Motivi per il rilascio di pacchetti di test

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

I Connectivity Tests possono eliminare un pacchetto di test per uno dei seguenti motivi.

Per un elenco completo dei possibili motivi, consulta gli stati di analisi della configurazione.

Ignorato a causa di una regola firewall

L'analisi della configurazione ha determinato che il pacchetto è stato ignorato a causa di una regola firewall, a meno che il pacchetto non sia consentito a causa del monitoraggio della connessione.

Causa probabile

I test di connettività potrebbero rifiutare un pacchetto di test perché il pacchetto corrisponde a una regola firewall di blocco o a un criterio firewall. Tuttavia, il piano dati effettivo potrebbe consentire il pacchetto tramite il monitoraggio della connessione nella regola firewall. Il monitoraggio delle connessioni consente ai pacchetti di restituire una connessione esistente nonostante la regola firewall.

Ogni rete VPC prevede due regole firewall implicite che consentono il traffico in uscita verso qualsiasi origine e bloccano il traffico in entrata da qualsiasi origine.

Tuttavia, l'applicazione di una regola firewall per il traffico in uscita a priorità superiore richiede un effetto.

Affinché la connettività abbia esito positivo, è necessaria una regola firewall in uscita all'origine che consenta l'accesso all'endpoint di destinazione e la regola firewall in entrata alla destinazione per consentire questa connessione.

Le regole firewall VPC sono stateful. Se l'endpoint di destinazione specificato è normalmente il lato che avvia la comunicazione, il traffico di risposta è consentito automaticamente con il monitoraggio della connessione e non è necessaria una regola firewall in entrata.

Consigli

Elimina la regola di negazione o crea una regola di autorizzazione in base ai dettagli nei risultati dei test di connettività. Per ulteriori informazioni, consulta la pagina relativa all'uso delle regole firewall.

Traffico privato verso Internet

Un pacchetto con un indirizzo di destinazione interno è stato inviato a un gateway Internet.

Causa probabile

L'indirizzo IP di destinazione è un indirizzo IP privato che non è raggiungibile tramite Internet. Il pacchetto lascia la VM di origine, ma non esiste un percorso interno per raggiungere l'endpoint di destinazione e segue il percorso del gateway Internet.

Consigli

Se vuoi accedere all'indirizzo IP di destinazione tramite Internet, assicurati che la VM sia connessa a Internet in modo da poter utilizzare l'indirizzo IP pubblico dell'endpoint di destinazione.

Se vuoi accedere alla VM tramite il suo indirizzo IP privato, devi stabilire una connettività tra le reti. Puoi farlo in uno dei seguenti modi:

  1. Se l'endpoint di destinazione si trova in una rete on-premise, utilizza una soluzione di connettività ibrida come Cloud VPN o Cloud Interconnect.
  2. Se l'endpoint di destinazione si trova in Google Cloud:
    1. Configura il peering VPC tra le reti VPC. Si tratta di una soluzione consigliata se gli intervalli di indirizzi IP di rete non si sovrappongono tra le reti.
    2. Configura Cloud VPN tra le reti VPC.
  3. Se hai già una connessione alla rete di destinazione:

    1. La rete dell'endpoint di origine non ha una route tramite questa connessione o utilizza la route predefinita che attraversa il gateway di Internet. Assicurati che le route siano pubblicizzate correttamente su entrambi i lati della connessione.

    Se stai verificando la connettività a una rete on-premise da una rete in peering, consulta questo esempio per la pubblicità personalizzata, la modalità di routing della rete e lo scambio di route personalizzate.

    Il peering VPC temporaneo non è supportato. Puoi utilizzare la rete VPN o il peering per queste due reti VPC.

Le regole di forwarding non corrispondono

Il protocollo e le porte della regola di forwarding non corrispondono all'intestazione del pacchetto.

Causa probabile

Il protocollo e le porte della regola di forwarding non corrispondono all'intestazione del pacchetto oppure il pacchetto non ha origine dalla stessa regione o non è indirizzato alla stessa area geografica del bilanciatore del carico della regione.

Consigli

Conferma il protocollo e la porta della regola di forwarding di destinazione.

A seconda del bilanciatore del carico e del relativo livello, una regola di forwarding è globale o a livello di area geografica. Per maggiori dettagli, consulta la tabella dei tipi di bilanciatore del carico.

Se la regola di forwarding è a livello di regione, il client (ad esempio VM o connettore VPC) deve trovarsi nella stessa regione del bilanciatore del carico.

Durante la connessione da una rete on-premise, assicurati che il client acceda al bilanciatore del carico tramite tunnel Cloud VPN o collegamenti VLAN che si trovano nella stessa regione del bilanciatore del carico. Per maggiori dettagli, consulta Bilanciamento del carico HTTP(S) interno e reti connesse.

Puoi abilitare l'accesso globale a un bilanciatore del carico TCP/UDP interno per accedere dai client in qualsiasi regione. L'accesso globale a un bilanciatore del carico HTTP(S) interno non è possibile.

