Alasan paket pengujian dihapus

Uji Konektivitas dapat menghentikan paket pengujian karena salah satu alasan berikut.

Untuk mengetahui daftar lengkap kemungkinan alasan, lihat Status analisis konfigurasi.

Alamat IP asing tidak diizinkan

Paket dihapus karena instance Compute Engine hanya dapat mengirim atau menerima paket dengan alamat IP asing jika penerusan IP diaktifkan.

Kemungkinan penyebab

Instance VM tidak mengaktifkan penerusan IP, tetapi alamat IP sumber atau tujuan paket yang dilalui tidak cocok dengan alamat IP instance. Hal ini mungkin terjadi, misalnya, saat paket dikirim ke instance menggunakan rute statis dengan instance VM sebagai next hop.

Rekomendasi

Buat instance Compute Engine dengan penerusan IP diaktifkan, atau tetapkan atribut yang sesuai untuk instance yang ada. Untuk mengetahui informasi lebih lanjut, baca bagian Mengaktifkan penerusan IP untuk instance.

Dihentikan karena aturan firewall

Paket dapat dihapus karena aturan firewall, kecuali jika paket tersebut diizinkan karena pelacakan koneksi.

Kemungkinan penyebab

Uji Konektivitas mungkin menolak paket pengujian karena paket tersebut sesuai dengan aturan firewall pemblokiran atau aturan kebijakan firewall. Namun, bidang data yang sebenarnya mungkin mengizinkan paket melalui karena pelacakan koneksi pada aturan firewall. Pelacakan koneksi memungkinkan paket kembali ke koneksi yang ada, meskipun ada aturan firewall.

Setiap jaringan VPC memiliki dua aturan firewall tersirat yang memungkinkan traffic keluar ke mana saja dan memblokir traffic masuk dari mana saja. Anda mungkin juga memiliki aturan firewall tolak traffic keluar dengan prioritas yang lebih tinggi.

Agar konektivitas berhasil, Anda memerlukan aturan firewall keluar di sumber yang mengizinkan akses ke endpoint tujuan, dan aturan firewall masuk di tujuan untuk mengizinkan koneksi ini.

Aturan firewall VPC bersifat stateful. Jika endpoint tujuan yang ditentukan biasanya adalah sisi yang memulai komunikasi, traffic respons otomatis diizinkan dengan pelacakan koneksi dan aturan firewall masuk tidak diperlukan.

Rekomendasi

Hapus aturan penolakan atau buat aturan izin berdasarkan detail dalam hasil Uji Konektivitas. Untuk mengetahui informasi selengkapnya, lihat Kebijakan firewall dan Menggunakan aturan firewall VPC.

Dihentikan karena tidak ada rute yang cocok

Paket dihapus karena tidak ada rute yang cocok.

Kemungkinan penyebab

Tidak ada rute aktif yang cocok dengan atribut paket (seperti alamat IP tujuan) di jaringan dan region paket.

Rekomendasi

Periksa daftar rute yang efektif di Konsol Google Cloud. Jika Anda baru saja membuat rute baru, perhatikan bahwa mungkin perlu waktu beberapa saat bagi Uji Konektivitas untuk menerima update konfigurasi dan memasukkannya ke dalam analisis.

Jika Anda mencoba mengakses endpoint tujuan menggunakan alamat IP internalnya, pastikan jaringan sumber dan tujuan terhubung (misalnya, menggunakan Peering Jaringan VPC, Network Connectivity Center, atau solusi konektivitas hybrid seperti Cloud VPN).

Perhatikan bahwa peering VPC transitif tidak didukung. Pertimbangkan untuk menghubungkan jaringan sumber dan tujuan secara langsung atau menggunakan solusi konektivitas hybrid.

Jika mencoba mengakses endpoint tujuan melalui internet, pastikan Anda memiliki rute untuk alamat IP tujuan dengan gateway internet next hop.

