連線測試可能會基於下列任何原因捨棄測試封包。
如需可能原因的完整清單,請參閱「設定分析狀態」。
不允許使用國外 IP 位址
封包遭到捨棄,因為 Compute Engine 執行個體只能在啟用 IP 轉送功能時,傳送或接收具備外部 IP 位址的封包。
可能原因
VM 執行個體未啟用 IP 轉送功能,但通過該執行個體的封包來源或目的地 IP 位址,與執行個體的 IP 位址不符。舉例來說,如果封包是透過下一個躍點為 VM 執行個體的靜態路徑傳送至執行個體,就可能發生這種情況。
建議
建立啟用 IP 轉送功能的 Compute Engine 執行個體,或為現有執行個體設定對應屬性。詳情請參閱為執行個體啟用 IP 轉送功能。
因防火牆規則而捨棄封包
根據防火牆規則,封包可能會遭到捨棄,但連線追蹤允許的封包除外。
可能原因
如果封包符合封鎖的防火牆規則或防火牆政策規則,Connectivity Tests 可能會拒絕測試封包。不過,由於防火牆規則的連線追蹤功能,實際資料層可能會允許封包通過。連線追蹤功能可讓現有連線的封包返回,即使防火牆規則不允許也一樣。
每個 VPC 網路都有兩項默示防火牆規則,允許傳出流量前往任何位置,並封鎖來自任何位置的傳入流量。您也可能設有優先順序較高的拒絕輸出防火牆規則。
如要成功連線,您需要在來源端設定輸出防火牆規則,允許存取目的地端點,並在目的地端設定輸入防火牆規則,允許建立連線。
虛擬私有雲防火牆規則具有狀態。如果指定的目的地端點通常是啟動通訊的一方,系統會自動允許回應流量,並追蹤連線,因此不需要設定輸入防火牆規則。
建議
根據連線能力測試結果中的詳細資料,刪除拒絕規則或建立允許規則。詳情請參閱防火牆政策和使用虛擬私有雲防火牆規則。如果拒絕流量的防火牆政策規則指定了網路類型,請瞭解防火牆政策規則,判斷該規則是否適用於您的用途。
因沒有相符路徑而捨棄封包
封包因沒有相符路徑而遭到捨棄。
可能原因
封包網路和區域中沒有與封包屬性 (例如目的地 IP 位址) 相符的有效路徑。
建議
在 Google Cloud 控制台中,確認有效路徑清單。如果您剛建立新路徑,請注意,Connectivity Tests 可能需要一段時間才能收到設定更新,並將其納入分析。
如果您嘗試使用內部 IP 位址存取目的地端點,請確保來源和目的地網路已連線 (例如使用 VPC 網路對等互連、網路連線中心或 混合式連線解決方案 (例如 Cloud VPN))。
請注意,系統不支援遞移性虛擬私有雲對等互連。建議直接連線來源和目的地網路,或使用混合式連線解決方案。
如果您嘗試透過網際網路存取目的地端點,請確認您有目的地 IP 位址的路徑,且下一個躍點為網際網路閘道。
如果封包要通過混合式連線網路端點群組,請考慮適用於路徑的其他需求。路由檢視表中的部分路由可能不適用於來自混合式 NEG 的流量。
封包已傳送至錯誤的網路
封包已傳送至非預期的網路。舉例來說,您從 network-1 網路中的 Compute Engine 執行個體,對 network-2 網路中的 Compute Engine 執行個體執行測試,但封包卻傳送至 network-3 網路。
可能原因
network-1 網路有一條路徑,其目的地範圍包含目的地執行個體 IP 位址,且下一個躍點位於不同網路 (上例中的 network-3)。
建議
在 Google Cloud 控制台中,驗證有效路徑清單和適用於來源執行個體的路徑清單。如要進一步瞭解如何建立路徑和適用範圍,請參閱「路徑」和「使用路徑」。
路徑下一個躍點 IP 位址未解析
封包是透過無效路徑傳送至目的地,且下一個躍點 IP 位址未指派給任何資源。
可能原因
如果是具有 next-hop-address 的路徑,下一個躍點位址必須是路徑虛擬私有雲端網路中 Compute Engine 執行個體的主要內部 IPv4 位址或 IPv6 位址。系統不支援對等互連網路中的地址。
