Motivi per la perdita di pacchetti di test

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Connectivity Tests può eliminare un pacchetto di test per uno dei seguenti motivi.

Per un elenco completo dei possibili motivi, consulta Stati di analisi della configurazione.

Ignorato a causa di una regola firewall

L'analisi della configurazione ha determinato che il pacchetto viene ignorato a causa di una regola firewall, a meno che il pacchetto non sia consentito a causa del monitoraggio della connessione.

Causa probabile

Connectivity Tests potrebbe rifiutare un pacchetto di test perché corrisponde a una regola firewall di blocco o a un criterio firewall. Tuttavia, il piano dati effettivo potrebbe consentire il pacchetto a causa del monitoraggio della connessione sulla regola firewall. Il monitoraggio della connessione consente ai pacchetti di restituire una connessione esistente nonostante la regola firewall.

Ogni rete VPC ha due regole firewall implicite che consentono il traffico in uscita verso qualsiasi origine e bloccano il traffico in entrata da qualunque origine.

Tuttavia, se hai una regola firewall di negazione del traffico in uscita con priorità più alta, l'operazione ha effetto.

Affinché la connettività abbia esito positivo, è necessaria una regola firewall in uscita all'origine che consenta l'accesso all'endpoint di destinazione e alla regola firewall in entrata nella destinazione per consentire questa connessione.

Le regole firewall VPC sono stateful. Se l'endpoint di destinazione specificato è normalmente la parte che avvia la comunicazione, il traffico di risposta è consentito automaticamente con il monitoraggio delle connessioni e non è necessaria una regola firewall in entrata.

Suggerimenti

Elimina la regola di negazione o crea una regola di autorizzazione in base ai dettagli nei risultati Connectivity Tests. Per ulteriori informazioni, consulta la pagina relativa all'uso delle regole firewall.

Traffico privato verso Internet

Un pacchetto con un indirizzo di destinazione interno è stato inviato a un gateway Internet.

Causa probabile

L'indirizzo IP di destinazione è un indirizzo IP privato, non raggiungibile tramite Internet. Il pacchetto lascia la VM di origine, ma non esiste un percorso interno per raggiungere l'endpoint di destinazione, quindi segue il percorso del gateway Internet.

Suggerimenti

Se vuoi accedere all'indirizzo IP di destinazione tramite Internet, assicurati che la VM abbia la connettività a Internet e di poter utilizzare l'indirizzo IP pubblico dell'endpoint di destinazione.

Se vuoi accedere alla VM tramite il suo indirizzo IP privato, devi stabilire una connettività tra le reti. Puoi farlo in uno di questi modi:

  1. Se l'endpoint di destinazione si trova su una rete on-premise, utilizza una soluzione di connettività ibrida come Cloud VPN o Cloud Interconnect.
  2. Se l'endpoint di destinazione si trova all'interno di Google Cloud:
    1. Configurare il peering di rete VPC tra reti VPC. Si tratta di una soluzione consigliata se gli intervalli di indirizzi IP della rete non si sovrappongono tra le reti.
    2. Configurare Cloud VPN tra le reti VPC.

  3. Se hai già una connessione alla rete di destinazione:

    1. La rete dell'endpoint di origine non ha una route tramite questa connessione o utilizza la route predefinita che attraversa il gateway Internet. Assicurati che i percorsi siano pubblicizzati correttamente su entrambi i lati della connessione.

    Se stai testando la connettività a una rete on-premise da una rete in peering, consulta questo esempio per pubblicità personalizzata, modalità di routing della rete e scambio di route personalizzate.

    Il peering di rete VPC temporaneo non è supportato. Puoi utilizzare la VPN o il peering per queste due reti VPC.

Le regole di forwarding non corrispondono

Protocollo e porte della regola di forwarding non corrispondono all'intestazione del pacchetto.

Causa probabile

Protocollo e porte della regola di forwarding non corrispondono all'intestazione del pacchetto oppure il pacchetto non ha la stessa regione o non è diretto alla stessa regione del bilanciatore del carico della regione.

Suggerimenti

Conferma il protocollo e la porta per la regola di forwarding di destinazione.

A seconda del bilanciatore del carico e del relativo livello, una regola di forwarding è globale o a livello di regione. Per maggiori dettagli, consulta la tabella dei tipi di bilanciatori del carico.

Se la regola di forwarding è a livello di regione, il client (ad esempio, connettore VM o VM) deve trovarsi nella stessa regione del bilanciatore del carico.

Durante la connessione da una rete on-premise, assicurati che il client acceda al bilanciatore del carico tramite tunnel Cloud VPN o collegamenti VLAN che si trovano nella stessa regione del bilanciatore del carico. Per maggiori dettagli, consulta Bilanciamento del carico HTTP(S) interno e reti connesse.

Puoi abilitare l'accesso globale su un bilanciatore del carico TCP/UDP interno per accedere dai client in qualsiasi regione. L'accesso globale a un bilanciatore del carico HTTP(S) interno non è possibile.

Ignorato per assenza di percorso

Ignorato per assenza di route.

Causa probabile

Non esiste una route applicabile per raggiungere l'endpoint di destinazione. Nella console Google Cloud, vai alla pagina Rete VPC. Fai clic su Route. Filtra le route per la rete VPC in cui esiste la VM di origine e verifica che non esista una route che includa l'indirizzo IP di destinazione.

