Gründe für verworfene Testpakete

Konnektivitätstests können ein Testpaket aus einem der folgenden Gründe löschen.

Eine vollständige Liste möglicher Gründe finden Sie unter Status der Konfigurationsanalyse.

Fremde IP-Adresse nicht zulässig

Das Paket wird verworfen, da eine Compute Engine-Instanz nur dann Pakete mit einer fremden IP-Adresse senden oder empfangen kann, wenn die IP-Weiterleitung aktiviert ist.

Mögliche Ursache

Für die VM-Instanz ist die IP-Weiterleitung nicht aktiviert, aber die Quell- oder Ziel-IP-Adresse des Pakets, das sie durchläuft, stimmt nicht mit den IP-Adressen der Instanz überein. Dies kann beispielsweise passieren, wenn das Paket über eine statische Route mit der VM-Instanz als nächsten Hop an die Instanz gesendet wird.

Empfehlungen

Erstellen Sie eine Compute Engine-Instanz mit aktivierter IP-Weiterleitung oder legen Sie das entsprechende Attribut für die vorhandene Instanz fest. Weitere Informationen finden Sie unter IP-Weiterleitung für Instanzen aktivieren.

Wegen Firewall-Regel verworfen

Das Paket kann aufgrund einer Firewallregel gelöscht werden, sofern es nicht aufgrund der Verbindungsverfolgung zugelassen ist.

Mögliche Ursache

Konnektivitätstests können ein Testpaket ablehnen, da das Paket mit einer blockierenden Firewallregel oder einer Firewallrichtlinienregel übereinstimmt. Die tatsächliche Datenebene kann jedoch das Paket durch die Verbindungsverfolgung in der Firewallregel weiterleiten. Das Verbindungs-Tracking ermöglicht es Paketen für eine vorhandene Verbindung trotz der Firewallregel zurückzugeben.

Jedes VPC-Netzwerk hat zwei implizierte Firewallregeln, die ausgehenden Traffic nach überall ermöglichen und eingehenden Traffic von überall blockieren. Möglicherweise haben Sie auch eine Firewallregel für ausgehenden Traffic mit einer höheren Priorität.

Damit die Verbindung erfolgreich ist, benötigen Sie eine Firewallregel für ausgehenden Traffic an der Quelle, die den Zugriff auf den Zielendpunkt zulässt, und eine Firewallregel für eingehenden Traffic am Ziel, um diese Verbindung zuzulassen.

VPC-Firewallregeln sind zustandsorientiert. Wenn der angegebene Zielendpunkt in der Regel die Seite ist, die die Kommunikation initiiert, wird der Antworttraffic mit Verbindungs-Tracking automatisch zugelassen und es ist keine Firewallregel für eingehenden Traffic erforderlich.

Empfehlungen

Löschen Sie die "deny"-Regel oder erstellen Sie eine "allow"-Regel, die auf den Details in den Ergebnissen der Konnektivitätstests basiert. Weitere Informationen finden Sie unter Firewallrichtlinien und VPC-Firewallregeln verwenden. Wenn für die Firewallrichtlinienregel, die den Traffic abgelehnt hat, ein Netzwerktyp angegeben ist, informieren Sie sich über die Firewallrichtlinienregeln, um festzustellen, ob die Regel für Ihren Anwendungsfall gilt.

Verworfen, da keine übereinstimmende Route vorhanden

Das Paket wird verworfen, da keine übereinstimmenden Routen vorhanden sind.

Mögliche Ursache

Es gibt keine aktive Route, die den Paketattributen (z. B. einer Ziel-IP-Adresse) im Paketnetzwerk und in der Region entspricht.

Empfehlungen

Prüfen Sie die Liste der aktiven Routen in der Google Cloud -Konsole. Wenn Sie gerade eine neue Route erstellt haben, kann es einige Zeit dauern, bis die Konnektivitätstests ein Konfigurationsupdate erhalten und es in die Analyse einfließt.