Jika paket melewati grup endpoint jaringan konektivitas hybrid, pertimbangkan persyaratan tambahan untuk keberlakuan rute. Beberapa rute yang Anda lihat dalam tabel tampilan rute mungkin tidak tersedia untuk traffic dari NEG campuran.

Untuk informasi selengkapnya, lihat Rute dan Menggunakan rute.

Paket dikirim ke jaringan yang salah

Paket dikirim ke jaringan yang tidak diinginkan. Misalnya, Anda menjalankan pengujian dari instance Compute Engine di jaringan network-1 ke instance Compute Engine di jaringan network-2, tetapi paket dikirim ke jaringan network-3.

Kemungkinan penyebab

Jaringan network-1 memiliki rute dengan rentang tujuan yang menyertakan alamat IP instance tujuan dengan hop berikutnya di jaringan yang berbeda (network-3 pada contoh di atas).

Rekomendasi

Verifikasi daftar rute yang efektif dan daftar rute yang berlaku untuk instance sumber, di Konsol Google Cloud. Untuk informasi selengkapnya tentang pembuatan dan applicability, lihat Rute dan Menggunakan rute.

Alamat IP hop berikutnya tidak terselesaikan

Paket dikirim ke tujuan menggunakan rute yang tidak valid dan alamat IP next hop tidak ditetapkan ke resource mana pun.

Kemungkinan penyebab

Jika ini adalah rute dengan next-hop-address, alamat hop berikutnya harus berupa alamat IPv4 internal utama instance Compute Engine di jaringan VPC rute. Alamat dalam jaringan yang di-peering tidak didukung.

Jika ini adalah rute dengan next-hop-ilb, alamat next hop harus berupa alamat Load Balancer Jaringan passthrough internal (aturan penerusan yang digunakan oleh load balancer lain, penerusan protokol, atau karena endpoint Private Service Connect tidak didukung). Alamat IP harus ditetapkan ke resource di jaringan VPC rute, atau ke jaringan yang terhubung ke resource tersebut melalui Peering Jaringan VPC.

Rekomendasi

Memastikan alamat IP next hop adalah milik resource yang didukung. Untuk mengetahui informasi selengkapnya, baca artikel Pertimbangan untuk instance next hop dan Pertimbangan untuk next hop Load Balancer Jaringan passthrough internal.

Instance hop berikutnya memiliki NIC di jaringan yang salah

Paket dikirim ke tujuan menggunakan rute yang tidak valid dengan instance Compute Engine next hop yang tidak memiliki pengontrol antarmuka jaringan (NIC) di jaringan rute.

Kemungkinan penyebab

Instance Compute Engine yang digunakan sebagai hop berikutnya rute harus memiliki NIC di jaringan rute (bukan jaringan VPC yang di-peering).

Rekomendasi

Pastikan instance Compute Engine hop berikutnya memiliki NIC di jaringan rute. Untuk informasi selengkapnya, lihat Pertimbangan untuk instance next hop.

Alamat next hop perutean bukan alamat IP utama VM

Paket dikirim ke tujuan menggunakan rute yang tidak valid dan alamat IP next hop (next-hop-address) bukan merupakan alamat IP utama instance Compute Engine.

Kemungkinan penyebab

Alamat IP next hop rute (next-hop-address) harus berupa alamat IPv4 internal utama instance Compute Engine. Rentang alamat IP alias tidak didukung.

Rekomendasi

Pastikan alamat IP next hop adalah alamat IPv4 internal utama instance Compute Engine. Untuk informasi selengkapnya, lihat Pertimbangan untuk instance next hop.

Jenis aturan penerusan next hop rute tidak valid

Paket dikirim ke tujuan menggunakan rute yang tidak valid dengan aturan penerusan hop berikutnya (next-hop-ilb) yang bukan merupakan aturan penerusan Load Balancer Jaringan passthrough internal.