Suggerimenti

Se provi ad accedere all'endpoint di destinazione utilizzando il suo indirizzo IP privato, assicurati che le reti di origine e di destinazione siano connesse.

Se hai già connettività tra le reti, assicurati che le route siano pubblicizzate correttamente su entrambi i lati della connessione. Se testi la connettività a una rete on-premise da una rete in peering, consulta questo esempio per la pubblicità personalizzata, la modalità di routing della rete e lo scambio di route personalizzate.

Il peering VPC temporaneo non è supportato. Prendi in considerazione l'utilizzo della VPN o del peering di queste due reti VPC.

Se provi ad accedere all'endpoint di destinazione tramite Internet, assicurati di avere una route per questa destinazione tramite il gateway Internet predefinito.

Nessun indirizzo esterno disponibile

Un'istanza VM con solo un indirizzo IP interno ha tentato di accedere a host esterni tramite una route il cui hop successivo è il gateway Internet predefinito. È previsto quando Cloud NAT non è abilitato nella subnet o non esiste un'altra route predefinita che utilizza un tipo di hop successivo (ad esempio una VM proxy).

Causa probabile

Un'istanza con solo un indirizzo IP interno ha tentato di accedere a un host esterno, ma non aveva un indirizzo IP esterno o Cloud NAT non è stato abilitato nella subnet.

Suggerimenti

Se vuoi accedere a endpoint esterni, puoi assegnare un indirizzo IP esterno all'istanza. In alternativa, puoi abilitare Cloud NAT sulla subnet a meno che la connessione non passi attraverso un'istanza proxy che dà accesso a Internet.

Regola di forwarding senza istanze

Per la regola di forwarding non sono configurati backend.

Causa probabile

Per la regola di forwarding che stai cercando di raggiungere non è configurato alcun backend.

Suggerimenti

Controlla la configurazione del bilanciatore del carico e assicurati che sul servizio di backend del bilanciatore del carico siano configurati backend.

Tipo di traffico bloccato

Il tipo di traffico è bloccato e non puoi configurare una regola firewall per abilitarla. Per maggiori dettagli, consulta Traffico sempre bloccato.

Causa probabile

Questo tipo di traffico è bloccato per impostazione predefinita e non può essere abilitato creando regole firewall. Di seguito sono riportati alcuni scenari comuni:

  1. Invio del traffico in uscita a una destinazione esterna con porta TCP 25 (SMTP). Per maggiori dettagli, consulta Traffico sempre bloccato.
  2. Invio del traffico a una porta non supportata in un'istanza Cloud SQL. Ad esempio, l'invio di traffico alla porta TCP 3310 a un'istanza MySQL Cloud SQL con la porta 3306 aperta.
  3. Inviare il traffico in uscita da una versione dell'ambiente standard di App Engine, da una funzione Cloud Functions o da una revisione di Cloud Run che utilizza un protocollo diverso da TCP o UDP.

Suggerimenti

Per il traffico SMTP in uscita (traffico in uscita verso una destinazione esterna con porta TCP 25), consulta Invio di email da un'istanza.

Per il protocollo DHCP, inclusi i pacchetti IPv4 UDP alla porta di destinazione 68 (risposte DHCPv4) e i pacchetti IPv6 UDP alla porta di destinazione 546 (risposte DHCPv6), il traffico DHCP è consentito solo dal server di metadati (169.254.169.254).

Per la connettività Cloud SQL, assicurati che la porta utilizzata sia corretta.

Il connettore di accesso VPC serverless non è configurato

Il pacchetto è stato eliminato perché la versione dell'ambiente standard di App Engine, la funzione Cloud Functions o la revisione di Cloud Run non ha un connettore VPC di accesso serverless configurato.

Causa probabile

L'indirizzo IP di destinazione è un indirizzo IP privato, non raggiungibile tramite Internet. Il pacchetto lascia l'origine, ma non è stato configurato alcun connettore Accesso VPC serverless per la versione dell'ambiente standard di App Engine, la funzione Cloud Functions o la revisione di Cloud Run.

Suggerimenti

Se provi ad accedere all'endpoint di destinazione utilizzando il suo indirizzo IP privato, assicurati di aver configurato un connettore di accesso VPC serverless per la versione dell'ambiente standard di App Engine, la funzione Cloud Functions o la revisione di Cloud Run.

Il connettore di accesso VPC serverless non è in esecuzione

Il pacchetto è stato eliminato perché il connettore di accesso VPC serverless non è in esecuzione.

Causa probabile

Il pacchetto è stato eliminato perché tutte le istanze del connettore di accesso VPC serverless sono state arrestate.

Suggerimenti

Per un elenco di passaggi per la risoluzione dei problemi, vedi Risoluzione dei problemi.

La connessione Private Service Connect non è accettata

Il pacchetto è stato eliminato perché la connessione Private Service Connect non è stata accettata.

Causa probabile

L'endpoint di Private Service Connect è in un progetto che non è stato approvato per la connessione al servizio. Per saperne di più, consulta Visualizzare i dettagli dell'endpoint.

Suggerimenti

Assicurati che l'endpoint di Private Service Connect sia in un progetto approvato per la connessione al servizio gestito.