Connectivity Tests 可能会由于以下任何原因而丢弃测试数据包。
如需查看可能原因的完整列表,请参阅配置分析状态。
不允许使用外部 IP 地址
数据包被丢弃,因为 Compute Engine 实例可以发送或 启用 IP 转发后,才会接收具有外部 IP 地址的数据包。
可能的原因
虚拟机实例未启用 IP 转发,但来源或 所传输的数据包的目标 IP 地址与 实例的 IP 地址例如,当数据包 使用将虚拟机实例作为下一个跃点的静态路由传递给实例。
建议
创建启用了 IP 转发的 Compute Engine 实例,或设置 现有实例的对应属性。如需了解详情,请参阅 为实例启用 IP 转发。
因为防火墙规则而被丢弃
数据包可能因为防火墙规则而被丢弃,除非数据包已 因为连接跟踪而获得允许。
可能的原因
Connectivity Tests 可能会拒绝测试数据包,因为该数据包与 屏蔽防火墙规则或防火墙政策规则。 但是,由于防火墙规则上的连接跟踪,实际的数据平面可能允许数据包通过。连接跟踪允许 任何现有连接都会返回。
每个 VPC 网络都有两条隐式防火墙规则 允许出站流量到任何位置并阻止来自 位置。您可能还拥有更高优先级的拒绝出站防火墙规则。
为确保连接成功,您需要在来源位置设置出站防火墙规则 以及一条允许访问目标端点的入站防火墙规则, 以允许此连接的目标。
VPC 防火墙规则是有状态的。如果指定的目的地端点通常是发起通信的一端,则连接跟踪会自动允许响应流量,并且无需入站流量防火墙规则。
建议
根据连接测试结果中的详细信息删除拒绝规则,或创建允许规则。如需了解详情,请参阅 防火墙政策和 使用 VPC 防火墙规则。
由于没有匹配的路由而被丢弃
数据包由于没有匹配的路由而被丢弃。
可能的原因
没有与数据包特性(例如目标 IP)匹配的有效路由 位于数据包网络和区域中。
建议
验证以下位置中的有效路由列表: Google Cloud 控制台如果您刚刚创建了新路由,请注意 这可能需要一些时间 以便 Connectivity Tests 接收配置更新并将其纳入 进行分析。
如果您尝试使用目标端点的内部 IP 地址访问该端点, 请确保源网络和目标网络已连接(例如, 使用 VPC 网络对等互连, Network Connectivity Center、 或混合连接解决方案 例如 Cloud VPN)。
请注意,传递 VPC 对等互连 不受支持。考虑连接来源网络和目标网络 或使用混合连接解决方案。
如果您尝试通过互联网访问目标端点,请确保 您具有指向目标 IP 地址的路由,该路由具有下一个跃点 互联网网关。
如果数据包正在经过混合连接网络端点组, 请考虑关于路由适用性的其他要求。 您在路由视图表中看到的某些路由可能不适用于流量 混合网络端点管理。
数据包发送到错误的网络
数据包被发送到非预期网络。例如,您执行
从 network-1 网络中的 Compute Engine 实例连接到
network-2 网络中的 Compute Engine 实例,但数据包
发送到 network-3 网络。
可能的原因
network-1 网络具有目标范围的路由,该范围包含
下一个跃点在其他网络中的目标实例 IP 地址
(上述示例中的 network-3)。
建议
验证有效路由列表并 适用于源实例的路由列表。 Google Cloud 控制台中。详细了解路由创建 和适用范围,请参阅 路由和使用路由。
路由的下一个跃点 IP 地址未解析
数据包通过具有下一个跃点 IP 的无效路由发送到目的地 未分配给任何资源的地址。
可能的原因
如果这是一条具有 next-hop-address 的路由,则下一个跃点地址必须是
主要内部 IPv4 地址或 Compute Engine 的 IPv6 地址
该路由的 VPC 网络中的实例。对等互连网络中的地址不是
支持。
如果这是一条具有 next-hop-ilb 的路由,则下一个跃点地址必须是
内部直通式网络负载平衡器(其他负载平衡器、
协议转发或 Private Service Connect 端点
)。必须将 IP 地址分配给路由的 VPC 中的资源
或位于通过 VPC 网络对等互连连接到的网络中。
建议
验证下一个跃点 IP 地址是否属于受支持的资源。有关 相关信息,请参阅下一个跃点实例的注意事项 和内部直通式网络负载平衡器下一个跃点的注意事项。
路由下一个跃点实例的 NIC 位于错误的网络中
数据包通过具有下一个跃点的无效路由发送到目的地 Compute Engine 实例没有网络接口控制器 (NIC) 路由的网络中
可能的原因
用作路由下一个跃点的 Compute Engine 实例必须在 路由的网络(不是对等互连的 VPC 网络)。
建议