Wenn Sie versuchen, über die interne IP-Adresse auf den Zielendpunkt zuzugreifen, prüfen Sie, ob das Quell- und Zielnetzwerk verbunden sind (z. B. über VPC Network Peering, Network Connectivity Center oder eine Hybridkonnektivitätslösung wie Cloud VPN).

Beachten Sie, dass transitives VPC-Peering nicht unterstützt wird. Verbinden Sie die Quell- und Zielnetzwerke direkt oder über eine Hybridkonnektivitätslösung.

Wenn Sie versuchen, über das Internet auf den Zielendpunkt zuzugreifen, prüfen Sie, ob Sie eine Route für die Ziel-IP-Adresse mit dem nächsten Hop-Internetgateway haben.

Wenn das Paket die Netzwerk-Endpunktgruppe mit Hybridkonnektivität durchläuft, sollten Sie die zusätzlichen Anforderungen für die Anwendbarkeit von Routen berücksichtigen. Einige Routen, die in der Routenansichtstabelle angezeigt werden, sind möglicherweise nicht für Traffic von Hybrid-NEGs verfügbar.

Weitere Informationen finden Sie unter Routen und Routen verwenden.

Das Paket wird an ein falsches Netzwerk gesendet

Das Paket wird an ein unbeabsichtigtes Netzwerk gesendet. Sie führen beispielsweise einen Test von einer Compute Engine-Instanz im Netzwerk network-1 zur Compute Engine-Instanz im Netzwerk network-2 aus, das Paket wird jedoch an das Netzwerk network-3 gesendet.

Mögliche Ursache

Das network-1-Netzwerk hat eine Route mit einem Zielbereich, der die IP-Adresse der Zielinstanz mit dem nächsten Hop in einem anderen Netzwerk (network-3 im obigen Beispiel) enthält.

Empfehlungen

Prüfen Sie in der Google Cloud -Konsole die Liste der aktiven Routen und die Liste der Routen, die für die Quellinstanz gelten. Weitere Informationen zum Erstellen von Routen und zur Anwendbarkeit finden Sie unter Routen und Routen verwenden.

Die IP-Adresse des nächsten Hops der Route wird nicht aufgelöst

Das Paket wird über eine ungültige Route an ein Ziel gesendet, wobei die IP-Adresse des nächsten Hops keiner Ressource zugewiesen ist.

Mögliche Ursache

Wenn es sich um eine Route mit next-hop-address handelt, muss die Adresse des nächsten Hops eine primäre interne IPv4-Adresse oder eine IPv6-Adresse der Compute Engine-Instanz im VPC-Netzwerk der Route sein. Adressen in Peering-Netzwerken werden nicht unterstützt.

Wenn es sich um eine Route mit next-hop-ilb handelt, muss die Adresse des nächsten Hops eine Adresse des internen Passthrough Network Load Balancers sein. Weiterleitungsregeln, die von anderen Load Balancern oder für die Protokollweiterleitung verwendet werden, oder als Private Service Connect-Endpunkte werden nicht unterstützt. Die IP-Adresse muss einer Ressource im VPC-Netzwerk der Route oder in einem Netzwerk zugewiesen sein, das über VPC-Netzwerk-Peering damit verbunden ist.

Empfehlungen

Prüfen Sie, ob die IP-Adresse des nächsten Hops zu einer unterstützten Ressource gehört. Weitere Informationen finden Sie unter Überlegungen zu Instanzen als nächste Hops und Überlegungen zu internen Passthrough Network Load Balancern, die als nächster Hop dienen.

Die Next-Hop-Instanz der Route hat eine NIC im falschen Netzwerk

Das Paket wird über eine ungültige Route an ein Ziel gesendet. Die Next-Hop-Compute Engine-Instanz hat keine Netzwerkkarte (NIC) im Netzwerk der Route.

Mögliche Ursache

Die Compute Engine-Instanz, die als nächster Hop einer Route verwendet wird, muss eine NIC im Netzwerk der Route haben (nicht in einem VPC-Netzwerk mit Peering).

Empfehlungen

Prüfen Sie, ob die Compute Engine-Instanz des nächsten Hops eine NIC im Netzwerk der Route hat. Weitere Informationen finden Sie unter Überlegungen zu Next-Hop-Instanzen.

