Uji Konektivitas dapat menghentikan paket pengujian karena salah satu alasan berikut.
Untuk mengetahui daftar lengkap kemungkinan alasannya, lihat Status analisis konfigurasi.
Alamat IP asing tidak diizinkan
Paket dihapus karena instance Compute Engine hanya dapat mengirim atau menerima paket dengan alamat IP asing jika penerusan IP diaktifkan.
Kemungkinan penyebab
Instance VM tidak mengaktifkan penerusan IP, tetapi alamat IP sumber atau tujuan paket yang melewatinya tidak cocok dengan alamat IP instance. Hal ini dapat terjadi, misalnya, saat paket dikirim ke instance menggunakan rute statis dengan instance VM sebagai next hop.
Rekomendasi
Buat instance Compute Engine dengan penerusan IP diaktifkan, atau tetapkan atribut yang sesuai untuk instance yang ada. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan penerusan IP untuk instance.
Dihentikan karena aturan firewall
Paket dapat dihentikan karena aturan firewall, kecuali jika paket diizinkan karena pelacakan koneksi.
Kemungkinan penyebab
Uji Konektivitas mungkin menolak paket pengujian karena paket tersebut cocok dengan aturan firewall atau aturan kebijakan firewall yang memblokir. Namun, paket data yang sebenarnya mungkin mengizinkan paket melalui karena pelacakan koneksi pada aturan firewall. Pelacakan koneksi memungkinkan paket untuk koneksi yang ada kembali meskipun ada aturan firewall.
Setiap jaringan VPC memiliki dua aturan firewall tersirat yang mengizinkan traffic keluar ke mana saja dan memblokir traffic masuk dari mana saja. Anda mungkin juga memiliki aturan firewall keluar tolak dengan prioritas yang lebih tinggi.
Agar konektivitas berhasil, Anda memerlukan aturan firewall keluar di sumber yang mengizinkan akses ke endpoint tujuan, dan aturan firewall masuk di tujuan untuk mengizinkan koneksi ini.
Aturan firewall VPC bersifat stateful. Jika endpoint tujuan yang ditentukan biasanya adalah sisi yang memulai komunikasi, traffic respons akan otomatis diizinkan dengan pelacakan koneksi dan tidak perlu aturan firewall masuk.
Rekomendasi
Hapus aturan tolak atau buat aturan izinkan berdasarkan detail dalam hasil Pengujian Konektivitas. Untuk mengetahui informasi selengkapnya, lihat Kebijakan firewall dan Menggunakan aturan firewall VPC.
Dihentikan karena tidak ada rute yang cocok
Paket dihentikan karena tidak ada rute yang cocok.
Kemungkinan penyebab
Tidak ada rute aktif yang cocok dengan atribut paket (seperti alamat IP tujuan) di jaringan dan region paket.
Rekomendasi
Verifikasi daftar rute yang efektif di konsol Google Cloud. Jika Anda baru saja membuat rute baru, perhatikan bahwa mungkin perlu waktu beberapa saat agar Uji Konektivitas menerima pembaruan konfigurasi dan memasukkannya ke dalam analisis.
Jika Anda mencoba mengakses endpoint tujuan menggunakan alamat IP internalnya, pastikan jaringan sumber dan tujuan terhubung (misalnya, menggunakan Peering Jaringan VPC, Network Connectivity Center, atau solusi konektivitas hybrid seperti Cloud VPN).
Perhatikan bahwa peering VPC transitif tidak didukung. Pertimbangkan untuk menghubungkan jaringan sumber dan tujuan secara langsung atau menggunakan solusi konektivitas hybrid.
Jika Anda mencoba mengakses endpoint tujuan melalui internet, pastikan Anda memiliki rute untuk alamat IP tujuan dengan gateway internet next hop.
Jika paket melewati grup endpoint jaringan konektivitas hybrid, pertimbangkan persyaratan tambahan untuk penerapan rute. Beberapa rute yang Anda lihat di tabel tampilan rute mungkin tidak tersedia untuk traffic dari NEG campuran.
Untuk mengetahui informasi selengkapnya, lihat Rute dan Menggunakan rute.
Paket dikirim ke jaringan yang salah
Paket dikirim ke jaringan yang tidak diinginkan. Misalnya, Anda menjalankan
pengujian dari instance Compute Engine di jaringan network-1
ke
instance Compute Engine di jaringan network-2
, tetapi paket
dikirim ke jaringan network-3
.
Kemungkinan penyebab
Jaringan network-1
memiliki rute dengan rentang tujuan yang mencakup alamat IP instance tujuan dengan next hop di jaringan lain (network-3
dalam contoh di atas).
Rekomendasi
Verifikasi daftar rute yang efektif dan daftar rute yang berlaku untuk instance sumber, di konsol Google Cloud. Untuk mengetahui informasi selengkapnya tentang pembuatan rute dan penerapan, lihat Rute dan Menggunakan rute.
