Gründe für verworfene Testpakete

Konnektivitätstests können ein Testpaket aus einem der folgenden Gründe löschen.

Eine vollständige Liste möglicher Gründe finden Sie unter Status der Konfigurationsanalyse.

Externe IP-Adresse unzulässig

Das Paket wird verworfen, da eine Compute Engine-Instanz empfangen nur dann Pakete mit einer fremden IP-Adresse, wenn die IP-Weiterleitung aktiviert ist.

Mögliche Ursache

Für die VM-Instanz ist die IP-Weiterleitung nicht aktiviert, aber für die Quelle oder Die Ziel-IP-Adresse des durchlaufenden Pakets stimmt nicht mit dem die IP-Adressen der Instanz. Dies kann beispielsweise der Fall sein, wenn das Paket mithilfe einer statischen Route mit der VM-Instanz als nächsten Hop an die Instanz ausgeliefert werden.

Empfehlungen

Erstellen Sie eine Compute Engine-Instanz mit aktivierter IP-Weiterleitung oder legen Sie das entsprechende Attribut für die vorhandene Instanz fest. Weitere Informationen finden Sie unter IP-Weiterleitung für Instanzen aktivieren.

Wegen Firewall-Regel verworfen

Das Paket kann aufgrund einer Firewallregel gelöscht werden, es sei denn, das Paket ist aufgrund des Verbindungs-Trackings zulässig.

Mögliche Ursache

Konnektivitätstests können ein Testpaket ablehnen, da das Paket mit einem Firewallregel oder Firewallrichtlinien-Regel blockieren. Die tatsächliche Datenebene kann jedoch das Paket durch die Verbindungsverfolgung in der Firewallregel weiterleiten. Verbindungstracking ermöglicht Pakete für eine bestehende Verbindung, die trotz der Firewallregel zurückgegeben werden soll.

Jedes VPC-Netzwerk hat zwei implizierte Firewallregeln. die ausgehenden Traffic überall hin zulassen und eingehenden Traffic von überall. Möglicherweise haben Sie auch eine Firewallregel für ausgehenden Traffic mit einer höheren Priorität.

Damit die Verbindung hergestellt werden kann, benötigen Sie eine Firewallregel für ausgehenden Traffic an der Quelle der Zugriff auf den Zielendpunkt und eine Firewallregel für eingehenden Traffic unter das Ziel, um diese Verbindung zuzulassen.

VPC-Firewallregeln sind zustandsorientiert. Wenn der angegebene Zielendpunkt in der Regel die Seite ist, die die Kommunikation initiiert, wird der Antworttraffic mit Verbindungs-Tracking automatisch zugelassen und es ist keine Firewallregel für eingehenden Traffic erforderlich.

Empfehlungen

Löschen Sie die "deny"-Regel oder erstellen Sie eine "allow"-Regel, die auf den Details in den Ergebnissen der Konnektivitätstests basiert. Weitere Informationen finden Sie unter Firewallrichtlinien und VPC-Firewallregeln verwenden

Verworfen, da keine passende Route gefunden

Das Paket wird aufgrund fehlender übereinstimmender Routen verworfen.

Mögliche Ursache

Es gibt keine aktive Route, die den Paketattributen entspricht (z. B. eine Ziel-IP-Adresse) Adresse) im Paketnetzwerk und in der Region.

Empfehlungen

Prüfen Sie die Liste der effektiven Routen in der Google Cloud Console. Wenn Sie gerade eine neue Route erstellt haben, kann es einige Zeit dauern, bis die Konnektivitätstests eine Konfigurationsaktualisierung erhalten und in die Analyse einfließen.

Wenn Sie versuchen, über die interne IP-Adresse auf den Zielendpunkt zuzugreifen, prüfen Sie, ob das Quell- und Zielnetzwerk verbunden sind. Verwenden Sie dazu z. B. VPC Network Peering, Network Connectivity Center oder eine Hybridkonnektivitätslösung wie Cloud VPN.

Transitives VPC-Peering wird nicht unterstützt. Quell- und Zielnetzwerk verbinden oder mithilfe einer hybriden Konnektivitätslösung.

Wenn Sie versuchen, über das Internet auf den Zielendpunkt zuzugreifen, prüfen Sie, ob Sie eine Route für die Ziel-IP-Adresse mit dem nächsten Hop-Internetgateway haben.