Die Adresse des nächsten Hops der Route ist keine primäre IP-Adresse einer VM

Das Paket wird über eine ungültige Route an ein Ziel gesendet. Die Next-Hop-IP-Adresse (next-hop-address) ist keine primäre IP-Adresse der Compute Engine-Instanz.

Mögliche Ursache

Die IP-Adresse des nächsten Hops der Route (next-hop-address) muss eine primäre interne IPv4-Adresse der Compute Engine-Instanz sein. Alias-IP-Adressbereiche werden nicht unterstützt.

Empfehlungen

Prüfen Sie, ob die Next-Hop-IP-Adresse eine primäre interne IPv4-Adresse der Compute Engine-Instanz ist. Weitere Informationen finden Sie unter Überlegungen zu Next-Hop-Instanzen.

Der Weiterleitungsregeltyp für den nächsten Hop der Route ist ungültig

Das Paket wird über eine ungültige Route an ein Ziel gesendet, wobei die Next-Hop-Weiterleitungsregel (next-hop-ilb) keine Weiterleitungsregel des internen Passthrough-Network-Load-Balancers ist.

Mögliche Ursache

Die Next-Hop-Weiterleitungsregel der Route muss eine Weiterleitungsregel des internen Passthrough-Network Load Balancers sein. Weitere Informationen finden Sie unter Überlegungen zu internen Passthrough Network Load Balancern, die als nächster Hop dienen.

Empfehlungen

Erstellen Sie eine Route, die auf eine unterstützte Weiterleitungsregel statt auf die ungültige Route ausgerichtet ist.

Privater Traffic zum Internet

Ein Paket mit einer internen Zieladresse wurde an ein Internetgateway gesendet.

Mögliche Ursache

Die Ziel-IP-Adresse des Pakets ist eine private IP-Adresse, die nicht über das Internet erreichbar ist. Das Paket verlässt jedoch die Compute Engine-Quellinstanz und entspricht einer Route mit dem Internet-Gateway als nächstem Hop.

Empfehlungen

Wenn Sie über das Internet auf das Ziel zugreifen möchten, muss die Compute Engine-Quellinstanz über eine Internetverbindung verfügen, z. B. über eine externe IP-Adresse oder Cloud NAT. Verwenden Sie im Test die externe IP-Adresse des Zielendpunkts.

Wenn Sie über die interne IP-Adresse auf das Ziel zugreifen möchten, müssen Sie eine Verbindung (Routen) zwischen dem Quell- und dem Zielnetzwerk herstellen. Dies kann auf eine der folgenden Arten geschehen:

1. Wenn sich Ihr Zielendpunkt in einem lokalen Netzwerk befindet, verwenden Sie eine Network Connectivity Center-Lösung oder eine Hybridkonnektivitätslösung wie Cloud VPN oder Cloud Interconnect.
2. Wenn Ihr Zielendpunkt in Google Cloudliegt:
   1. Konfigurieren Sie das VPC-Netzwerk-Peering zwischen VPC-Netzwerken.
   2. Konfigurieren Sie Cloud VPN zwischen VPC-Netzwerken.
   3. Konfigurieren Sie die Netzwerkverbindung mit VPC-Spokes des Network Connectivity Center.

3. Wenn Sie bereits eine Verbindung zum Zielnetzwerk haben:

   1. Das Quellendpunkt-Netzwerk hat keine Route über diese Verbindung oder verwendet die Standardroute, die über das Internetgateway geleitet wird. Prüfen Sie in der Google Cloud Console die Liste der aktiven Routen und die Liste der Routen, die für die Quellinstanz gelten. Weitere Informationen zum Erstellen von Routen und zur Anwendbarkeit finden Sie unter Routen und Routen verwenden.

   Wenn Sie die Konnektivität zu einem lokalen Netzwerk von einem Peering-Netzwerk aus testen, finden Sie dieses Beispiel für benutzerdefiniertes Advertising, Netzwerk-Routingmodus und den Austausch benutzerdefinierter Routen.