如果是 next-hop-ilb 路徑,下一個躍點位址必須是內部直通式網路負載平衡器的位址 (不支援其他負載平衡器使用的轉送規則、通訊協定轉送或 Private Service Connect 端點)。IP 位址必須指派給路徑虛擬私有雲網路中的資源,或指派給透過虛擬私有雲網路對等互連連線的網路。
建議
確認下一個躍點 IP 位址屬於支援的資源。詳情請參閱下一個躍點執行個體的注意事項和內部直通式網路負載平衡器下一個躍點的注意事項。
路徑下一個躍點執行個體的 NIC 位於錯誤的網路
封包是透過無效路徑傳送至目的地,而路徑的下一個躍點 Compute Engine 執行個體沒有網路介面控制器 (NIC)。
可能原因
做為路徑下一個躍點的 Compute Engine 執行個體,必須在路徑網路 (而非對等互連 VPC 網路) 中有 NIC。
建議
確認下一個躍點 Compute Engine 執行個體在路徑網路中具有 NIC。詳情請參閱下一個躍點執行個體的注意事項。
路徑下一個躍點位址不是 VM 主要 IP 位址
封包是透過無效路徑傳送至目的地,且下一個躍點 IP 位址 (next-hop-address) 並非 Compute Engine 執行個體的主要 IP 位址。
可能原因
路徑的下一個躍點 IP 位址 (next-hop-address) 必須是 Compute Engine 執行個體的主要內部 IPv4 位址。系統不支援別名 IP 位址範圍。
建議
確認下一個躍點 IP 位址是 Compute Engine 執行個體的主要內部 IPv4 位址。詳情請參閱下一個躍點執行個體的注意事項。
路徑下一個躍點轉送規則類型無效
封包是透過無效路徑傳送至目的地,且下一個躍點轉送規則 (next-hop-ilb) 並非內部直通式網路負載平衡器的轉送規則。
可能原因
路徑的下一個躍點轉送規則必須是內部直通式網路負載平衡器的轉送規則。詳情請參閱內部直通式網路負載平衡器下一個躍點的考量事項。
建議
建立以支援的轉送規則為目標的路徑,而非無效路徑。
網際網路的私人流量
具備內部目的地位址的封包已傳送至網際網路閘道。
可能原因
封包目的地 IP 位址為私人 IP 位址,無法透過網際網路連線。不過,封包會離開來源 Compute Engine 執行個體,並比對下一個躍點為網際網路閘道的路徑。
建議
如要透過網際網路存取目的地,請確認來源 Compute Engine 執行個體已連上網際網路 (例如具有外部 IP 位址或使用 Cloud NAT),並在測試中使用目的地端點的外部 IP 位址。
如要透過目的地內部 IP 位址存取目的地,您需要在來源和目的地網路之間建立連線 (建立路徑)。你可以透過下列任一方式執行此操作:
- 如果目的地端點位於地端部署網路中,請使用 Network Connectivity Center 解決方案或混合式連線解決方案,例如 Cloud VPN 或 Cloud Interconnect。
- 如果目的地端點位於 Google Cloud:
- 在虛擬私有雲網路之間設定虛擬私有雲網路對等互連。
- 在虛擬私有雲網路之間設定 Cloud VPN。
- 使用 Network Connectivity Center VPC 輪輻設定網路連線。
如果已連線至目標網路:
- 來源端點網路沒有透過此連線的路徑,或使用透過網際網路閘道的預設路徑。在 Google Cloud 控制台中,驗證有效路徑清單和適用於來源執行個體的路徑清單。如要進一步瞭解如何建立路徑和適用範圍,請參閱「路徑」和「使用路徑」。
如果您要測試從對等互連網路連線至內部部署網路,請參閱這個範例,瞭解如何自訂通告、網路轉送模式,以及交換自訂路徑。
系統不支援遞移虛擬私有雲網路對等互連。您可以為這兩個 VPC 網路使用 VPN 或對等互連。
不允許私人 Google 存取權