Kemungkinan penyebab

Aturan penerusan hop berikutnya pada rute harus menjadi aturan penerusan untuk Load Balancer Jaringan passthrough internal. Untuk mengetahui informasi selengkapnya, baca Pertimbangan untuk next hop Load Balancer Jaringan passthrough internal.

Rekomendasi

Buat rute yang menargetkan aturan penerusan yang didukung, bukan rute yang tidak valid.

Traffic pribadi ke internet

Sebuah paket dengan alamat tujuan internal telah dikirim ke gateway internet.

Kemungkinan penyebab

Alamat IP tujuan paket adalah alamat IP pribadi, yang tidak dapat dijangkau melalui internet. Namun, paket keluar dari instance Compute Engine sumber, dan cocok dengan rute dengan gateway internet next hop.

Rekomendasi

Jika Anda ingin mengakses tujuan melalui internet, pastikan instance Compute Engine sumber memiliki konektivitas internet—misalnya, instance tersebut memiliki alamat IP eksternal atau menggunakan Cloud NAT—dan gunakan alamat IP eksternal endpoint tujuan dalam pengujian.

Jika ingin mengakses tujuan melalui alamat IP internalnya, Anda harus membuat konektivitas (membuat rute) antara jaringan sumber dan tujuan. Anda dapat melakukannya dengan salah satu cara berikut:

  1. Jika endpoint tujuan Anda berada dalam jaringan lokal, gunakan solusi Pusat Konektivitas Jaringan atau solusi konektivitas hybrid, seperti Cloud VPN atau Cloud Interconnect.
  2. Jika endpoint tujuan Anda berada dalam Google Cloud:
    1. Konfigurasikan Peering Jaringan VPC antarjaringan VPC.
    2. Mengonfigurasi Cloud VPN antarjaringan VPC.
    3. Mengonfigurasi konektivitas jaringan menggunakan jari VPC Network Connectivity Center.

  3. Jika Anda sudah memiliki koneksi ke jaringan tujuan:

    1. Jaringan endpoint sumber tidak memiliki rute melalui koneksi ini atau menggunakan rute default yang melalui gateway internet. Verifikasi daftar rute yang efektif, dan daftar rute yang berlaku untuk instance sumber di Konsol Google Cloud. Untuk mengetahui informasi selengkapnya tentang pembuatan dan applicability, lihat Rute dan Menggunakan rute.

    Jika Anda menguji konektivitas ke jaringan lokal dari jaringan yang di-peering, lihat contoh ini untuk iklan kustom, mode pemilihan rute jaringan, dan bertukar rute kustom.

    Peering Jaringan VPC Transit tidak didukung. Anda dapat menggunakan VPN atau peering untuk kedua jaringan VPC ini.

Akses Google Pribadi tidak diizinkan

Instance Compute Engine yang hanya memiliki alamat IP internal akan mencoba menjangkau alamat IP eksternal Google API dan layanan Google, tetapi Akses Google Pribadi tidak diaktifkan di subnet instance.

Rekomendasi

Anda dapat mengizinkan instance VM Compute Engine untuk menjangkau alamat IP eksternal Google API dan layanan Google dengan salah satu cara berikut:

  1. Aktifkan Akses Google Pribadi untuk subnet instance.
  2. Tetapkan alamat IP eksternal ke NIC Compute Engine.
  3. Aktifkan Cloud NAT untuk subnet instance VM.

Akses Google Pribadi melalui tunnel VPN tidak didukung

Endpoint sumber dengan alamat IP internal mencoba menjangkau alamat IP eksternal Google API dan layanan Google melalui tunnel VPN ke jaringan lain, tetapi Akses Google Pribadi harus diaktifkan di jaringan endpoint sumber.

Kemungkinan penyebab

Paket dari endpoint sumber ke alamat IP eksternal layanan dan API Google dirutekan melalui tunnel Cloud VPN, tetapi konfigurasi tersebut tidak didukung.

