연결 테스트는 다음과 같은 이유로 인해 테스트 패킷을 드롭할 수 있습니다.
가능한 이유의 전체 목록은 구성 분석 상태를 참조하세요.
외부 IP 주소가 허용되지 않음
Compute Engine 인스턴스는 IP 전달이 사용 설정된 경우에만 외부 IP 주소로 패킷을 보내거나 받을 수 있으므로 패킷이 드롭됩니다.
가능한 원인
VM 인스턴스에 IP 전달이 사용 설정되어 있지 않지만 이를 통과하는 패킷의 소스 또는 목적지 IP 주소가 인스턴스의 IP 주소와 일치하지 않습니다. 예를 들어 VM 인스턴스를 다음 홉으로 포함하는 정적 경로를 사용하여 패킷이 인스턴스에 전송될 때 이러한 상황이 발생할 수 있습니다.
권장사항
IP 전달이 사용 설정된 Compute Engine 인스턴스를 만들거나 기존 인스턴스에 해당 속성을 설정하세요. 자세한 내용은 인스턴스에 IP 전달 사용 설정을 참조하세요.
방화벽 규칙으로 인해 드롭됨
연결 추적으로 인해 패킷이 허용되는 경우를 제외하면 방화벽 규칙으로 인해 패킷이 드롭될 수 있습니다.
가능한 원인
테스트 패킷이 차단 방화벽 규칙이나 방화벽 정책 규칙에 해당하면 연결 테스트에서 패킷을 거부할 수 있습니다. 그러나 실제 데이터 영역은 방화벽 규칙의 연결 추적으로 인해 패킷 통과를 허용할 수 있습니다. 연결 추적은 방화벽 규칙에 관계없이 기존 연결에서 패킷의 반환을 허용합니다.
모든 VPC 네트워크에는 모든 곳으로 나가는 이그레스 트래픽을 허용하고 모든 곳에서 들어오는 트래픽을 차단하는 두 개의 암묵적 방화벽 규칙이 있습니다. 또한 더 우선순위가 높은 이그레스 거부 방화벽 규칙이 있을 수도 있습니다.
성공적인 연결을 위해서는 소스에 목적지 엔드포인트에 대한 액세스를 허용하는 이그레스 방화벽 규칙과 목적지에 이 연결을 허용하는 인그레스 방화벽 규칙이 필요합니다.
VPC 방화벽 규칙은 스테이트풀(Stateful)입니다. 지정된 목적지 엔드포인트가 일반적으로 통신을 시작하는 측인 경우 응답 트래픽은 연결 추적을 통해 자동으로 허용되며 인그레스 방화벽 규칙은 필요하지 않습니다.
권장사항
연결 테스트 결과의 세부정보를 기준으로 거부 규칙을 삭제하거나 허용 규칙을 만드세요. 자세한 내용은 방화벽 정책 및 VPC 방화벽 규칙 사용을 참조하세요.
일치하는 경로가 없어서 드롭됨
일치하는 경로가 없어서 패킷이 드롭됩니다.
가능한 원인
패킷 네트워크 및 리전에 패킷 속성(예: 목적지 IP 주소)과 일치하는 활성 경로가 없습니다.
권장사항
Google Cloud 콘솔에서 유효한 경로 목록을 확인하세요. 새 경로를 방금 만든 경우 연결 테스트에서 구성 업데이트를 수신하고 분석에 통합하는 데 약간의 시간이 걸릴 수 있습니다.
내부 IP 주소를 사용하여 목적지 엔드포인트에 액세스하려는 경우 소스 및 목적지 네트워크가 연결되어 있는지 확인합니다(예를 들어 VPC 네트워크 피어링, Network Connectivity Center, 또는 Cloud VPN 같은 하이브리드 연결 솔루션 사용).
전환 VPC 피어링은 지원되지 않습니다. 소스 및 목적지 네트워크를 직접 연결하거나 하이브리드 연결 솔루션을 사용하는 것이 좋습니다.
인터넷을 통해 목적지 엔드포인트에 액세스하려는 경우 다음 홉 인터넷 게이트웨이가 있는 목적지 IP 주소의 경로가 있는지 확인하세요.