   Transitives VPC-Netzwerk-Peering wird nicht unterstützt. Sie können VPN oder Peering für diese beiden VPC-Netzwerke verwenden.

Privater Google-Zugriff nicht zulässig

Eine Compute Engine-Instanz mit nur einer internen IP-Adresse versucht, die externe IP-Adresse von Google APIs und ‑Diensten zu erreichen, aber der privater Google-Zugriff ist im Subnetz der Instanz nicht aktiviert.

Empfehlungen

Sie können der Compute Engine-VM-Instanz auf eine der folgenden Arten erlauben, die externe IP-Adresse von Google APIs und Google-Diensten zu erreichen:

1. Aktivieren Sie den privaten Google-Zugriff für das Subnetz der Instanz.
2. Weisen Sie der Compute Engine-NIC eine externe IP-Adresse zu.
3. Aktivieren Sie Cloud NAT für das Subnetz der VM-Instanz.

Privater Google-Zugriff über VPN-Tunnel wird nicht unterstützt

Ein Quellendpunkt mit einer internen IP-Adresse versucht, die externe IP-Adresse von Google APIs und Google-Diensten über den VPN-Tunnel zu einem anderen Netzwerk zu erreichen, allerdings muss der privater Google-Zugriff im Netzwerk des Quellendpunkts aktiviert sein.

Mögliche Ursache

Das Paket vom Quellendpunkt zur externen IP-Adresse der Google-APIs und ‑Dienste wird über den Cloud VPN-Tunnel weitergeleitet. Eine solche Konfiguration wird jedoch nicht unterstützt.

Empfehlungen

Wenn der Quellendpunkt ein Google Cloud -Endpunkt ist (z. B. eine Compute Engine-VM-Instanz), sollten Sie privaten Google-Zugriff im zugehörigen Quellsubnetz aktivieren.

Wenn der Quellendpunkt ein lokaler Endpunkt ist, finden Sie eine detaillierte Anleitung unter Privaten Google-Zugriff für lokale Hosts konfigurieren.

Weiterleitungsregel stimmt nicht überein

Das Protokoll und die Ports der Weiterleitungsregel stimmen nicht mit dem Paketheader überein.

Mögliche Ursache

Das Paket wird mit einem Protokoll gesendet, das von der Weiterleitungsregel nicht unterstützt wird, oder das Paket wird an einen Zielport gesendet, der nicht mit den von der Weiterleitungsregel unterstützten Ports übereinstimmt.

Empfehlungen

Bestätigen Sie das Protokoll der Zielweiterleitungsregel und die Ports.

Abweichende Region der Weiterleitungsregel

Für die Weiterleitungsregel ist kein globaler Zugriff aktiviert und die Region stimmt nicht mit der Region des Pakets überein.

Mögliche Ursache

Ebenfalls abhängig vom Load-Balancer und dessen Stufe ist eine Weiterleitungsregel entweder global oder regional. Weitere Informationen finden Sie in der Tabelle der Load-Balancer-Typen.

Wenn die Weiterleitungsregel regional ist, sollte sich der Client (z. B. die VM oder der VPC-Connector) in derselben Region wie der Load-Balancer befinden.

Empfehlungen

Wenn Sie über einen Google Cloud Endpunkt wie eine Compute Engine-VM-Instanz eine Verbindung zum Load Balancer herstellen, muss sich dieser in derselben Region wie die Weiterleitungsregel befinden.

Sorgen Sie bei einer Verbindung von einem lokalen Netzwerk dafür, dass der Client über Cloud VPN-Tunnel oder VLAN-Anhänge, die sich in derselben Region wie der Load-Balancer befinden, auf den Load-Balancer zugreift. Weitere Informationen finden Sie unter Interne Application Load Balancer und verbundene Netzwerke.

Sie können den globalen Zugriff für interne Application Load Balancer und regionale interne Proxy-Network Load Balancer aktivieren, um auf Clients in einer beliebigen Region zuzugreifen. Standardmäßig müssen sich Clients für diese Load Balancer in derselben Region wie der Load Balancer befinden. Weitere Informationen finden Sie unter Globalen Zugriff für interne Application Load Balancer aktivieren und Globalen Zugriff für regionale interne Proxy-Network Load Balancer aktivieren.

