falha na atualização do spoke da VPC

Verifique se as atualizações do spoke estão em conformidade com todas as cotas e limites do Network Connectivity Center. Caso contrário, a atualização vai falhar.

Se um spoke ou spoke de VPC de produtor estiver em um projeto diferente do projeto que contém o hub, e um administrador do hub não tiver ativado a aceitação automática de propostas do projeto do spoke, um administrador do hub precisará aceitar ou rejeitar uma atualização proposta. Para informações detalhadas sobre como verificar o status da proposta de atualização do spoke, consulte Verificar o status de um spoke VPC.

Resolver erros de propagação da conexão do Private Service Connect

Antes de investigar os problemas, conheça as páginas a seguir.:

• Propagação da conexão do Private Service Connect pelo Network Connectivity Center
• Configurar um hub

A VM em um spoke não pode acessar a conexão do Private Service Connect em outro spoke

Se uma VM em um spoke VPC não puder acessar o endpoint do Private Service Connect em outro spoke, verifique se as seguintes condições são atendidas:

• O campo --export_psc está ativado no hub.

  Para verificar se o campo --export_psc está ativado no hub, use o comando gcloud network-connectivity hubs describe.

  gcloud

  gcloud network-connectivity hubs describe HUB_NAME \
      --project=PROJECT_ID \
      --format='get(export_psc)'
  

  Substitua os seguintes valores:

  • HUB_NAME: o nome do hub
  • PROJECT_ID: o ID do projeto em que o hub reside.

• O endereço IP do endpoint do Private Service Connect não está em nenhum intervalo de exclusão de exportação do spoke de hospedagem. Os endpoints do Private Service Connect que residem no intervalo de exclusão de exportação não são propagados.

  Para verificar os intervalos de exportação de exclusão especificados de um spoke, use o comando gcloud network-connectivity spokes describe.

  gcloud

  gcloud network-connectivity spokes describe SPOKE_NAME \
      --global \
      --project=PROJECT_ID \
      --format='get(linked_vpc_network.exclude_export_ranges)'
  

  Substitua os seguintes valores:

  • SPOKE_NAME: o nome do spoke
  • PROJECT_ID: o ID do projeto em que o spoke reside.

• Você não excedeu a cota de uso do Network Connectivity Center.

• O psc_connection_status do endpoint está no estado ACCEPTED. Para informações sobre os status de conexão, consulte Status da conexão.

• O status da conexão propagada do endpoint no spoke que contém a VM é READY. Se nenhum status aparecer, confira os motivos na seção Não é possível ver o status de alguns raios de segmentação desta página. Para verificar o status da conexão propagada, use o comando gcloud network-connectivity hubs query-status:

  gcloud

  gcloud network-connectivity hubs query-status HUB_NAME\
      --filter='psc_propagation_status.source_spoke="SOURCE_SPOKE_NAME" AND psc_propagation_status.target_spoke="TARGET_SPOKE_NAME" AND psc_propagation_status.source_forwarding_rule="ENDPOINT_NAME"
  

  Substitua os seguintes valores:

  • HUB_NAME: o nome do hub para o qual você quer verificar o status de propagação da conexão
  • SOURCE_SPOKE_NAME: o nome do spoke de origem
  • TARGET_SPOKE_NAME: o nome do spoke de destino
  • ENDPOINT_NAME: o nome do endpoint.

  Para informações detalhadas sobre como usar essas flags, consulte a página do comando gcloud network-connectivity hubs query-status.

• A rede VPC host do endpoint do Private Service Connect (origem) é um spoke VPC no hub.

• O endereço IP do endpoint do Private Service Connect é um endereço RFC 1918.

Você atingiu a cota do produtor

Se você receber a mensagem de erro PRODUCER_QUOTA_EXHAUSTED, peça ao produtor de serviços para solicitar um aumento de cota PSC_ILB_CONSUMER_FORWARDING_RULES_PER_PRODUCER_NETWORK. Para detalhes, consulte a seção Por rede da documentação da VPC.