僅具備內部 IP 位址的 Compute Engine 執行個體嘗試連至 Google API 和服務的外部 IP 位址,但執行個體的子網路未啟用 Private Google Access。
建議
您可以透過下列任一方式,允許 Compute Engine VM 執行個體連線至 Google API 與服務的外部 IP 位址:
- 為執行個體的子網路啟用私人 Google 存取權。
- 將外部 IP 位址指派給 Compute Engine NIC。
- 為 VM 執行個體的子網路啟用 Cloud NAT。
不支援透過 VPN 通道使用私人 Google 存取權
來源端點具有內部 IP 位址,嘗試透過連至另一個網路的 VPN 通道連上 Google API 和服務的外部 IP 位址,不過來源端點網路必須啟用私人 Google 存取權。
可能原因
從來源端點傳送至 Google API 和服務外部 IP 位址的封包會透過 Cloud VPN 通道傳送,但系統不支援這類設定。
建議
如果來源端點是 Google Cloud 端點 (例如 Compute Engine VM 執行個體),請考慮在來源子網路中啟用私人 Google 存取權。
如果來源端點是內部部署端點,請參閱「內部部署主機的私人 Google 存取權」一文,瞭解詳細操作說明。
轉送規則不符
轉送規則的通訊協定和通訊埠與封包標頭不符。
可能原因
封包使用的通訊協定不受轉送規則支援,或封包傳送至的目標通訊埠與轉送規則支援的通訊埠不符。
建議
確認目的地轉送規則的通訊協定和通訊埠。
轉送規則區域不符
轉送規則未啟用全域存取權,且其區域與封包的區域不符。
可能原因
視負載平衡器及其層級為何,轉送規則可以是全域或地區性的。詳情請參閱負載平衡器類型表。
如果轉送規則是區域性的,用戶端 (例如 VM 或 VPC 連接器) 應與負載平衡器位於相同區域。
建議
如果您從 Google Cloud 端點 (例如 Compute Engine VM 執行個體) 連線至負載平衡器,請確保該端點與轉送規則位於相同地區。
從內部部署網路連線時,請確認用戶端是透過與負載平衡器位於相同地區的 Cloud VPN 通道或 VLAN 連結存取負載平衡器。詳情請參閱內部應用程式負載平衡器和已連線網路。
您可以在內部應用程式負載平衡器和區域性內部 Proxy 網路負載平衡器上啟用全域存取權,存取任何區域的用戶端。根據預設,這些負載平衡器的用戶端必須與負載平衡器位於相同地區。詳情請參閱「啟用內部應用程式負載平衡器的全域存取權」和「啟用區域性內部 Proxy 網路負載平衡器的全域存取權」。
防火牆封鎖負載平衡器後端健康狀態檢查
防火牆會封鎖對後端的健康狀態檢查探測,導致後端無法接收來自負載平衡器的流量。
可能原因
如要讓健康狀態檢查正常運作,您必須建立輸入允許防火牆規則,允許來自 Google Cloud 探測器的流量到達後端。否則後端會被視為健康狀態不良。
建議
根據探測器 IP 範圍和防火牆規則表,建立允許連入的防火牆規則。詳情請參閱必要防火牆規則。
沒有可用的外部地址
僅具備內部 IP 位址的 VM 執行個體嘗試透過路徑存取外部主機,但該路徑的下一個躍點是預設網際網路閘道。如果子網路未啟用 Cloud NAT,或沒有使用其他類型下一個躍點 (例如 Proxy VM) 的其他預設路徑,就會出現這種情況。
可能原因
僅具備內部 IP 位址的執行個體嘗試存取外部主機,但該執行個體沒有外部 IP 位址,或子網路未啟用 Cloud NAT。
建議
如要存取外部端點,可以為執行個體指派外部 IP 位址。或者,您可以在子網路上啟用 Cloud NAT,除非連線是透過可存取網際網路的 Proxy 執行個體。
沒有執行個體的轉送規則
轉送規則未設定後端。
可能原因
您嘗試存取的轉送規則未設定任何後端。
建議
檢查負載平衡器設定,確認負載平衡器的後端服務已設定後端。
流量類型遭到封鎖