验证下一个跃点 Compute Engine 实例中是否有 NIC 路由的网络如需了解详情,请参阅 下一个跃点实例的注意事项。
路由的下一个跃点地址不是虚拟机主要 IP 地址
数据包通过具有下一个跃点 IP 的无效路由发送到目的地
地址 (next-hop-address) 不是
Compute Engine 实例
可能的原因
路由的下一个跃点 IP 地址 (next-hop-address) 必须是主要内部地址
Compute Engine 实例的 IPv4 地址。
不支持别名 IP 地址范围。
建议
验证下一个跃点 IP 地址是否为 Compute Engine 实例如需了解详情,请参阅 下一个跃点实例的注意事项。
路由的下一个跃点转发规则类型无效
数据包通过具有下一个跃点的无效路由发送到目的地
转发规则 (next-hop-ilb) 不是
内部直通式网络负载平衡器
可能的原因
该路由的下一个跃点转发规则必须是 内部直通式网络负载平衡器如需了解详情,请参阅 内部直通式网络负载平衡器下一个跃点的注意事项。
建议
创建针对受支持转发规则(而不是无效转发规则)的路由 。
到互联网的专用流量
具有内部目标地址的数据包已发送到互联网网关。
可能的原因
数据包目标 IP 地址是一个专用 IP 地址。 而该网络无法通过互联网访问但是,该数据包会 来源 Compute Engine 实例,并与下一个跃点匹配的路由 互联网网关。
建议
如果您想通过互联网访问目标位置,请确保 源 Compute Engine 实例具有互联网连接 - 例如,它具有外部 IP 地址或使用 Cloud NAT, 并在测试中使用目标端点的外部 IP 地址。
如果您希望通过其内部 IP 地址访问该目标, 需要在来源和 目标网络。您可以通过以下任意方式执行此操作:
- 如果您的目标端点在本地网络中,请使用 Network Connectivity Center 或混合连接解决方案, 例如 Cloud VPN 或 Cloud Interconnect。
- 如果您的目标端点在 Google Cloud 中:
- 配置 VPC 网络对等互连, VPC 网络。
- 在 VPC 网络之间配置 Cloud VPN。
- 使用 Network Connectivity Center VPC spoke 配置网络连接。
如果您已连接到目标网络,请执行以下操作:
- 来源端点网络没有通过此的路由 或使用通过互联网的默认路由 网关。验证有效路由列表。 以及适用于源实例的路由列表 Google Cloud 控制台中。详细了解路由 创建和适用性,请参阅 路由和使用路由。
如果您要测试对等互连网络中的本地网络连接,请参阅此示例以了解自定义通告、网络路由模式和交换自定义路由。
不支持传递性 VPC 网络对等互连。您可以将 VPN 或对等互连用于这两个 VPC 网络。
不允许专用 Google 访问通道
只有内部 IP 地址的 Compute Engine 实例会尝试访问 使用专用 Google 访问通道 未启用。
建议
您可以允许 Compute Engine 虚拟机实例访问外部 IP 地址 通过以下任一方式配置 Google API 和服务的地址:
- 为 实例子网
- 为 Compute Engine NIC 分配外部 IP 地址。
- 为虚拟机实例的子网启用 Cloud NAT。
不支持通过 VPN 隧道的专用 Google 访问通道
具有内部 IP 地址的来源端点尝试访问外部 IP 地址 通过 VPN 隧道连接到其他网络, 但需要在来源端点网络中启用专用 Google 访问通道。
可能的原因
从来源端点发送到 Google 外部 IP 地址的数据包 API 和服务通过 Cloud VPN 隧道进行路由, 配置不受支持。
建议
如果来源端点是 Google Cloud 端点(如 Compute Engine 虚拟机实例),请考虑启用 专用 Google 访问通道 来源子网中
如果来源端点是本地端点,请参阅 适用于本地主机的专用 Google 访问通道 了解详细说明。
转发规则不匹配
转发规则的协议和端口与数据包标头不一致。
可能的原因
数据包是使用转发规则不支持的协议发送的。 或者数据包被发送到与端口不匹配的目标端口 防火墙规则
建议
确认目标转发规则协议和端口。
转发规则区域不匹配
转发规则未启用全球访问权限,其区域也未启用 与数据包的区域一致
可能的原因
此外,根据负载均衡器及其层级,转发规则可以是全球级,也可以是区域级。如需了解详情,请参阅负载均衡器类型表。
如果转发规则是区域性的,则客户端(例如虚拟机或 VPC 连接器)应与负载均衡器位于同一区域。
建议
如果您从 Google Cloud 端点(例如 Compute Engine 虚拟机实例,请确保它位于同一区域 用作转发规则
