Я пытаюсь добиться этого: https://cloud.google.com/vpc/docs/vpc-peering#global и это не работает. В частности, я пытаюсь получить доступ к внешнему серверу через VPN в пиринговой сети.
Мой вопрос: какие инструменты доступны для устранения неполадок? Есть ли какие-то приемы, чтобы понять, что происходит?
Я включил логи потока, и я вижу логи SRC в исходном VPC, но у них нет информации о месте назначения. Я вообще не вижу никаких журналов в пиринговой сети.
Я новичок в Google VPC и сетях в целом, так что я мог упустить что-то простое. Я проверил маршруты и правила брандмауэра, они выглядят правильными на обоих VPC.
решение1
Журналы потока VPC — отличный инструмент для отладки проблем с сетевым подключением. Однако в вашем случае я бы рекомендовал выполнить следующие шаги по устранению неполадок:
1-В вашемсценарийвам необходимо убедиться, что vpn-соединение работает и что вы можете подключиться к внешнему локальному серверу из виртуальной машины в сети B, используяоблачный vpn.
2-Убедитесь, чтопиринг vpcработает и что виртуальные машины в сети A могут связаться с виртуальными машинами в сети B.
3-Обязательно добавьтеОбъявления о пользовательских маршрутах Cloud Routerв вашей сети VPC (Сеть-b) дляобъявлятьподсети пиринговой сети к вашей локальной сети.
EDIT для учета дополнительного комментария
Существует множество инструментов и различных подходов к устранению неполадок в работе сети между GCP и локальными серверами. Вы можете использовать следующие шаги по устранению неполадок, которые помогут вам в будущем:
1- запуск захвата пакетов с помощью wireshark или tcpdump на виртуальной машине GCP и локальном сервере для просмотра входящего/исходящего трафика.
2- Проверьте правила брандмауэра на GCP и локальном брандмауэре, чтобы убедиться, что вы разрешаете входящий/исходящий трафик от VPN-шлюзов с обеих сторон.
3. Проверьте таблицу маршрутизации локального брандмауэра/маршрутизатора и посмотрите, есть ли маршрут к подсети VPC и является ли шлюз VPN-подключения (облачный VPN) следующим узлом.
4-Проверьте маршруты на GCP и посмотрите, есть ли маршрут к подсети VPC и что удаленный одноранговый VPN-шлюз (локальный маршрутизатор/брандмауэр) является следующим хоп-узлом. Он создается автоматически на стороне GCP после создания туннеля vpn.