測試封包遭捨棄的原因

連線測試可能會因下列任一原因而捨棄測試封包:

如需可能原因的完整清單,請參閱「設定分析狀態」。

不允許使用外部 IP 位址

封包會遭到捨棄,因為只有在啟用 IP 轉送功能時,Compute Engine 執行個體才能傳送或接收具備外部 IP 位址的封包。

可能的原因

VM 執行個體未啟用 IP 轉送功能,但經過該執行個體的封包來源或目的地 IP 位址不符。例如,如果封包是使用靜態路徑,且 VM 執行個體做為下一個躍點,就可能發生這種情況。

建議

建立啟用 IP 轉送功能的 Compute Engine 執行個體,或為現有執行個體設定對應的屬性。詳情請參閱「為執行個體啟用 IP 轉送功能」。

因防火牆規則而捨棄

封包可能因防火牆規則而遭到捨棄,但連線追蹤允許的封包除外

可能的原因

Connectivity Tests 可能會拒絕測試封包,因為封包符合封鎖的 防火牆規則防火牆政策規則。不過,實際的資料層可能會因防火牆規則的連線追蹤而允許封包通過。連線追蹤可讓現有連線的封包在防火牆規則下傳回。

每個 VPC 網路都設有兩個默示防火牆規則,分別會允許傳出流量連往任何地方,並封鎖來自任何地方的傳入流量。您也可能有優先順序較高的輸出防火牆規則。

如要成功連線,您需要在來源端設定輸出防火牆規則,允許存取目的地端點,並在目的地端設定輸入防火牆規則,允許這項連線。

虛擬私有雲防火牆規則具有狀態。如果指定的目標端點通常是啟動通訊的一方,則系統會在連線追蹤功能中自動允許回應流量,因此不需要設定入站防火牆規則。

建議

根據連線能力測試結果中的詳細資料,刪除拒絕規則或建立允許規則。詳情請參閱「防火牆政策」和「使用 VPC 防火牆規則」。如果拒絕流量的防火牆政策規則已指定網路類型,請瞭解防火牆政策規則,判斷規則是否適用於您的用途。

因沒有相符路徑而捨棄

封包因沒有相符的路徑而遭到捨棄。

可能的原因

封包網路和區域中沒有任何有效路徑與封包屬性 (例如目的地 IP 位址) 相符。

建議

請在 Google Cloud 控制台中確認有效路徑清單。如果您剛建立新的路線,請注意,Connectivity Tests 可能需要一段時間才能收到設定更新,並將其納入分析。

如果您嘗試使用目的地端點的內部 IP 位址存取該端點,請確認來源和目的地網路已連線 (例如,使用 虛擬私有雲網路對等互連網路連線中心或 Cloud VPN 等混合式連線解決方案)。

請注意,系統不支援遞移性的虛擬私人雲端對等互連。建議直接連線至來源和目的地網路,或使用混合式連線解決方案。

如果您嘗試透過網際網路存取目的地端點,請務必為目的地 IP 位址建立路徑,並設定下一個躍點網際網路閘道。

如果封包會經過混合式連線網路端點群組,請考慮路由適用性的額外規定。路線檢視表中顯示的部分路線,可能無法用於混合型 NEG 的流量。

詳情請參閱「路徑」和「使用路徑」。

封包已傳送至錯誤的網路

封包已傳送至非預期的網路。舉例來說,您執行的測試從 network-1 網路中的 Compute Engine 執行個體,傳送至 network-2 網路中的 Compute Engine 執行個體,但封包會傳送至 network-3 網路。

可能的原因

network-1 網路的路徑具有目的地範圍,其中包含目的地執行個體 IP 位址,以及其他網路中的下一個躍點 (上例中的 network-3)。

建議

在 Google Cloud 控制台中,確認有效路徑清單適用於來源執行個體的路徑清單。如要進一步瞭解路徑建立和適用性,請參閱「路徑」和「使用路徑」。

未解析路徑下一個躍點 IP 位址

封包會使用無效路徑傳送至目的地,且下一個躍點 IP 位址未指派給任何資源。

可能的原因

如果這是含有 next-hop-address 的路徑,下一個躍點位址必須是路徑虛擬私有雲端網路中 Compute Engine 執行個體的主要內部 IPv4 位址或 IPv6 位址。不支援對等網路中的地址。