Ignorato per mancanza di percorso

Ignorato per assenza di route.

Causa probabile

Non esiste una route applicabile per raggiungere l'endpoint di destinazione. In Google Cloud Console, vai alla pagina Rete VPC. Fai clic su Route. Filtra le route per la rete VPC in cui esiste la VM di origine e verifica che non esistano route che includano l'indirizzo IP di destinazione.

Consigli

Se provi ad accedere all'endpoint di destinazione utilizzando il relativo indirizzo IP privato, assicurati che le reti di origine e di destinazione siano connesse.

Se hai già una connettività tra le reti, assicurati che i percorsi siano pubblicizzati correttamente su entrambi i lati della connessione. Se stai verificando la connettività a una rete on-premise da una rete in peering, consulta questo esempio per la pubblicità personalizzata, la modalità di routing della rete e lo scambio di route personalizzate.

Il peering VPC temporaneo non è supportato. Valuta di utilizzare la rete VPN o di eseguire il peering di queste due reti VPC.

Se provi ad accedere all'endpoint di destinazione tramite Internet, assicurati di avere un percorso per questa destinazione attraverso il gateway Internet predefinito.

Nessun indirizzo esterno disponibile

Un'istanza VM con solo un indirizzo IP interno ha tentato di accedere agli host esterni tramite una route il cui hop successivo è il gateway Internet predefinito. È previsto quando Cloud NAT non è abilitato nella subnet o se non esiste un'altra route predefinita che utilizza un tipo di hop successivo diverso (ad esempio una VM proxy).

Causa probabile

Un'istanza con solo un indirizzo IP interno ha tentato di accedere a un host esterno, ma non aveva un indirizzo IP esterno o Cloud NAT non è stato abilitato nella subnet.

Consigli

Se vuoi accedere a endpoint esterni, puoi assegnare un indirizzo IP esterno alla tua istanza. In alternativa, puoi abilitare Cloud NAT sulla sua subnet a meno che la connessione non passi attraverso un'istanza proxy che dà accesso a Internet.

Regola di forwarding senza istanze

La regola di forwarding non presenta backend configurati.

Causa probabile

Per la regola di forwarding che stai cercando di raggiungere non è configurato alcun backend.

Consigli

Controlla la configurazione del bilanciatore del carico e assicurati che nel servizio di backend del bilanciatore del carico siano configurati backend.

Tipo di traffico bloccato

Il tipo di traffico è bloccato e non puoi configurare una regola firewall per abilitarlo. Per ulteriori dettagli, consulta Traffico sempre bloccato.

Causa probabile

Questo tipo di traffico è bloccato per impostazione predefinita e non può essere abilitato creando regole firewall. Gli scenari comuni sono i seguenti:

  1. Invio del traffico in uscita a una destinazione esterna con porta TCP 25 (SMTP). Per ulteriori dettagli, consulta Traffico sempre bloccato.
  2. Invio del traffico a una porta non supportata su un'istanza Cloud SQL. Ad esempio, l'invio di traffico alla porta TCP 3310 a un'istanza MySQL di Cloud SQL con la porta 3306 aperta.
  3. Inviare il traffico in uscita da una funzione Cloud utilizzando protocolli diversi da TCP o UDP tramite un connettore di accesso VPC serverless.

Consigli

Per il traffico SMTP in uscita (traffico in uscita verso una destinazione esterna con porta TCP 25), consulta la sezione Inviare email da un'istanza.

Per il protocollo DHCP, inclusi i pacchetti IPv4 UDP alla porta 68 di destinazione (risposte DHCPv4) e i pacchetti IPv6 UDP alla porta di destinazione 546 (risposte DHCPv6), il traffico DHCP è consentito solo dal server di metadati (169.254.169.254).

Per la connettività Cloud SQL, assicurati che la porta utilizzata sia corretta.

Il connettore di accesso VPC serverless non è configurato

Il pacchetto è stato eliminato perché la funzione Cloud Functions non ha un connettore accesso VPC serverless.

Causa probabile

L'indirizzo IP di destinazione è un indirizzo IP privato che non è raggiungibile tramite Internet. Il pacchetto lascia la funzione Cloud Functions di origine, ma non esiste un connettore di accesso VPC serverless per tale funzione.

Consigli

Se provi ad accedere all'endpoint di destinazione utilizzando il relativo indirizzo IP privato, assicurati di aver configurato un connettore di accesso VPC serverless per la funzione Cloud.

Il connettore di accesso VPC serverless non è in esecuzione

Pacchetto eliminato perché il connettore Accesso VPC serverless non è in esecuzione.

Causa probabile

Il pacchetto viene eliminato perché tutte le istanze del connettore di accesso VPC serverless vengono arrestate.

Consigli

Per un elenco dei passaggi necessari per la risoluzione dei problemi, vedi Risolvere i problemi.