Alamat IP next hop rute tidak di-resolve
Paket dikirim ke tujuan menggunakan rute yang tidak valid dengan alamat IP next hop yang tidak ditetapkan ke resource apa pun.
Kemungkinan penyebab
Jika ini adalah rute dengan next-hop-address
, alamat next hop harus berupa alamat IPv4 internal utama atau alamat IPv6 instance Compute Engine di jaringan VPC rute. Alamat di jaringan yang tersambung tidak
didukung.
Jika ini adalah rute dengan next-hop-ilb
, alamat next hop harus berupa alamat Load Balancer Jaringan passthrough internal (aturan penerusan yang digunakan oleh load balancer lain, penerusan protokol, atau sebagai endpoint Private Service Connect tidak didukung). Alamat IP harus ditetapkan ke resource di jaringan VPC rute, atau di jaringan yang terhubung ke jaringan tersebut dengan Peering Jaringan VPC.
Rekomendasi
Pastikan alamat IP next hop adalah milik resource yang didukung. Untuk mengetahui informasi selengkapnya, lihat Pertimbangan untuk instance next hop dan Pertimbangan untuk next hop Load Balancer Jaringan passthrough internal.
Instance next hop rute memiliki NIC di jaringan yang salah
Paket dikirim ke tujuan menggunakan rute yang tidak valid dengan instance Compute Engine next hop yang tidak memiliki pengontrol antarmuka jaringan (NIC) di jaringan rute.
Kemungkinan penyebab
Instance Compute Engine yang digunakan sebagai next hop rute harus memiliki NIC di jaringan rute (bukan jaringan VPC yang di-peering).
Rekomendasi
Pastikan instance Compute Engine next hop memiliki NIC di jaringan rute. Untuk informasi selengkapnya, lihat Pertimbangan untuk instance next hop.
Alamat next hop rute bukan alamat IP utama VM
Paket dikirim ke tujuan menggunakan rute yang tidak valid dengan alamat IP next hop (next-hop-address
) yang bukan alamat IP utama instance Compute Engine.
Kemungkinan penyebab
Alamat IP next hop rute (next-hop-address
) harus berupa alamat IPv4 internal utama dari instance Compute Engine.
Rentang alamat IP alias tidak didukung.
Rekomendasi
Pastikan alamat IP next hop adalah alamat IPv4 internal utama dari instance Compute Engine. Untuk informasi selengkapnya, lihat Pertimbangan untuk instance next hop.
Jenis aturan penerusan next hop rute tidak valid
Paket dikirim ke tujuan menggunakan rute yang tidak valid dengan aturan penerusan
next hop (next-hop-ilb
) yang bukan aturan penerusan
Load Balancer Jaringan passthrough internal.
Kemungkinan penyebab
Aturan penerusan next hop rute harus berupa aturan penerusan Load Balancer Jaringan passthrough internal. Untuk mengetahui informasi selengkapnya, lihat Pertimbangan untuk next hop Load Balancer Jaringan passthrough internal.
Rekomendasi
Buat rute yang menargetkan aturan penerusan yang didukung, bukan rute yang tidak valid.
Traffic pribadi ke internet
Paket dengan alamat tujuan internal dikirim ke gateway internet.
Kemungkinan penyebab
Alamat IP tujuan paket adalah alamat IP pribadi, yang tidak dapat dijangkau melalui internet. Namun, paket meninggalkan instance Compute Engine sumber, dan mencocokkan rute dengan gateway internet next-hop.
Rekomendasi
Jika Anda ingin mengakses tujuan melalui internet, pastikan bahwa instance Compute Engine sumber memiliki konektivitas internet—misalnya, instance memiliki alamat IP eksternal atau menggunakan Cloud NAT— dan gunakan alamat IP eksternal endpoint tujuan dalam pengujian.
Jika ingin mengakses tujuan melalui alamat IP internalnya, Anda harus membuat konektivitas (membuat rute) antara jaringan sumber dan tujuan. Anda dapat melakukannya dengan salah satu cara berikut:
- Jika endpoint tujuan Anda berada dalam jaringan lokal, gunakan solusi Network Connectivity Center atau solusi konektivitas hybrid, seperti Cloud VPN atau Cloud Interconnect.
- Jika endpoint tujuan Anda berada dalam Google Cloud:
- Konfigurasikan Peering Jaringan VPC antara jaringan VPC.
- Konfigurasikan Cloud VPN antara jaringan VPC.
- Konfigurasikan konektivitas jaringan menggunakan spoke VPC Network Connectivity Center.