Wenn das Paket die Netzwerk-Endpunktgruppe für Hybridkonnektivität durchläuft: Berücksichtigen Sie zusätzliche Anforderungen für die Anwendbarkeit von Routen. Einige Routen, die Sie in der Tabelle „Routenansicht“ sehen, sind möglicherweise nicht für den Traffic verfügbar aus Hybrid-NEGs.

Weitere Informationen finden Sie unter Routen und Routen verwenden.

Paket wird an ein falsches Netzwerk gesendet

Das Paket wird an ein unbeabsichtigtes Netzwerk gesendet. Beispielsweise führen Sie eine von einer Compute Engine-Instanz im Netzwerk network-1 zum Compute Engine-Instanz im Netzwerk network-2, aber das Paket an das Netzwerk network-3 gesendet.

Mögliche Ursache

Das Netzwerk network-1 hat eine Route mit einem Zielbereich, der den IP-Adresse der Zielinstanz mit dem nächsten Hop in einem anderen Netzwerk (network-3 im Beispiel oben).

Empfehlungen

Prüfen Sie in der Google Cloud Console die Liste der effektiven Routen und die Liste der Routen, die für die Quellinstanz gelten. Weitere Informationen zum Erstellen und Anwenden von Routen finden Sie unter Routen und Routen verwenden.

IP-Adresse des nächsten Hops der Route ist nicht aufgelöst

Das Paket wird über eine ungültige Route mit der IP-Adresse des nächsten Hops an ein Ziel gesendet Adresse ist keiner Ressource zugewiesen.

Mögliche Ursache

Wenn es sich um eine Route mit next-hop-address handelt, muss die Adresse des nächsten Hops eine primäre interne IPv4-Adresse oder eine IPv6-Adresse der Compute Engine-Instanz im VPC-Netzwerk der Route sein. Adressen in Peering-Netzwerken sind nicht unterstützt.

Wenn dies eine Route mit next-hop-ilb ist, muss die Adresse des nächsten Hops eine Adresse des internen Passthrough-Network Load Balancers (Weiterleitungsregeln, die von anderen Lastenausgleichsmodulen verwendet werden, oder Private Service Connect-Endpunkte unterstützt). Die IP-Adresse muss einer Ressource im VPC-Netzwerk der Route oder in einem Netzwerk zugewiesen sein, das über VPC-Netzwerk-Peering damit verbunden ist.

Empfehlungen

Prüfen Sie, ob die IP-Adresse des nächsten Hops zu einer unterstützten Ressource gehört. Weitere Informationen finden Sie unter Überlegungen zu Instanzen als nächste Hops und Überlegungen zu internen Passthrough Network Load Balancern, die als nächster Hop dienen.

Die Next-Hop-Instanz der Route hat eine NIC im falschen Netzwerk

Das Paket wird über eine ungültige Route mit dem nächsten Hop an ein Ziel gesendet Compute Engine-Instanz ohne Network Interface Controller (NIC) im Netzwerk der Route.

Mögliche Ursache

Die Compute Engine-Instanz, die als Next Hop der Route verwendet wird, muss eine NIC im Netzwerk der Route haben (nicht in einem Peering-VPC-Netzwerk).

Empfehlungen

Prüfen, ob die Compute Engine-Instanz des nächsten Hops eine NIC hat das Netzwerk der Route. Weitere Informationen finden Sie unter Überlegungen zu Next-Hop-Instanzen

Die Next-Hop-Adresse der Route ist keine primäre IP-Adresse der VM

Das Paket wird über eine ungültige Route mit der IP-Adresse des nächsten Hops an ein Ziel gesendet (next-hop-address) keine primäre IP-Adresse des Compute Engine-Instanz.

Mögliche Ursache

Die Next-Hop-IP-Adresse (next-hop-address) der Route muss eine primäre interne IPv4-Adresse der Compute Engine-Instanz sein. Bereiche von Alias-IP-Adressen werden nicht unterstützt.

Empfehlungen

Prüfen Sie, ob die Next-Hop-IP-Adresse eine primäre interne IPv4-Adresse der Compute Engine-Instanz ist. Weitere Informationen finden Sie unter Überlegungen zu Next-Hop-Instanzen

Weiterleitungsregeltyp des nächsten Hops der Route ist ungültig

Das Paket wird über eine ungültige Route mit dem nächsten Hop an ein Ziel gesendet Weiterleitungsregel (next-hop-ilb) ist keine Weiterleitungsregel der internen Passthrough-Network Load Balancer.