패킷이 하이브리드 연결 네트워크 엔드포인트 그룹을 통과하는 경우 경로 적용 가능성에 대한 추가 요구사항을 고려해야 합니다. 경로 뷰 표에 표시되는 일부 경로는 하이브리드 NEG의 트래픽에 사용하지 못할 수 있습니다.
패킷이 잘못된 네트워크로 전송됨
패킷이 의도하지 않은 네트워크로 전송됩니다. 예를 들어 network-1
네트워크의 Compute Engine 인스턴스에서 network-2
네트워크의 Compute Engine 인스턴스로 테스트를 실행하지만 패킷이 network-3
네트워크로 전송된 경우를 생각할 수 있습니다.
가능한 원인
network-1
네트워크에 다른 네트워크에(위 예시에서는 network-3
) 다음 홉이 있는 목적지 인스턴스 IP 주소를 포함하는 목적지 범위의 경로가 있습니다.
권장사항
Google Cloud 콘솔에서 유효한 경로 목록과 소스 인스턴스에 적용 가능한 경로 목록을 확인합니다. 경로 만들기 및 적용 가능성에 대한 상세 설명은 경로 및 경로 사용을 참조하세요.
경로의 다음 홉 IP 주소가 확인되지 않음
리소스에 할당되지 않은 다음 홉 IP 주소가 포함된 잘못된 경로를 사용하여 패킷이 목적지로 전송됩니다.
가능한 원인
next-hop-address
가 포함된 경로의 경우 다음 홉 주소는 기본 내부 IPv4 주소이거나 경로의 VPC 네트워크에 있는 Compute Engine 인스턴스의 IPv6 주소여야 합니다. 피어링된 네트워크의 주소는 지원되지 않습니다.
next-hop-ilb
가 포함된 경로인 경우 다음 홉 주소는 내부 패스 스루 네트워크 부하 분산기의 주소여야 하며, 다른 부하 분산기, 프로토콜 전달 또는 Private Service Connect 엔드포인트에서 사용하는 전달 규칙은 지원되지 않습니다. IP 주소는 경로의 VPC 네트워크 또는 VPC 네트워크 피어링으로 연결된 네트워크에 있는 리소스에 할당되어야 합니다.
권장사항
다음 홉 IP 주소가 지원되는 리소스에 속하는지 확인합니다. 자세한 내용은 다음 홉 인스턴스에 대한 고려사항 및 내부 패스 스루 네트워크 부하 분산기 다음 홉에 대한 고려사항을 참조하세요.
경로의 다음 홉 인스턴스의 NIC가 잘못된 네트워크에 있음
경로의 네트워크에 네트워크 인터페이스 컨트롤러(NIC)가 없는 다음 홉 Compute Engine 인스턴스가 있는 잘못된 경로를 사용하는 목적지로 패킷이 전송됩니다.
가능한 원인
경로의 다음 홉으로 사용되는 Compute Engine 인스턴스에는 피어링된 VPC 네트워크가 아닌 경로의 네트워크에 NIC가 있어야 합니다.
권장사항
다음 홉 Compute Engine 인스턴스의 경로 네트워크에 NIC가 있는지 확인합니다. 자세한 내용은 다음 홉 인스턴스 고려사항을 참조하세요.
경로의 다음 홉 주소가 VM 기본 IP 주소가 아님
다음 홉 IP 주소(next-hop-address
)가 Compute Engine 인스턴스의 기본 IP 주소가 아닌 잘못된 경로를 사용하는 목적지로 패킷이 전송됩니다.
가능한 원인
경로의 다음 홉 IP 주소(next-hop-address
)는 Compute Engine 인스턴스의 기본 내부 IPv4 주소여야 합니다.
별칭 IP 주소 범위는 지원되지 않습니다.
권장사항
다음 홉 IP 주소가 Compute Engine 인스턴스의 기본 내부 IPv4 주소인지 확인합니다. 자세한 내용은 다음 홉 인스턴스 고려사항을 참조하세요.
경로의 다음 홉 전달 규칙 유형이 잘못됨
다음 홉 전달 규칙(next-hop-ilb
)이 내부 패스 스루 네트워크 부하 분산기의 전달 규칙이 아닌 잘못된 경로를 사용하는 목적지로 패킷이 전송됩니다.