Jika Anda sudah memiliki koneksi ke jaringan tujuan:
- Jaringan endpoint sumber tidak memiliki rute melalui koneksi ini atau menggunakan rute default yang melalui gateway internet. Verifikasi daftar rute yang efektif, dan daftar rute yang berlaku untuk instance sumber di konsol Google Cloud. Untuk mengetahui informasi selengkapnya tentang pembuatan rute dan penerapan, lihat Rute dan Menggunakan rute.
Jika Anda menguji konektivitas ke jaringan lokal dari jaringan peer, lihat contoh ini untuk iklan kustom, mode pemilihan rute jaringan, dan pertukaran rute kustom.
Peering Jaringan VPC Transitif tidak didukung. Anda dapat menggunakan VPN atau peering untuk dua jaringan VPC ini.
Akses Google Pribadi tidak diizinkan
Instance Compute Engine dengan alamat IP internal saja mencoba menjangkau alamat IP eksternal Google API dan layanan Google, tetapi Akses Google Pribadi tidak diaktifkan di subnet instance.
Rekomendasi
Anda dapat mengizinkan instance VM Compute Engine menjangkau alamat IP eksternal Google API dan layanan Google dengan salah satu cara berikut:
- Aktifkan Akses Google Pribadi untuk subnet instance.
- Tetapkan alamat IP eksternal ke NIC Compute Engine.
- Aktifkan Cloud NAT untuk subnet instance VM.
Akses Google Pribadi melalui tunnel VPN tidak didukung
Endpoint sumber dengan alamat IP internal mencoba menjangkau alamat IP eksternal Google API dan layanan melalui tunnel VPN ke jaringan lain, tetapi Akses Google Pribadi perlu diaktifkan di jaringan endpoint sumber.
Kemungkinan penyebab
Paket dari endpoint sumber ke alamat IP eksternal API dan layanan Google dirutekan melalui tunnel Cloud VPN, tetapi konfigurasi tersebut tidak didukung.
Rekomendasi
Jika endpoint sumber adalah endpoint Google Cloud (seperti instance VM Compute Engine), pertimbangkan untuk mengaktifkan Akses Google Pribadi di subnet sumbernya.
Jika endpoint sumber adalah endpoint lokal, lihat Akses Google Pribadi untuk host lokal untuk mengetahui petunjuk mendetail.
Ketidakcocokan aturan penerusan
Protokol dan port aturan penerusan tidak cocok dengan header paket.
Kemungkinan penyebab
Paket dikirim menggunakan protokol yang tidak didukung oleh aturan penerusan, atau paket dikirim ke port tujuan yang tidak cocok dengan port yang didukung oleh aturan penerusan.
Rekomendasi
Konfirmasi protokol dan port aturan penerusan tujuan.
Region aturan penerusan tidak cocok
Aturan penerusan tidak mengaktifkan akses global, dan region-nya tidak cocok dengan region paket.
Kemungkinan penyebab
Bergantung pada load balancer dan tingkatnya, aturan penerusan dapat bersifat global atau regional. Untuk mengetahui detail selengkapnya, lihat tabel jenis load balancer.
Jika aturan penerusan bersifat regional, klien (misalnya, VM atau konektor VPC) harus berada di region yang sama dengan load balancer.
Rekomendasi
Jika Anda terhubung ke load balancer dari endpoint Google Cloud seperti instance VM Compute Engine, pastikan endpoint tersebut berada di region yang sama dengan aturan penerusan.
Saat terhubung dari jaringan lokal, pastikan klien mengakses load balancer melalui tunnel Cloud VPN atau lampiran VLAN yang berada di region yang sama dengan load balancer. Untuk mengetahui detail selengkapnya, lihat Load Balancer Aplikasi Internal dan jaringan yang terhubung.
Anda dapat mengaktifkan akses global di Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal regional untuk mengakses klien di region mana pun. Secara default, klien untuk load balancer ini harus berada di region yang sama dengan load balancer. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan akses global untuk Load Balancer Aplikasi internal dan Mengaktifkan akses global untuk Load Balancer Jaringan proxy internal regional.
Firewall memblokir health check backend load balancer
Firewall memblokir pemeriksaan health check di backend dan menyebabkan backend tidak tersedia untuk traffic dari load balancer.
Kemungkinan penyebab
Agar health check berfungsi, Anda harus membuat aturan firewall izinkan masuk yang mengizinkan traffic dari penguji Google Cloud untuk menjangkau backend Anda. Jika tidak, backend dianggap tidak responsif.
Rekomendasi
Buat aturan firewall izinkan traffic masuk sesuai dengan tabel rentang IP probe dan aturan firewall. Untuk mengetahui informasi selengkapnya, lihat Aturan firewall yang diperlukan.