Mögliche Ursache

Die Next-Hop-Weiterleitungsregel der Route muss eine Weiterleitungsregel der internen Passthrough-Network Load Balancer. Weitere Informationen finden Sie unter Überlegungen zu den nächsten Hops des internen Passthrough-Network Load Balancers

Empfehlungen

Erstellen Sie eine Route, die auf eine unterstützte Weiterleitungsregel anstelle der ungültigen Route.

Privater Traffic zum Internet

Ein Paket mit einer internen Zieladresse wurde an ein Internetgateway gesendet.

Mögliche Ursache

Die Ziel-IP-Adresse des Pakets ist eine private IP-Adresse, die nicht über das Internet erreichbar ist. Das Paket verlässt jedoch die Compute Engine-Quell-Instanz und wird mit einer Route mit dem nächsten Hop-Internet-Gateway abgeglichen.

Empfehlungen

Wenn Sie über das Internet auf das Ziel zugreifen möchten, muss die Compute Engine-Quell-Instanz eine Internetverbindung haben, z. B. eine externe IP-Adresse oder Cloud NAT. Verwenden Sie im Test die externe IP-Adresse des Zielendpunkts.

Wenn Sie über die interne IP-Adresse auf das Ziel zugreifen möchten, müssen Sie eine Verbindung zwischen dem Quell- und dem Zielnetzwerk herstellen (Routen erstellen). Sie haben dazu folgende Möglichkeiten:

  1. Wenn sich Ihr Zielendpunkt in einem lokalen Netzwerk befindet, verwenden Sie eine Network Connectivity Center-Lösung oder eine Hybridkonnektivitätslösung wie Cloud VPN oder Cloud Interconnect.
  2. Wenn Ihr Zielendpunkt in Google Cloud liegt:
    1. Konfigurieren Sie das VPC-Netzwerk-Peering zwischen VPC-Netzwerke
    2. Konfigurieren Sie Cloud VPN zwischen VPC-Netzwerken.
    3. Konfigurieren Sie die Netzwerkverbindung mithilfe von VPC-Spokes von Network Connectivity Center.
  3. Wenn Sie bereits eine Verbindung zum Zielnetzwerk haben:

    1. Das Netzwerk des Quell-Endpunkts hat keine Route durch dieses oder nutzt die Standardroute über das Internet Gateway. Prüfen Sie in der Google Cloud Console die Liste der effektiven Routen und die Liste der Routen, die für die Quellinstanz gelten. Weitere Informationen zur Route Erstellung und Anwendbarkeit, siehe Routen und Routen verwenden

    Wenn Sie die Konnektivität zu einem lokalen Netzwerk von einem Peering-Netzwerk aus testen, finden Sie dieses Beispiel für benutzerdefiniertes Advertising, Netzwerk-Routingmodus und den Austausch benutzerdefinierter Routen.

    Transitives VPC-Netzwerk-Peering wird nicht unterstützt. Sie können VPN oder Peering für diese beiden VPC-Netzwerke verwenden.

Privater Google-Zugriff nicht zulässig

Compute Engine-Instanz mit nur einer internen IP-Adresse versucht, externe IP-Adresse von Google APIs und Diensten, aber der privater Google-Zugriff ist nicht im Subnetz der Instanz aktiviert ist.

Empfehlungen

Sie können zulassen, dass die Compute Engine-VM-Instanz die externe IP-Adresse erreicht die Adresse von Google APIs und Google-Diensten auf folgende Weise verwenden:

  1. Aktivieren Sie den privaten Google-Zugriff für das Subnetz der Instanz.
  2. Weisen Sie der Compute Engine-NIC eine externe IP-Adresse zu.
  3. Aktivieren Sie Cloud NAT für das Subnetz der VM-Instanz.

Privater Google-Zugriff über VPN-Tunnel wird nicht unterstützt

Ein Quellendpunkt mit einer internen IP-Adresse versucht, die externe IP-Adresse von Google APIs und Diensten über den VPN-Tunnel zu einem anderen Netzwerk zu erreichen. Der private Google-Zugriff muss jedoch im Netzwerk des Quellendpunkts aktiviert sein.

Mögliche Ursache

Das Paket vom Quellendpunkt zur externen IP-Adresse des Google APIs und Dienste werden durch den Cloud VPN-Tunnel geleitet, aber so Konfiguration wird nicht unterstützt.

Empfehlungen

Wenn der Quellendpunkt ein Google Cloud-Endpunkt ist (z. B. eine Compute Engine-VM-Instanz), sollten Sie den privaten Google-Zugriff in seinem Quellsubnetz aktivieren.