가능한 원인
경로의 다음 홉 전달 규칙은 내부 패스 스루 네트워크 부하 분산기의 전달 규칙이어야 합니다. 자세한 내용은 내부 패스 스루 네트워크 부하 분산기 다음 홉에 대한 고려사항을 참조하세요.
권장사항
잘못된 경로 대신 지원되는 전달 규칙을 타겟팅하는 경로를 만드세요.
인터넷에 대한 비공개 트래픽
내부 목적지 주소가 있는 패킷이 인터넷 게이트웨이로 전송되었습니다.
가능한 원인
패킷 목적지 IP 주소는 인터넷을 통해 연결할 수 없는 비공개 IP 주소입니다. 하지만 소스 Compute Engine 인스턴스를 떠난 패킷의 경로가 다음 홉 인터넷 게이트웨이의 경로와 일치합니다.
권장사항
인터넷을 통해 목적지에 액세스하려면 소스 Compute Engine 인스턴스가 인터넷에 연결되어 있어야 합니다. 예를 들어 외부 IP 주소가 있거나 Cloud NAT를 사용해야 하며, 테스트에서 목적지 엔드포인트의 외부 IP 주소를 사용해야 합니다.
내부 IP 주소를 통해 목적지에 액세스하려면 소스 네트워크와 목적지 네트워크 간에 연결을 설정(경로 만들기)해야 합니다. 다음 방법 중 하나로 이 작업을 수행할 수 있습니다.
- 목적지 엔드포인트가 온프레미스 네트워크 내에 있는 경우 Network Connectivity Center 솔루션을 사용하거나 Cloud VPN 또는 Cloud Interconnect 같은 하이브리드 연결 솔루션을 사용합니다.
- 목적지 엔드포인트가 Google Cloud 내에 있는 경우 다음을 수행합니다.
- VPC 네트워크 간에 VPC 네트워크 피어링 구성
- VPC 네트워크 간에 Cloud VPN 구성
- Network Connectivity Center VPC 스포크를 사용하여 네트워크 연결 구성
목적지 네트워크에 이미 연결되어 있는 경우 다음을 수행합니다.
- 소스 엔드포인트 네트워크에 이 연결을 통한 경로가 없거나 이 네트워크에서 인터넷 게이트웨이를 통과하는 기본 경로를 사용합니다. Google Cloud 콘솔에서 유효한 경로 목록 및 소스 인스턴스에 적용 가능한 경로 목록을 확인합니다. 경로 만들기 및 적용 가능성에 대한 자세한 내용은 경로 및 경로 사용을 참조하세요.
피어링된 네트워크에서 온프레미스 네트워크로의 연결을 테스트하는 경우 커스텀 공지, 네트워크 라우팅 모드, 커스텀 경로 교환은 이 예시를 참조하세요.
전환 VPC 네트워크 피어링은 지원되지 않습니다. 이러한 두 VPC 네트워크에 VPN 또는 피어링을 사용할 수 있습니다.
비공개 Google 액세스가 허용되지 않음
내부 IP 주소만 있는 Compute Engine 인스턴스가 Google API 및 서비스의 외부 IP 주소에 연결하려고 시도하지만 인스턴스의 서브넷에 비공개 Google 액세스가 사용 설정되어 있지 않습니다.
권장사항
다음 방법 중 하나로 Compute Engine VM 인스턴스가 Google API 및 서비스의 외부 IP 주소에 연결하도록 허용할 수 있습니다.
- 인스턴스의 서브넷에서 비공개 Google 액세스를 사용 설정합니다.
- Compute Engine NIC에 외부 IP 주소를 할당합니다.
- VM 인스턴스의 서브넷에 Cloud NAT를 사용 설정합니다.
VPN 터널을 통한 비공개 Google 액세스가 지원되지 않음
내부 IP 주소가 있는 소스 엔드포인트가 VPN 터널을 통해 다른 네트워크로의 Google API 및 서비스의 외부 IP 주소에 연결하려고 시도하지만 소스 엔드포인트 네트워크에 비공개 Google 액세스가 사용 설정되어 있어야 합니다.
가능한 원인
소스 엔드포인트에서 Google API 및 서비스의 외부 IP 주소로 전송되는 패킷은 Cloud VPN 터널을 통해 라우팅되지만 이러한 구성은 지원되지 않습니다.