Firewall blockiert Systemdiagnose für Load-Balancer-Back-End

Firewalls blockieren Systemdiagnoseprüfungen an den Back-Ends und führen dazu, dass Back-Ends für den Traffic vom Load Balancer nicht verfügbar sind.

Mögliche Ursache

Damit Systemdiagnosen funktionieren, müssen Sie Firewallregeln zum Zulassen von eingehendem Traffic erstellen, damit Traffic von Google Cloud -Probern Ihre Back-Ends erreichen kann. Andernfalls gelten die Back-Ends als fehlerhaft.

Empfehlungen

Erstellen Sie Firewallregeln zum Zulassen von eingehendem Traffic gemäß der Tabelle Prüfungs-IP-Bereiche und Firewallregeln. Weitere Informationen finden Sie unter Erforderliche Firewallregeln.

Keine externe Adresse verfügbar

Eine VM-Instanz mit nur einer internen IP-Adresse hat versucht, über eine Route, deren nächster Hop das Standard-Internetgateway ist, auf externe Hosts zuzugreifen. Wird erwartet, wenn Cloud NAT im Subnetz nicht aktiviert ist oder es keine andere Standardroute gibt, die einen anderen nächsten Hop verwendet (z. B. eine Proxy-VM)

Mögliche Ursache

Eine Instanz mit nur einer internen IP-Adresse hat versucht, auf einen externen Host zuzugreifen, aber sie hatte keine externe IP-Adresse oder Cloud NAT wurde im Subnetz nicht aktiviert.

Empfehlungen

Wenn Sie auf externe Endpunkte zugreifen möchten, können Sie Ihrer Instanz eine externe IP-Adresse zuweisen. Alternativ können Sie Cloud NAT auf seinem Subnetz aktivieren, es sei denn, die Verbindung erfolgt über eine Proxyinstanz, die Zugriff auf das Internet gewährt.

Weiterleitungsregel ohne Instanzen

Für die Weiterleitungsregel sind keine Back-Ends konfiguriert

Mögliche Ursache

Für die Weiterleitungsregel, die Sie erreichen möchten, sind keine Back-Ends konfiguriert.

Empfehlungen

Prüfen Sie die Konfiguration des Load-Balancers und dafür, dass für den Backend-Dienst des Load-Balancers Backends konfiguriert sind.

Traffictyp ist blockiert

Die Art des Traffics ist blockiert und Sie können keine Firewallregel konfigurieren, um sie zu aktivieren. Weitere Details finden Sie unter Permanent blockierter Traffic.

Mögliche Ursache

Dieser Traffictyp ist standardmäßig blockiert und kann nicht durch Erstellen von Firewallregeln aktiviert werden. Gängige Szenarien:

1. Ausgehenden Traffic mit dem TCP-Port 25 (SMTP) an ein externes Ziel senden. Weitere Details finden Sie unter Permanent blockierter Traffic.
2. Traffic an einen nicht unterstützten Port auf einer Cloud SQL-Instanz senden Beispiel: Senden von Traffic an TCP-Port 3310 an eine MySQL Cloud SQL-Instanz mit geöffnetem Port 3306.
3. Ausgehendes Traffic wird von einer App Engine-Standardumgebungsversion, einer Cloud Run-Funktion oder einer Cloud Run-Revision gesendet, die ein anderes Protokoll als TCP oder UDP verwendet.

Empfehlungen

Informationen zu ausgehendem SMTP-Traffic (ausgehender Traffic zu einem externen Ziel mit TCP-Port 25) finden Sie unter E-Mails von einer Instanz senden.

Für das DHCP-Protokoll einschließlich UDP-IPv4-Pakete für den Zielport 68 (DHCPv4-Antworten) und UDP-IPv6-Pakete zum Zielport 546 (DHCPv6-Antworten) ist DHCP-Traffic nur vom Metadatenserver zulässig (169.254.169.254).