Wenn der Quellendpunkt ein lokaler Endpunkt ist, verweisen Sie auf die Privater Google-Zugriff für lokale Hosts .

Weiterleitungsregel stimmt nicht überein

Das Protokoll und die Ports der Weiterleitungsregel stimmen nicht mit dem Paketheader überein.

Mögliche Ursache

Das Paket wird über ein Protokoll gesendet, das von der Weiterleitungsregel nicht unterstützt wird, oder das Paket wird an einen Zielport gesendet, der nicht mit den Ports übereinstimmt von der Weiterleitungsregel unterstützt wird.

Empfehlungen

Prüfen Sie das Zielprotokoll und die Ports für die Weiterleitungsregel.

Abweichende Region der Weiterleitungsregel

Für die Weiterleitungsregel ist weder der globale Zugriff aktiviert noch für die zugehörige Region mit der Region des Pakets übereinstimmen.

Mögliche Ursache

Ebenfalls abhängig vom Load-Balancer und dessen Stufe ist eine Weiterleitungsregel entweder global oder regional. Weitere Informationen finden Sie in der Tabelle der Load-Balancer-Typen.

Bei einer regionalen Weiterleitungsregel ist der Client (z. B. die VM oder VPC-Connector) muss sich in derselben Region wie der Load Balancer.

Empfehlungen

Wenn Sie eine Verbindung zum Load Balancer über einen Google Cloud-Endpunkt wie eine Compute Engine-VM-Instanz herstellen, muss sich dieser in derselben Region wie die Weiterleitungsregel befinden.

Sorgen Sie bei einer Verbindung von einem lokalen Netzwerk dafür, dass der Client über Cloud VPN-Tunnel oder VLAN-Anhänge, die sich in derselben Region wie der Load Balancer befinden, auf den Load Balancer zugreift. Weitere Informationen finden Sie unter Interne Application Load Balancer und verbundene Netzwerke.

Sie können den globalen Zugriff auf internen Application Load Balancern und regionalen internen Proxy-Network Load Balancern aktivieren, um auf Clients in beliebigen Regionen zuzugreifen. Standardmäßig müssen sich die Clients für diese Load Balancer in derselben Region wie der Load Balancer befinden. Weitere Informationen finden Sie unter Globalen Zugriff für interne Application Load Balancer aktivieren. und Globalen Zugriff für regionale interne Proxy-Network Load Balancer aktivieren.

Firewall blockiert die Backend-Systemdiagnose des Load Balancers

Firewalls blockieren Systemdiagnoseprüfungen an den Back-Ends und führen dazu, dass Back-Ends nicht für Traffic vom Load-Balancer verfügbar.

Mögliche Ursache

Damit Systemdiagnosen funktionieren, müssen Sie Firewallregeln für eingehenden Traffic erstellen, die Traffic von Google Cloud-Probern zu Ihren Back-Ends zulassen. Andernfalls gelten die Back-Ends als fehlerhaft.

Empfehlungen

Erstellen Sie Firewallregeln für eingehenden Traffic gemäß der Tabelle Prüfungs-IP-Bereiche und Firewallregeln. Weitere Informationen finden Sie unter Erforderliche Firewallregeln.

Keine externe Adresse verfügbar

Eine VM-Instanz mit nur einer internen IP-Adresse hat versucht, über eine Route, deren nächster Hop das Standard-Internetgateway ist, auf externe Hosts zuzugreifen. Wird erwartet, wenn Cloud NAT im Subnetz nicht aktiviert ist oder es keine andere Standardroute gibt, die einen anderen nächsten Hop verwendet (z. B. eine Proxy-VM)

Mögliche Ursache

Eine Instanz mit nur einer internen IP-Adresse hat versucht, auf einen externen Host zuzugreifen, aber sie hatte keine externe IP-Adresse oder Cloud NAT wurde im Subnetz nicht aktiviert.

Empfehlungen

Wenn Sie auf externe Endpunkte zugreifen möchten, können Sie Ihrer Instanz eine externe IP-Adresse zuweisen. Alternativ können Sie Cloud NAT auf seinem Subnetz aktivieren, es sei denn, die Verbindung erfolgt über eine Proxyinstanz, die Zugriff auf das Internet gewährt.

Weiterleitungsregel ohne Instanzen

Für die Weiterleitungsregel sind keine Back-Ends konfiguriert

Mögliche Ursache

Für die Weiterleitungsregel, die Sie erreichen möchten, sind keine Back-Ends konfiguriert.