Você excedeu o limite de conexões propagadas do produtor

Se você receber um erro sobre o excesso do limite de conexão propagada de um anexo de serviço, peça ao produtor de serviços para aumentar o limite. Quando um produtor de serviços atualiza o limite de conexões propagadas,o Google Cloud verifica automaticamente se é possível criar conexões propagadas pendentes.

O espaço de endereços IP NAT do produtor foi esgotado

Se você receber a mensagem de erro PRODUCER_NAT_IP_SPACE_EXHAUSTED, talvez seja necessário pedir ao produtor de serviços para adicionar sub-redes NAT. Para informações sobre como adicionar sub-redes, consulte Adicionar ou remover sub-redes de um serviço publicado.

Você esgotou a cota do consumidor

Se você receber uma mensagem de erro CONSUMER_QUOTA_EXHAUSTED, entre em contato com o proprietário da rede VPC do consumidor e peça um aumento da cota PSC_PROPAGATED_CONNECTIONS_PER_VPC_NETWORK.

Não é possível ver o status de alguns hubs de destino

Se você não encontrar o status de alguns spokes de destino, pode ser por um dos seguintes motivos:

• O spoke de destino não é um spoke VPC. Somente spokes de VPC, incluindo redes VPC que são spokes de VPC e também contêm spokes híbridos, podem receber conexões propagadas. Um spoke híbrido em uma rede VPC de roteamento que não seja também um spoke de VPC não pode receber conexões propagadas.

• O Network Connectivity Center mostra apenas o status de propagação de cada spoke de VPC. Se uma rede VPC for um spoke de VPC e contiver spokes híbridos, verifique o status de propagação do spoke de VPC para determinar se os spokes híbridos contidos têm conectividade com os endpoints propagados do Private Service Connect.

• Se uma rede VPC for a rede VPC do produtor do Private Service Connect e um spoke VPC em um hub que propaga os endpoints, o Network Connectivity Center não vai propagar os endpoints de volta para a rede VPC do produtor.

• A propagação não é permitida pela topologia do hub. Por exemplo, se o hub estiver configurado para usar a topologia em estrela, as seguintes condições também serão verdadeiras:

  • Os endpoints do Private Service Connect no grupo central são propagados para todos os outros spokes de VPC.
  • Os endpoints do Private Service Connect no grupo de borda são propagados apenas para os spokes de VPC no grupo central.

Resolver problemas na troca de rotas de spokes de VPC

Os spokes de VPC e os spokes híbridos estão anexados ao mesmo hub, mas a conectividade do plano de dados está ausente

Se os spokes de VPC e os spokes híbridos estiverem anexados ao mesmo hub mas a conectividade do plano de dados estiver ausente, pode ser devido a um dos seguintes motivos:

• O spoke é um spoke entre projetos, e o administrador do hub não aceitou a proposta spoke.
• Todas as sub-redes na rede VPC são filtradas e excluídas da conectividade.
• A propagação automática de sub-redes de VPC não está ativada ou a divulgação de rotas personalizadas não está configurada.
• A cota de rotas dinâmicas foi excedida.

A tabela de rotas do hub não mostra algumas rotas dinâmicas ou mostra rotas dinâmicas falsas

A tabela de rotas do hub pode não mostrar as rotas dinâmicas corretamente devido a um dos motivos a seguir:

• As rotas do BGP foram anunciadas ou retiradas nos últimos 5 a 10 minutos, e a tabela de rotas do hub ainda não foi atualizada.
• A cota de rotas dinâmicas foi excedida.

Falha na criação do spoke híbrido

Se a criação de um spoke híbrido falhar, pode ser devido a um dos seguintes motivos:

• A rede VPC de roteamento pode ser um spoke de VPC com o mesmo hub ou com um hub diferente.
• A rede VPC de roteamento pode estar implicitamente associada a um hub diferente devido a um spoke híbrido conectado a ele. Anexos híbridos de uma rede VPC podem se tornar spokes de apenas um hub.