从本地网络建立连接时,确保客户端通过与负载均衡器位于同一区域的 Cloud VPN 隧道或 VLAN 连接来访问负载均衡器。如需了解详情,请参阅内部应用负载均衡器和连接的网络。
您可以在内部应用负载均衡器和区域级内部代理网络负载均衡器上启用全球访问权限,以访问任何区域的客户端。默认情况下,这些负载均衡器的客户端必须与负载均衡器位于同一区域。如需了解详情,请参阅为内部应用负载平衡器启用全球访问权限 和为区域级内部代理网络负载平衡器启用全球访问权限。
防火墙屏蔽了负载均衡器后端健康检查
防火墙会屏蔽对后端的健康检查探测,导致后端 来自负载均衡器的流量不可用。
可能的原因
为使健康检查正常工作,您必须创建入站允许防火墙规则, 允许来自 Google Cloud 探测器的流量到达您的后端。否则 后端会被视为健康状况不佳
建议
根据探测 IP 范围和防火墙规则创建入站允许防火墙规则 表格。如需了解详情,请参阅必需的防火墙规则。
没有可用的外部地址
仅具有内部 IP 地址的虚拟机实例尝试了通过下一个跃点是默认互联网网关的路由来访问外部主机。在子网中未启用 Cloud NAT 或没有使用其他类型的下一个跃点(例如代理虚拟机)的其他默认路由时,会出现这种情况。
可能的原因
仅具有内部 IP 地址的实例尝试访问外部主机,但它没有外部 IP 地址或未在子网中启用 Cloud NAT。
建议
如果要访问外部端点,您可以为实例分配外部 IP 地址。或者,您也可以启用Cloud Build NAT,除非 连接会经过一个提供互联网访问权限的代理实例。
没有实例的转发规则
转发规则没有配置后端。
可能的原因
您尝试访问的转发规则未配置任何后端。
建议
检查负载均衡器配置,并确保负载均衡器的后端服务已配置后端。
流量类型被屏蔽
流量类型被阻止,您无法配置防火墙规则来启用它。如需了解详情,请参阅始终禁止的流量。
可能的原因
默认情况下,此流量类型被阻止,并且无法通过创建防火墙规则来启用。常见场景如下:
- 使用 TCP 端口 25 (SMTP) 将出站流量发送到外部目的地。如需了解详情,请参阅始终禁止的流量。
- 将流量发送到 Cloud SQL 实例上不受支持的端口。例如,将流量发送到 TCP 端口 3310 到打开端口 3306 的 MySQL Cloud SQL 实例。
- 从 App Engine 标准环境版本发送出站流量, Cloud Function 或 Cloud Run 使用非 TCP 或 UDP 协议的修订版本。
建议
对于出站流量 SMTP(具有 TCP 端口 25 的外部目的地的出站流量),请参阅从实例发送电子邮件。
对于 DHCP 协议,包括发送到目标端口 68 的 UDP IPv4 数据包(DHCPv4 响应)和到目标端口 546 的 UDP IPv6 数据包(DHCPv6 响应),仅允许来自元数据服务器 (169.254.169.254) 的 DHCP 流量。
对于 Cloud SQL 连接,请确保使用的端口正确无误。
未配置无服务器 VPC 访问通道连接器
数据包被丢弃,因为 App Engine 标准环境版本 Cloud Function,或者 Cloud Run 修订版本没有 无服务器 VPC 访问通道连接器 配置。
可能的原因
目标 IP 地址是专用 IP 地址,因为无法访问 和网络。数据包离开来源,但 为 VPC 网络配置的 App Engine 标准环境版本、Cloud Function 或 Cloud Run 修订版本
建议
如果您尝试使用目标端点的专用 IP 地址访问目标端点, 请确保您已配置无服务器 VPC 访问通道 适用于 App Engine 标准环境版本的 Cloud Function 函数, 或 Cloud Run 修订版本
无服务器 VPC 访问通道连接器未在运行
由于无服务器 VPC 访问通道连接器未在运行,数据包被丢弃。
可能的原因
由于所有无服务器 VPC 访问通道连接器实例都已停止,数据包被丢弃。
建议
如需查看问题排查步骤的列表,请参阅问题排查。
Private Service Connect 连接未被接受
由于 Private Service Connect 连接未被接受,数据包被丢弃。
可能的原因
Private Service Connect 端点属于未获准连接到服务的项目。如需了解详情,请参阅查看端点详情。
建议
确保 Private Service Connect 端点位于 项目。
从对等互连网络访问 Private Service Connect 端点
数据包会发送到 但不支持此类配置。
建议
您可以考虑使用 Private Service Connect 部署模式 页面。您还可以使用 Private Service Connect 后端。