Empfehlungen

Prüfen Sie die Konfiguration des Load-Balancers und dafür, dass für den Backend-Dienst des Load-Balancers Backends konfiguriert sind.

Traffictyp ist blockiert

Die Art des Traffics ist blockiert und Sie können keine Firewallregel konfigurieren, um sie zu aktivieren. Weitere Details finden Sie unter Permanent blockierter Traffic.

Mögliche Ursache

Dieser Traffictyp ist standardmäßig blockiert und kann nicht durch Erstellen Firewallregeln. Gängige Szenarien:

  1. Ausgehenden Traffic mit dem TCP-Port 25 (SMTP) an ein externes Ziel senden. Weitere Details finden Sie unter Permanent blockierter Traffic.
  2. Traffic an einen nicht unterstützten Port auf einer Cloud SQL-Instanz senden Für Beispiel: Traffic an TCP-Port 3310 an eine MySQL-Cloud SQL-Instanz senden Port 3306 geöffnet ist.
  3. Ausgehender Traffic wird von einer Version der App Engine-Standardumgebung, einer Cloud Run-Funktion oder einer Cloud Run-Version gesendet, die ein anderes Protokoll als TCP oder UDP verwendet.

Empfehlungen

Informationen zu ausgehendem SMTP-Traffic (ausgehender Traffic zu einem externen Ziel mit TCP-Port 25) finden Sie unter E-Mails von einer Instanz senden.

Für das DHCP-Protokoll einschließlich UDP-IPv4-Pakete für den Zielport 68 (DHCPv4-Antworten) und UDP-IPv6-Pakete zum Zielport 546 (DHCPv6-Antworten) ist DHCP-Traffic nur vom Metadatenserver zulässig (169.254.169.254).

Prüfen Sie bei der Cloud SQL-Verbindung, ob der verwendete Port korrekt ist.

Connector für serverlosen VPC-Zugriff ist nicht konfiguriert

Das Paket wurde verworfen, da die Version der App Engine-Standardumgebung Cloud Run-Funktion oder die Cloud Run-Version hat kein Connector für serverlosen VPC-Zugriff konfiguriert.

Mögliche Ursache

Die Ziel-IP-Adresse ist eine private IP-Adresse, die nicht über das Internet erreichbar ist. Das Paket verlässt die Quelle, aber es ist kein Connector für Serverloser VPC-Zugriff, der für den Version der App Engine-Standardumgebung, die Cloud Run-Funktion oder Cloud Run Überarbeitung.

Empfehlungen

Wenn Sie versuchen, über die private IP-Adresse auf den Zielendpunkt zuzugreifen, prüfen Sie, ob Sie einen Connector für den serverlosen VPC-Zugriff für die Version der App Engine-Standardumgebung, die Cloud Run-Funktion oder die Cloud Run-Revision konfiguriert haben.

Connector für Serverloser VPC-Zugriff wird nicht ausgeführt

Das Paket wurde verworfen, weil das Connector für serverlosen VPC-Zugriff wird nicht ausgeführt.

Mögliche Ursache

Das Paket wurde verworfen, da der gesamte Serverloser VPC-Zugriff Connector-Instanzen beendet wurden.

Empfehlungen

Eine Liste mit Schritten zur Fehlerbehebung finden Sie unter Fehlerbehebung.

Private Service Connect-Verbindung wird nicht akzeptiert

Das Paket wurde verworfen, da die Private Service Connect-Verbindung nicht akzeptiert wurde.

Mögliche Ursache

Der Private Service Connect-Endpunkt befindet sich in einem Projekt, das keine Verbindung zum Dienst herstellen darf. Weitere Informationen Informationen finden Sie unter Endpunktdetails ansehen.

Empfehlungen

Achten Sie darauf, dass sich der Private Service Connect-Endpunkt in einem Projekt, das für die Verbindung mit dem verwalteten Dienst genehmigt wurde.

Zugriff auf den Private Service Connect-Endpunkt über ein Peering-Netzwerk

Das Paket wird an den Private Service Connect-Endpunkt im Peering-Netzwerk gesendet. Eine solche Konfiguration wird jedoch nicht unterstützt.

Empfehlungen

Verwenden Sie gegebenenfalls eines der im Private Service Connect-Bereitstellungsmuster Seite. Sie können auch mit Private Service Connect-Back-Ends auf Google APIs und veröffentlichte Dienste zugreifen.