テストパケットがドロップされる理由

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

接続テストで、次のいずれかの理由によりテストパケットがドロップされることがあります。

考えられる理由の一覧については、構成分析の状態をご覧ください。

ファイアウォール ルールによりドロップされた

構成分析の結果、接続トラッキングでパケットが許可されていない限り、ファイアウォール ルールによってパケットがドロップされることが判明しました。

考えられる原因

パケットがブロック ファイアウォール ルールまたはファイアウォール ポリシーと一致するため、接続テストでテストパケットが拒否されている可能性があります。ただし、ファイアウォール ルールでの接続トラッキングにより、実際のデータプレーンではパケットが通過する可能性があります。既存の接続のパケットは、ファイアウォール ルールに関係なく、接続トラッキングによって戻されます。

すべての VPC ネットワークには、あらゆる場所への下り(外向き)トラフィックを許可し、あらゆる場所からの受信トラフィックをブロックする 2 つの暗黙のファイアウォール ルールがあります。

ただし、優先度の高い下り(外向き)拒否ファイアウォール ルールがある場合は、それが有効になります。

接続を成功させるには、宛先エンドポイントへのアクセスを許可する送信元の下り(外向き)ファイアウォール ルールと、接続を許可する宛先の上り(内向き)ファイアウォール ルールが必要です。

VPC ファイアウォール ルールはステートフルです。指定された宛先エンドポイントが通常通信を開始する側である場合、接続トラッキングによりレスポンス トラフィックが自動的に許可され、上り(内向き)ファイアウォール ルールは必要ありません。

推奨事項

接続テストの結果の詳細に基づいて、拒否ルールを削除するか、許可ルールを作成します。詳細については、ファイアウォール ルールの使用をご覧ください。

インターネットへのプライベート トラフィック

内部の送信先アドレスを持つパケットがインターネット ゲートウェイに送信されました。

考えられる原因

宛先 IP アドレスがプライベート IP アドレスで、インターネット経由でアクセスすることはできません。パケットは送信元 VM から送信されますが、宛先エンドポイントに到達するための内部ルートがないため、インターネット ゲートウェイへのパスを経由します。

推奨事項

インターネット経由で宛先 IP アドレスにアクセスする場合は、VM がインターネットに接続し、宛先エンドポイントのパブリック IP アドレスを使用できることを確認します。

プライベート IP アドレスを使用して VM にアクセスする場合は、ネットワーク間の接続を確立する必要があります。これは、次のいずれかの方法で行うことができます。

  1. 宛先エンドポイントがオンプレミス ネットワーク内にある場合は、Cloud VPNCloud Interconnect などのハイブリッド接続ソリューションを使用します。
  2. 宛先エンドポイントが Google Cloud 内にある場合:
    1. VPC ネットワーク間の VPC ネットワーク ピアリングを構成します。これは、ネットワーク IP アドレス範囲がネットワーク間で重複していない場合に推奨される解決策です。
    2. VPC ネットワーク間に Cloud VPN を構成します。

  3. すでに移行先のネットワークに接続している場合:

    1. 送信元エンドポイントのネットワークに、この接続を経由するルートがないか、インターネット ゲートウェイを経由するデフォルト ルートが使用されています。接続の両側でルートが正しくアドバタイズされていることを確認します。

    ピアリング対象のネットワークからオンプレミス ネットワークへの接続をテストする場合は、カスタム アドバタイズ、ネットワーク ルーティング モード、カスタムルートの交換に関するこちらの例をご覧ください。

    推移的 VPC ネットワーク ピアリングはサポートされていません。この 2 つの VPC ネットワークには VPN またはピアリングを使用できます。

転送ルールが一致しない

転送ルールのプロトコルとポートがパケット ヘッダーと一致しません。

考えられる原因

転送ルールのプロトコルとポートがパケット ヘッダーと一致していないか、パケットが同じリージョンから送信されていません。あるいは、リージョン ロードバランサと同じリージョンに送信されていません。

推奨事項

宛先転送ルールのプロトコルとポートを確認します。

転送ルールは、ロードバランサとその階層に応じてグローバルまたはリージョンのいずれかになります。詳細については、ロードバランサの種類の表をご覧ください。

転送ルールがリージョンの場合は、クライアント(VM や VPC コネクタなど)はロードバランサと同じリージョンに配置する必要があります。

オンプレミス ネットワークから接続する場合は、クライアントがロードバランサと同じリージョンの Cloud VPN トンネルまたは VLAN アタッチメント経由でロードバランサにアクセスしていることを確認する必要があります。詳細については、内部 HTTP(S) ロード バランシングと接続されたネットワークをご覧ください。

内部 TCP / UDP ロードバランサでグローバル アクセスを有効にすると、任意のリージョンのクライアントからアクセスできます。内部 HTTP(S) ロードバランサへのグローバル アクセスはできません。

ルートがないためドロップされた

ルートがないためドロップされました。

考えられる原因

宛先のエンドポイントに到達できるルートがありません。Google Cloud コンソールで、[VPC ネットワーク] ページに移動します。[ルート] をクリックします。送信元 VM が存在する VPC ネットワークのルートをフィルタリングし、宛先 IP アドレスを含むルートがないことを確認します。