권장사항
소스 엔드포인트가 Compute Engine VM 인스턴스와 같은 Google Cloud 엔드포인트인 경우 소스 서브넷에서 비공개 Google 액세스를 사용 설정하는 것이 좋습니다.
소스 엔드포인트가 온프레미스 엔드포인트인 경우 자세한 내용은 온프레미스 호스트의 비공개 Google 액세스를 참조하세요.
전달 규칙 불일치
전달 규칙의 프로토콜과 포트가 패킷 헤더와 일치하지 않습니다.
가능한 원인
전달 규칙에서 지원하지 않는 프로토콜을 사용하여 패킷이 전송되거나, 전달 규칙에서 지원하는 포트와 일치하지 않는 목적지 포트로 패킷이 전송되었습니다.
권장사항
목적지 전달 규칙 프로토콜과 포트를 확인합니다.
전달 규칙 리전 불일치
전달 규칙에 전역 액세스가 사용 설정되어 있지 않고 해당 리전이 패킷의 리전과 일치하지 않습니다.
가능한 원인
전달 규칙은 부하 분산기와 해당 등급에 따라 전역 또는 리전 전달 규칙으로 구분됩니다. 자세한 내용은 부하 분산기 유형 표를 참조하세요.
전달 규칙이 리전별인 경우 클라이언트(예: VM 또는 VPC 커넥터)는 부하 분산기와 동일한 리전에 있어야 합니다.
권장사항
Compute Engine VM 인스턴스와 같은 Google Cloud 엔드포인트에서 부하 분산기에 연결하는 경우 전달 규칙과 동일한 리전에 있는지 확인합니다.
온프레미스 네트워크에서 연결하는 동안 클라이언트가 부하 분산기와 동일한 리전에 있는 Cloud VPN 터널이나 VLAN 연결을 통해 부하 분산기에 액세스해야 합니다. 자세한 내용은 내부 애플리케이션 부하 분산기 및 연결된 네트워크를 참조하세요.
내부 애플리케이션 부하 분산기 및 리전 내부 프록시 네트워크 부하 분산기에서 전역 액세스를 사용 설정하여 모든 리전의 클라이언트에 액세스할 수 있습니다. 기본적으로 이러한 부하 분산기의 클라이언트는 부하 분산기와 동일한 리전에 있어야 합니다. 자세한 내용은 내부 애플리케이션 부하 분산기에 전역 액세스 사용 설정 및 리전 내부 프록시 네트워크 부하 분산기에 전역 액세스 사용 설정을 참조하세요.
부하 분산기 백엔드 상태 확인을 차단하는 방화벽
방화벽이 백엔드로 전송되는 상태 점검 프로브를 차단하며 방화벽으로 인해 백엔드에서 부하 분산기의 트래픽을 사용할 수 없습니다.
가능한 원인
상태 점검이 작동하기 위해서는 Google Cloud 프로버의 트래픽이 백엔드에 도달하도록 허용하는 인그레스 허용 방화벽 규칙을 만들어야 합니다. 그렇지 않으면 백엔드가 비정상으로 간주됩니다.
권장사항
프로브 IP 범위 및 방화벽 규칙 테이블에 따라 인그레스 허용 방화벽 규칙을 만듭니다. 자세한 내용은 필수 방화벽 규칙을 참조하세요.
사용 가능한 외부 주소 없음
내부 IP 주소만 있는 VM 인스턴스가 다음 홉이 기본 인터넷 게이트웨이인 경로를 통해 외부 호스트에 액세스하려고 했습니다. 서브넷에 Cloud NAT가 사용 설정되지 않았거나 프록시 VM과 같은 다른 유형의 다음 홉을 사용하는 기본 경로가 없는 경우에 발생합니다.
가능한 원인
내부 IP 주소만 있는 인스턴스에서 외부 호스트에 액세스하려고 했지만 외부 IP 주소가 없거나 서브넷에 Cloud NAT가 사용 설정되지 않았습니다.
권장사항
외부 엔드포인트에 액세스하려면 외부 IP 주소를 인스턴스에 할당할 수 있습니다. 또는 연결이 인터넷에 대한 액세스 권한을 제공하는 프록시 인스턴스를 거치지 않는 한 서브넷에서 Cloud NAT를 사용 설정할 수 있습니다.
인스턴스가 없는 전달 규칙
전달 규칙에 백엔드가 구성되어 있지 않습니다.