Tidak ada alamat eksternal yang tersedia
Instance VM yang hanya memiliki alamat IP internal mencoba mengakses host eksternal melalui rute yang next hop-nya adalah gateway internet default. Diharapkan saat Cloud NAT tidak diaktifkan di subnet atau saat tidak ada rute default lain yang menggunakan jenis next hop yang berbeda (seperti VM proxy).
Kemungkinan penyebab
Instance dengan alamat IP internal saja mencoba mengakses host eksternal, tetapi tidak memiliki alamat IP eksternal atau Cloud NAT tidak diaktifkan di subnet.
Rekomendasi
Jika ingin mengakses endpoint eksternal, Anda dapat menetapkan alamat IP eksternal ke instance. Atau, Anda dapat mengaktifkan Cloud NAT di subnet-nya, kecuali jika koneksi melalui instance proxy yang memberikan akses ke internet.
Aturan penerusan tanpa instance
Aturan penerusan tidak memiliki konfigurasi backend.
Kemungkinan penyebab
Aturan penerusan yang Anda coba jangkau tidak memiliki backend yang dikonfigurasi.
Rekomendasi
Periksa konfigurasi load balancer dan pastikan bahwa layanan backend load balancer memiliki backend yang dikonfigurasi.
Jenis traffic diblokir
Jenis traffic diblokir dan Anda tidak dapat mengonfigurasi aturan firewall untuk mengaktifkannya. Untuk detail selengkapnya, lihat Traffic yang selalu diblokir.
Kemungkinan penyebab
Jenis traffic ini diblokir secara default dan tidak dapat diaktifkan dengan membuat aturan firewall. Skenario umum adalah sebagai berikut:
- Mengirim traffic keluar ke tujuan eksternal dengan port TCP 25 (SMTP). Untuk detail selengkapnya, lihat Traffic yang selalu diblokir.
- Mengirim traffic ke port yang tidak didukung di instance Cloud SQL. Misalnya, mengirim traffic ke port TCP 3310 ke instance Cloud SQL MySQL dengan port 3306 terbuka.
- Mengirim traffic keluar dari versi lingkungan standar App Engine, fungsi Cloud Run, atau revisi Cloud Run yang menggunakan protokol selain TCP atau UDP.
Rekomendasi
Untuk traffic SMTP keluar (traffic keluar ke tujuan eksternal dengan port TCP 25), lihat Mengirim email dari instance.
Untuk protokol DHCP, termasuk paket IPv4 UDP ke port tujuan 68 (respons DHCPv4) dan paket IPv6 UDP ke port tujuan 546 (respons DHCPv6), traffic DHCP hanya diizinkan dari server metadata (169.254.169.254).
Untuk konektivitas Cloud SQL, pastikan port yang digunakan sudah benar.
Konektor Akses VPC Serverless tidak dikonfigurasi
Paket dihapus karena versi lingkungan standar App Engine, fungsi Cloud Run, atau revisi Cloud Run tidak memiliki konektor Akses VPC Serverless yang dikonfigurasi.
Kemungkinan penyebab
Alamat IP tujuan adalah alamat IP pribadi, yang tidak dapat dijangkau melalui internet. Paket keluar dari sumber, tetapi tidak ada konektor Akses VPC Serverless yang dikonfigurasi untuk versi lingkungan standar App Engine, fungsi Cloud Run, atau revisi Cloud Run.
Rekomendasi
Jika Anda mencoba mengakses endpoint tujuan menggunakan alamat IP pribadinya, pastikan Anda telah mengonfigurasi konektor Akses VPC Serverless untuk versi lingkungan standar App Engine, fungsi Cloud Run, atau revisi Cloud Run.
Konektor Akses VPC Serverless tidak berjalan
Paket dihapus karena konektor Akses VPC Serverless tidak berjalan.
Kemungkinan penyebab
Paket dihapus karena semua instance konektor Akses VPC Serverless dihentikan.
Rekomendasi
Untuk mengetahui daftar langkah-langkah pemecahan masalah, lihat Pemecahan masalah.
Koneksi Private Service Connect tidak diterima
Paket dihapus karena koneksi Private Service Connect tidak diterima.
Kemungkinan penyebab
Endpoint Private Service Connect berada dalam project yang tidak disetujui untuk terhubung ke layanan. Untuk mengetahui informasi selengkapnya, lihat Melihat detail endpoint.
Rekomendasi
Pastikan endpoint Private Service Connect berada dalam project yang disetujui untuk terhubung ke layanan terkelola.
Endpoint Private Service Connect diakses dari jaringan yang tersambung
Paket dikirim ke endpoint Private Service Connect di jaringan peer, tetapi konfigurasi tersebut tidak didukung.
Rekomendasi
Pertimbangkan untuk menggunakan salah satu pola konektivitas yang dijelaskan di halaman Pola deployment Private Service Connect. Anda juga dapat mengakses Google API dan layanan yang dipublikasikan menggunakan backend Private Service Connect.