Falha na criação do spoke de VPC

A criação do spoke de VPC poderá falhar se ele estiver implicitamente associada a um hub como uma rede VPC de roteamento.

Mensagem de erro

Se você tentar criar um spoke e receber a mensagem de erro An internal error occurred, entre em contato com o suporte doGoogle Cloud para resolver o problema.

Resolver problemas de spokes do gateway do NCC

Para conferir os serviços e roteadores conectados ao seu gateway do NCC, use o comando gcloud network-connectivity spokes describe no recurso de spoke do gateway do NCC.

  gcloud network-connectivity spokes describe SPOKE_NAME \
      --region REGION

createTime: '2022-11-25T06:06:11.572019860Z'
hub: projects/PROJECT/locations/REGION/hubs/HUB
gateway:
  ipRangeReservation: 10.1.2.0/24
  asn: 65123
  routers:
    projects/PROJECT/locations/REGION/routers/ROUTER

name: projects/PROJECT/locations/REGION/spokes/SPOKE
state: ACTIVE
uniqueId: 8ca10af0-ee69-43c2-b0b4-61e8f53d410b
updateTime: '2023-12-27T21:26:47.786506888Z'

É possível conferir a tabela de roteamento da VPC do aplicativo e a rota da tabela de roteamento do hub criada, que é propagada para a tabela de roteamento da VPC com o próximo salto como hub, usando o comando gcloud compute routes list:

  gcloud compute routes list \
      --filter="network=NETWORK"

NAME                                                  NETWORK  DEST_RANGE    NEXT_HOP  PRIORITY
ncc-static-route-7296f3a4-cdc2-4560-a905-95cdb1d6833e  vpc-1    17.0.0.0/8   hub       0

É possível conferir a tabela de rotas do hub para o grupo de spokes e ver a mesma rota criada apontando para o spoke do gateway do NCC usando o comando gcloud network-connectivity hubs route-tables routes list:

  gcloud network-connectivity hubs route-tables routes list --hub=HUB_NAME \
      --route_table

Substitua HUB_NAME pelo nome do hub.

A tabela de rotas do hub não mostra rotas anunciadas do gateway

Se a tabela de rotas do hub não mostrar algumas das rotas anunciadas do gateway com o spoke do gateway como próximo salto, isso pode ser devido a rotas não instaladas no plano de dados. Isso pode causar problemas de conectividade entre os spokes da VPC e os aplicativos locais conectados pelo spoke do gateway do NCC. Tente excluir e criar rotas divulgadas do gateway seguindo estas etapas:

1. Excluir a rota anunciada
2. Criar uma rota divulgada do gateway do NCC

3. Para ver a rota anunciada associada ao gateway do NCC, use o comando gcloud beta network-connectivity spokes gateways advertised-routes list:

   gcloud

   gcloud beta network-connectivity spokes gateways advertised-routes list
       --region=REGION
   

   Substitua REGION pela região em que o spoke reside.

4. Verifique a rota anunciada do gateway na tabela de rotas do hub usando o comando gcloud network-connectivity hubs route-tables list:

   gcloud

   gcloud network-connectivity hubs route-tables list \
       --hub=HUB_NAME
   

   Substitua HUB_NAME pelo nome do hub em que você quer listar a tabela de rotas.

   A resposta será semelhante a esta: Uma entrada para a rota anunciada do gateway precisa estar presente na saída.

   gcloud  network-connectivity hubs route-tables routes list --hub=HUB_NAME --route_table PROD
   IP_CIDR_RANGE  STATE    TYPE      NEXT_HOP   HUB       ROUTE_TABLE     PRIORITY
   10.0.0.0/8     ACTIVE   NCC_GW    NCC-GW-1   HUB_NAME  PROD            100
   

Para problemas com o Cloud Router, consulte Resolver problemas de mensagens de registro do Cloud Router.

Para problemas com o Cloud Interconnect, consulte a página de solução de problemas do Cloud Interconnect.