Rekomendasi

Jika endpoint sumber adalah endpoint Google Cloud (seperti instance VM Compute Engine), pertimbangkan untuk mengaktifkan Akses Google Pribadi di subnet sumbernya.

Jika endpoint sumber adalah endpoint lokal, lihat Akses Google Pribadi untuk host lokal untuk mengetahui petunjuk mendetail.

Aturan penerusan tidak cocok

Protokol dan port aturan penerusan tidak cocok dengan header paket.

Kemungkinan penyebab

Paket dikirim menggunakan protokol yang tidak didukung oleh aturan penerusan, atau paket dikirim ke port tujuan yang tidak cocok dengan port yang didukung oleh aturan penerusan.

Rekomendasi

Konfirmasi protokol dan port aturan penerusan tujuan.

Region aturan penerusan tidak cocok

Aturan penerusan tidak mengaktifkan akses global, dan region-nya tidak cocok dengan region paket.

Kemungkinan penyebab

Bergantung pada load balancer dan tingkatnya, aturan penerusan bersifat global atau regional. Untuk mengetahui informasi lebih lanjut, lihat tabel jenis load balancer.

Jika aturan penerusan bersifat regional, klien (misalnya, VM atau konektor VPC) harus berada di region yang sama dengan load balancer.

Rekomendasi

Jika Anda terhubung ke load balancer dari endpoint Google Cloud seperti instance VM Compute Engine, pastikan load balancer tersebut berada di region yang sama dengan aturan penerusan.

Saat terhubung dari jaringan lokal, pastikan klien mengakses load balancer melalui tunnel Cloud VPN atau lampiran VLAN yang berada di region yang sama dengan load balancer. Untuk mengetahui detail selengkapnya, baca Load Balancer Aplikasi Internal dan jaringan yang terhubung.

Anda dapat mengaktifkan akses global di Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal regional untuk mengakses klien di region mana pun. Secara default, klien untuk load balancer ini harus berada di region yang sama dengan load balancer. Untuk mengetahui informasi selengkapnya, baca bagian Mengaktifkan akses global untuk Load Balancer Aplikasi internal dan Mengaktifkan akses global untuk Load Balancer Jaringan proxy internal regional.

Health check backend load balancer pemblokiran firewall

Firewall memblokir pemeriksaan health check di backend dan menyebabkan backend tidak tersedia untuk traffic dari load balancer.

Kemungkinan penyebab

Agar health check berfungsi, Anda harus membuat aturan firewall izinkan masuk yang memungkinkan traffic dari server Google Cloud menjangkau backend Anda. Jika tidak, backend akan dianggap tidak responsif.

Rekomendasi

Buat aturan firewall izinkan masuk sesuai dengan tabel rentang IP pemeriksaan dan aturan firewall. Untuk mengetahui informasi selengkapnya, lihat Aturan firewall yang diperlukan.

Tidak ada alamat eksternal yang tersedia

Instance VM yang hanya memiliki alamat IP internal mencoba mengakses host eksternal melalui rute yang hop berikutnya adalah gateway internet default. Diharapkan saat Cloud NAT tidak diaktifkan di subnet atau saat tidak ada rute default lain yang menggunakan jenis next hop yang berbeda (seperti VM proxy).

Kemungkinan penyebab

Instance dengan hanya satu alamat IP internal mencoba mengakses host eksternal, tetapi tidak memiliki alamat IP eksternal atau Cloud NAT tidak diaktifkan di subnet.

Rekomendasi

Jika ingin mengakses endpoint eksternal, Anda dapat menetapkan alamat IP eksternal ke instance. Atau, Anda dapat mengaktifkan Cloud NAT pada subnetnya kecuali jika koneksi melalui instance proxy yang memberikan akses ke internet.

Aturan penerusan tanpa instance

Backend aturan penerusan tidak dikonfigurasi.

Kemungkinan penyebab

Aturan penerusan yang Anda coba jangkau tidak memiliki backend yang dikonfigurasi.