推奨事項

プライベート IP アドレスを使用して宛先のエンドポイントにアクセスしようとしている場合は、送信元ネットワークと宛先ネットワークが接続されていることを確認してください。

ネットワーク間がすでに接続されている場合は、接続の両側でルートが正しくアドバタイズされていることを確認してください。ピアリング対象のネットワークからオンプレミス ネットワークへの接続をテストする場合は、カスタム アドバタイズ、ネットワーク ルーティング モード、カスタムルートの交換に関するこちらの例をご覧ください。

推移的 VPC ピアリングはサポートされていません。VPN を使用するか、この 2 つの VPC ネットワークをピアリングすることを検討してください。

インターネット経由で宛先のエンドポイントにアクセスする場合は、宛先にデフォルト インターネット ゲートウェイを経由するルートがあることを確認してください。

外部アドレスを使用できない

内部 IP アドレスのみを持つ VM インスタンスから、ネクストホップがデフォルトのインターネット ゲートウェイであるルート経由で外部ホストにアクセスしようとしました。この問題は、サブネットで Cloud NAT が有効になっていない場合、または別の種類のネクストホップ(プロキシ VM など)を使用するデフォルト ルートが他にない場合に発生する可能性があります。

考えられる原因

内部 IP アドレスのみを持つインスタンスが外部ホストにアクセスしようとしましたが、外部 IP アドレスがないか、Cloud NAT がサブネットで有効になっていません。

推奨事項

外部エンドポイントにアクセスする場合は、外部 IP アドレスをインスタンスに割り振ります。また、インターネットにアクセスできるプロキシ インスタンス経由で接続が通過する場合を除き、サブネットで Cloud NAT を有効にできます。

インスタンスのない転送ルール

転送ルールでバックエンドが構成されていません。

考えられる原因

アクセスしようとしている転送ルールにバックエンドが構成されていません。

推奨事項

ロードバランサの構成を確認し、ロードバランサのバックエンド サービスにバックエンドが構成されていることを確認します。

トラフィック タイプがブロックされている

トラフィック タイプがブロックされ、それを有効にするファイアウォール ルールを構成できません。詳細については、常にブロックされるトラフィックをご覧ください。

考えられる原因

このトラフィック タイプはデフォルトでブロックされており、ファイアウォール ルールを作成して有効にすることはできません。一般的なシナリオは次のとおりです。

  1. TCP ポート 25(SMTP)で外部宛先への下り(外向き)トラフィックを送信する。詳細については、常にブロックされるトラフィックをご覧ください。
  2. Cloud SQL インスタンスで、サポートされていないポートにトラフィックを送信する。たとえば、TCP ポート 3310 へのトラフィックを、ポート 3306 が開いている MySQL Cloud SQL インスタンスに送信する場合などです。
  3. TCP または UDP 以外のプロトコルを使用する App Engine スタンダード環境のバージョン、Cloud Functions の関数、または Cloud Run のリビジョンから、下り(外向き)トラフィックを送信する。

推奨事項

下り(外向き)SMTP トラフィック(TCP ポート 25 での外部下り(外向き)トラフィック)については、インスタンスからのメールの送信をご覧ください。

宛先ポート 68 への UDP IPv4 パケット(DHCPv4 レスポンス)と宛先ポート 546 への UDP IPv6 パケット(DHCPv6 レスポンス)などの DHCP プロトコルの場合、DHCP トラフィックはメタデータ サーバー(169.254.169.254)からのみ許可されます。

Cloud SQL 接続の場合は、使用するポートが正しいことを確認します。

サーバーレス VPC アクセス コネクタが構成されていない

App Engine スタンダード環境のバージョン、Cloud Functions の関数、または Cloud Run のリビジョンにサーバーレス VPC アクセス コネクタが構成されていないため、パケットがドロップされました。

考えられる原因

宛先 IP アドレスがプライベート IP アドレスで、インターネット経由でアクセスすることはできません。パケットは送信元から送信されますが、App Engine スタンダード環境のバージョン、Cloud Functions の関数、Cloud Run のリビジョンにサーバーレス VPC アクセス コネクタが構成されていません。

推奨事項

プライベート IP アドレスを使用して宛先のエンドポイントにアクセスしようとしている場合は、App Engine スタンダード環境のバージョン、Cloud Functions の関数、または Cloud Run のリビジョンにサーバーレス VPC アクセス コネクタが構成されていることを確認してください。

サーバーレス VPC アクセス コネクタが実行されていない

サーバーレス VPC アクセス コネクタが実行されていないため、パケットがドロップされました。

考えられる原因

すべてのサーバーレス VPC アクセス コネクタ インスタンスが停止しているため、パケットが破棄されています。

推奨事項

トラブルシューティングの手順については、トラブルシューティングをご覧ください。

Private Service Connect の接続が受け入れられない

Private Service Connect の接続が受け入れられなかったため、パケットがドロップされました。

考えられる原因

Private Service Connect エンドポイントが、サービスへの接続を承認されていないプロジェクトにあります。詳細については、エンドポイントの詳細を表示するをご覧ください。

推奨事項

Private Service Connect エンドポイントが、マネージド サービスへの接続を承認されたプロジェクトにあることを確認します。