流量類型遭到封鎖,您無法設定防火牆規則來啟用該類流量。詳情請參閱「一律封鎖的流量」。
可能原因
這類流量預設會遭到封鎖,且無法透過建立防火牆規則啟用。常見情況如下:
- 使用 TCP 通訊埠 25 (SMTP) 將輸出流量傳送至外部目的地。詳情請參閱「一律封鎖的流量」。
- 將流量傳送至 Cloud SQL 執行個體上不支援的通訊埠。舉例來說,將流量傳送至通訊埠 3310,並開放通訊埠 3306,即可連線至 MySQL Cloud SQL 執行個體。
- 從 App Engine 標準環境版本、Cloud Run 函式或 Cloud Run 修訂版本傳送輸出流量,但使用 TCP 或 UDP 以外的通訊協定。
建議
如要瞭解輸出 SMTP (輸出流量至 TCP 通訊埠 25 的外部目的地) 流量,請參閱「從執行個體傳送電子郵件」。
如果是 DHCP 通訊協定,包括傳送至目的地通訊埠 68 的 UDP IPv4 封包 (DHCPv4 回應),以及傳送至目的地通訊埠 546 的 UDP IPv6 封包 (DHCPv6 回應),則只允許來自中繼資料伺服器 (169.254.169.254) 的 DHCP 流量。
如要連線至 Cloud SQL,請確認使用的連接埠是否正確。
Ingress 防火牆規則中的直接 VPC 傳出功能不支援網路標記
封包遭到捨棄,因為直接虛擬私有雲 egress 不支援 ingress 防火牆規則中的來源網路標記。
可能原因
透過直接 VPC 輸出連線的 Cloud Run 連線,不支援依據來源網路標記比對輸入防火牆規則。詳情請參閱「限制」一節。
建議
更新防火牆規則,使用來源 IP 範圍而非來源網路標記,比對透過 Direct VPC 輸出連線的 Cloud Run 流量。
未設定無伺服器虛擬私有雲存取連接器
封包遭到捨棄,因為 App Engine 標準環境版本、Cloud Run 函式或 Cloud Run 修訂版本未設定無伺服器虛擬私有雲存取連接器。
可能原因
目的地 IP 位址是私人 IP 位址,無法透過網際網路連線。封包會離開來源,但 App Engine 標準環境版本、Cloud Run 函式或 Cloud Run 修訂版本未設定無伺服器虛擬私有雲存取連接器。
建議
如果您嘗試使用目的地端點的私人 IP 位址存取該端點,請務必為 App Engine 標準環境版本、Cloud Run 函式或 Cloud Run 修訂版本設定無伺服器虛擬私人雲端存取連接器。
無伺服器 VPC 存取連接器未執行
封包遭到捨棄,因為無伺服器虛擬私有雲存取連接器未運作。
可能原因
封包遭到捨棄,因為所有無伺服器虛擬私有雲存取連接器執行個體都已停止。
建議
如需疑難排解步驟清單,請參閱「疑難排解」。
系統不接受 Private Service Connect 連線
封包遭到捨棄,因為系統不接受 Private Service Connect 連線。
可能原因
Private Service Connect 端點所在的專案未獲准連線至服務。詳情請參閱「查看端點詳細資料」。
建議
請確認 Private Service Connect 端點位於已獲准連線至代管服務的專案中。
從對等互連網路存取 Private Service Connect 端點
封包會傳送至對等互連網路中的 Private Service Connect 端點,但不支援這類設定。
建議
Google 建議您改用中樞和輪輻架構,並使用 Network Connectivity Center 啟用 Private Service Connect 連線傳播。
或者,請考慮下列其中一種連線模式:
如果服務供應商支援,請改用多點存取連線模式。
如果服務供應商支援,請設定支援的消費者負載平衡器,並採用 Private Service Connect 後端。
如需進一步協助,請與服務製作人支援團隊或 Google Cloud 代表聯絡。