Rekomendasi

Periksa konfigurasi load balancer dan pastikan layanan backend load balancer telah mengonfigurasi backend.

Jenis traffic diblokir

Jenis traffic diblokir dan Anda tidak dapat mengonfigurasi aturan firewall untuk mengaktifkannya. Untuk mengetahui detail selengkapnya, lihat Traffic yang selalu diblokir.

Kemungkinan penyebab

Jenis traffic ini diblokir secara default dan tidak dapat diaktifkan dengan membuat aturan firewall. Skenario umumnya adalah sebagai berikut:

  1. Mengirim traffic keluar ke tujuan eksternal dengan TCP port 25 (SMTP). Untuk mengetahui detail selengkapnya, lihat Traffic yang selalu diblokir.
  2. Mengirim traffic ke port yang tidak didukung pada instance Cloud SQL. Misalnya, mengirim traffic ke port TCP 3310 ke instance Cloud SQL MySQL dengan port 3306 terbuka.
  3. Mengirim traffic keluar dari versi lingkungan standar App Engine, Cloud Function, atau revisi Cloud Run yang menggunakan protokol selain TCP atau UDP.

Rekomendasi

Untuk traffic SMTP keluar (traffic keluar ke tujuan eksternal dengan TCP port 25), lihat Mengirim email dari instance.

Untuk protokol DHCP, termasuk paket UDP IPv4 ke port tujuan 68 (respons DHCPv4) dan paket UDP IPv6 ke port tujuan 546 (responsDHCPv6), traffic DHCP hanya diizinkan dari server metadata (169.254.169.254).

Untuk konektivitas Cloud SQL, pastikan port yang digunakan sudah benar.

Konektor Akses VPC Serverless tidak dikonfigurasi

Paket dihapus karena versi lingkungan standar App Engine, Cloud Function, atau revisi Cloud Run tidak memiliki konektor Akses VPC Serverless yang dikonfigurasi.

Kemungkinan penyebab

Alamat IP tujuan adalah alamat IP pribadi, yang tidak dapat dijangkau melalui internet. Paket keluar dari sumber, tetapi tidak ada konektor Akses VPC Serverless yang dikonfigurasi untuk versi lingkungan standar App Engine, Cloud Function, atau revisi Cloud Run.

Rekomendasi

Jika Anda mencoba mengakses endpoint tujuan menggunakan alamat IP pribadinya, pastikan Anda telah mengonfigurasi konektor Akses VPC Tanpa Server untuk versi lingkungan standar App Engine, Cloud Function, atau revisi Cloud Run.

Konektor Akses VPC Serverless tidak berjalan

Paket dihapus karena konektor Akses VPC Serverless tidak berjalan.

Kemungkinan penyebab

Paket dihapus karena semua instance konektor Akses VPC Serverless dihentikan.

Rekomendasi

Untuk daftar langkah pemecahan masalah, lihat Pemecahan masalah.

Koneksi Private Service Connect tidak diterima

Paket dihapus karena koneksi Private Service Connect tidak diterima.

Kemungkinan penyebab

Endpoint Private Service Connect berada dalam project yang tidak disetujui untuk terhubung ke layanan. Untuk mengetahui informasi selengkapnya, baca Melihat detail endpoint.

Rekomendasi

Pastikan endpoint Private Service Connect berada dalam project yang disetujui untuk terhubung ke layanan terkelola.

Endpoint Private Service Connect diakses dari jaringan yang di-peering

Paket dikirim ke endpoint Private Service Connect dalam jaringan yang di-peering, tetapi konfigurasi seperti itu tidak didukung.

Rekomendasi

Pertimbangkan untuk menggunakan salah satu pola konektivitas yang dijelaskan di halaman pola deployment Private Service Connect. Anda juga dapat mengakses Google API dan layanan yang dipublikasikan menggunakan backend Private Service Connect.