가능한 원인
연결하려는 전달 규칙에 백엔드가 구성되어 있지 않습니다.
권장사항
부하 분산기 구성을 확인하고 부하 분산기의 백엔드 서비스에 백엔드가 구성되어 있는지 확인합니다.
트래픽 유형이 차단됨
트래픽 유형이 차단되어 있으며 방화벽 규칙을 구성하여 사용 설정할 수 없습니다. 자세한 내용은 항상 차단되는 트래픽을 참조하세요.
가능한 원인
이 트래픽 유형은 기본적으로 차단되어 있으며 방화벽 규칙을 만들어 사용 설정할 수 없습니다. 일반적인 시나리오는 다음과 같습니다.
- TCP 포트 25(SMTP)를 사용하여 이그레스 트래픽을 외부 목적지로 전송. 자세한 내용은 항상 차단되는 트래픽을 참조하세요.
- Cloud SQL 인스턴스에서 지원되지 않는 포트로 트래픽 전송. 예: 열려 있는 포트 3306을 사용하여 트래픽을 MySQL Cloud SQL 인스턴스에 대한 TCP 포트 3310으로 전송
- TCP 또는 UDP가 아닌 프로토콜을 사용하는 App Engine 표준 환경 버전, Cloud Run 함수 또는 Cloud Run 버전에서 이그레스 트래픽 전송
권장사항
이그레스 SMTP(TCP 포트 25가 있는 외부 목적지에 대한 이그레스 트래픽) 트래픽은 인스턴스에서 이메일 전송을 참조하세요.
목적지 포트 68(DHCPv4 응답)에 대한 UDP IPv4 패킷과 목적지 포트 546에 대한 UDP IPv6 패킷(DHCPv6 응답)을 포함한 DHCP 프로토콜의 경우 DHCP 트래픽은 메타데이터 서버(169.254.169.254)에서만 허용됩니다.
Cloud SQL 연결의 경우 사용된 포트가 올바른지 확인합니다.
서버리스 VPC 액세스 커넥터가 구성되지 않음
App Engine 표준 환경 버전, Cloud Run 함수 또는 Cloud Run 버전에 서버리스 VPC 액세스 커넥터가 구성되지 않아 패킷이 삭제되었습니다.
가능한 원인
대상 IP 주소는 인터넷을 통해 연결할 수 없는 비공개 IP 주소입니다. 패킷이 소스에서 나가지만 App Engine 표준 환경 버전, Cloud Run 함수 또는 Cloud Run 버전에 대해 구성된 서버리스 VPC 액세스 커넥터가 없습니다.
권장사항
비공개 IP 주소를 사용하여 목적지 엔드포인트에 액세스하려는 경우 App Engine 표준 환경 버전, Cloud Run 함수 또는 Cloud Run 버전에 대해 서버리스 VPC 액세스 커넥터를 구성했는지 확인합니다.
서버리스 VPC 액세스 커넥터가 실행되지 않음
서버리스 VPC 액세스 커넥터가 실행 중이 아니기 때문에 패킷이 삭제되었습니다.
가능한 원인
모든 서버리스 VPC 액세스 커넥터 인스턴스가 중지되었기 때문에 패킷이 삭제되었습니다.
권장사항
문제 해결 단계 목록은 문제 해결을 참조하세요.
Private Service Connect 연결이 허용되지 않음
Private Service Connect 연결이 허용되지 않아 패킷이 삭제되었습니다.
가능한 원인
Private Service Connect 엔드포인트가 서비스에 연결하도록 승인되지 않은 프로젝트에 있습니다. 자세한 내용은 엔드포인트 세부정보 보기를 참조하세요.
권장사항
Private Service Connect 엔드포인트가 관리형 서비스에 연결하도록 승인된 프로젝트에 있는지 확인합니다.
피어링된 네트워크에서 Private Service Connect 엔드포인트에 액세스
패킷이 피어링된 네트워크의 Private Service Connect 엔드포인트로 전송되지만 이러한 구성은 지원되지 않습니다.
권장사항
Private Service Connect 배포 패턴 페이지에 설명된 연결 패턴 중 하나를 사용하는 것이 좋습니다. Private Service Connect 백엔드를 사용하여 Google API 및 게시된 서비스에 액세스할 수도 있습니다.