Prüfen Sie bei der Cloud SQL-Verbindung, ob der verwendete Port korrekt ist.

Netzwerktags werden vom ausgehenden Direct VPC-Traffic in Firewallregeln für eingehenden Traffic nicht unterstützt

Das Paket wird verworfen, da der direkte VPC-Ausgang keine Quellnetzwerk-Tags in Firewallregeln für eingehenden Traffic unterstützt.

Mögliche Ursache

Das Abgleichen von Firewallregeln für eingehenden Traffic anhand von Quellnetzwerk-Tags wird für Cloud Run-Verbindungen über Direct VPC Egress nicht unterstützt. Weitere Informationen finden Sie unter Einschränkungen.

Empfehlungen

Aktualisieren Sie Ihre Firewallregeln, damit Quell-IP-Bereiche anstelle von Quellnetzwerk-Tags verwendet werden, um Traffic von Cloud Run-Verbindungen über Direct VPC Egress abzugleichen.

Connector für Serverloser VPC-Zugriff ist nicht konfiguriert

Das Paket wurde verworfen, weil für die App Engine-Standardumgebung, die Cloud Run-Funktion oder die Cloud Run-Revision kein Connector für serverlosen VPC-Zugriff konfiguriert ist.

Mögliche Ursache

Die Ziel-IP-Adresse ist eine private IP-Adresse, die nicht über das Internet erreichbar ist. Das Paket verlässt die Quelle, aber es ist kein Connector für Serverloser VPC-Zugriff für die App Engine-Standardumgebung, die Cloud Run-Funktion oder die Cloud Run-Revision konfiguriert.

Empfehlungen

Wenn Sie versuchen, über die private IP-Adresse auf den Zielendpunkt zuzugreifen, prüfen Sie, ob Sie einen Connector für den Serverloser VPC-Zugriff für die App Engine-Standardumgebung, die Cloud Run-Funktion oder die Cloud Run-Revision konfiguriert haben.

Connector für Serverloser VPC-Zugriff wird nicht ausgeführt

Das Paket wurde gelöscht, da der Serverless VPC Access-Connector nicht ausgeführt wird.

Mögliche Ursache

Das Paket wurde gelöscht, da alle Connector-Instanzen für Serverloser VPC-Zugriff angehalten wurden.

Empfehlungen

Eine Liste mit Schritten zur Fehlerbehebung finden Sie unter Fehlerbehebung.

Private Service Connect-Verbindung wird nicht akzeptiert

Das Paket wurde verworfen, da die Private Service Connect-Verbindung nicht akzeptiert wurde.

Mögliche Ursache

Der Private Service Connect-Endpunkt befindet sich in einem Projekt, das nicht für die Verbindung zum Dienst genehmigt ist. Weitere Informationen finden Sie unter Endpunktdetails ansehen.

Empfehlungen

Achten Sie darauf, dass sich der Private Service Connect-Endpunkt in einem Projekt befindet, das für die Verbindung zum verwalteten Dienst genehmigt ist.

Auf einen Private Service Connect-Endpunkt wird über ein Peering-Netzwerk zugegriffen

Das Paket wird an den Private Service Connect-Endpunkt im Peering-Netzwerk gesendet, eine solche Konfiguration wird jedoch nicht unterstützt.

Empfehlungen

Google empfiehlt, zu einer Hub-and-Spoke-Architektur mit Network Connectivity Center zu wechseln, um die Weitergabe von Private Service Connect-Verbindungen zu ermöglichen.

Alternativ können Sie eines der folgenden Konnektivitätsmuster in Betracht ziehen:

• Wenn der Dienstersteller dies unterstützt, können Sie zu einem Konnektivitätsmuster mit Zugriff über mehrere Punkte wechseln.

• Wenn der Dienstersteller dies unterstützt, konfigurieren Sie einen unterstützten Load-Balancer für Dienstnutzer mit einem Private Service Connect-Backend.

Wenden Sie sich an den Support für Dienstproduzenten oder an Ihren Google Cloud -Vertreter, wenn Sie weitere Unterstützung benötigen.