如果這是含有 next-hop-ilb 的路徑,下一個躍點位址必須是內部直通式網路負載平衡器的位址 (不支援其他負載平衡器使用的轉送規則、通訊協定轉送,或做為 Private Service Connect 端點)。IP 位址必須指派給路由的 VPC 網路中的資源,或是透過 VPC 網路對等互連連線的網路中的資源。

建議

確認下一個躍點 IP 位址屬於支援的資源。如需更多資訊,請參閱「下一個躍點執行個體的注意事項」和「內部直通式網路負載平衡器下一個躍點的注意事項」。

路徑下一個躍點執行個體的 NIC 位於錯誤的網路

封包會使用無效路徑傳送至目的地,而下一個躍點 Compute Engine 執行個體在路徑網路中沒有網路介面控制器 (NIC)。

可能的原因

用於路徑下一個躍點的 Compute Engine 執行個體,必須在路徑網路 (而非對等 VPC 網路) 中具有 NIC。

建議

請確認下一個躍點 Compute Engine 執行個體在路徑網路中具有 NIC。詳情請參閱「下一個躍點執行個體的考量事項」。

路徑下一個躍點位址並非 VM 的主要 IP 位址

封包會使用無效路徑傳送至目的地,其中下一個躍點 IP 位址 (next-hop-address) 並非 Compute Engine 執行個體的主要 IP 位址。

可能的原因

路徑的下一個躍點 IP 位址 (next-hop-address) 必須是 Compute Engine 執行個體的主要內部 IPv4 位址。系統不支援別名 IP 位址範圍

建議

確認下一個躍點 IP 位址是 Compute Engine 執行個體的主要內部 IPv4 位址。詳情請參閱「下一個躍點執行個體的考量事項」。

路徑的下一個躍點轉送規則類型無效

封包會使用無效路徑傳送至目的地,其中下一個躍點轉送規則 (next-hop-ilb) 並非內部直通式網路負載平衡器的轉送規則。

可能的原因

路徑的下一個躍點轉送規則必須是內部直通式網路負載平衡器的轉送規則。詳情請參閱「考量內部直通式網路負載平衡器下一個躍點」一文。

建議

建立指定支援轉送規則的路徑,而非無效路徑。

私人流量至網際網路

含有內部目的地 IP 位址的封包已傳送至網際網路閘道。

可能的原因

封包目的地 IP 位址是私人 IP 位址,無法透過網際網路存取。不過,封包會離開來源 Compute Engine 執行個體,並與下一個躍點網際網路閘道比對路徑。

建議

如果您想透過網際網路存取目的地,請確認來源 Compute Engine 執行個體具有網際網路連線 (例如具有外部 IP 位址或使用 Cloud NAT),並在測試中使用目的地端點的外部 IP 位址。

如果您想透過目的地內部 IP 位址存取目的地,就必須在來源和目的地網路之間建立連線 (建立路徑)。你可以透過下列任一方式執行此操作:

  1. 如果目的地端點位於內部部署網路中,請使用 Network Connectivity Center 解決方案或混合式連線解決方案,例如 Cloud VPNCloud Interconnect
  2. 如果目的地端點位於 Google Cloud:
    1. 在虛擬私有雲網路之間設定虛擬私有雲網路對等互連
    2. 在虛擬私有雲網路之間設定 Cloud VPN
    3. 使用 Network Connectivity Center 虛擬私有雲輪輻設定網路連線。

  3. 如果您已連上目的網路:

    1. 來源端點網路沒有透過這個連線的路徑,或是使用透過網際網路閘道的預設路徑。請在 Google Cloud 控制台中驗證有效路徑清單,以及適用於來源執行個體的路徑清單。如要進一步瞭解路徑建立和適用性,請參閱「路徑」和「使用路徑」。

    如果您要測試從對等網路連線至內部部署網路,請參閱這個範例,瞭解如何使用自訂廣告、網路路由模式,以及交換自訂路徑。

    不支援遞移性 VPC 網路對等互連。您可以為這兩個 VPC 網路使用 VPN 或對等互連。

不允許私人 Google 存取權

Compute Engine 執行個體僅具備內部 IP 位址,嘗試連上 Google API 和服務的外部 IP 位址,但執行個體的子網路未啟用私人 Google 存取權。

建議

您可以透過下列任一方式,讓 Compute Engine VM 執行個體連線至 Google API 與服務的外部 IP 位址:

  1. 為執行個體的子網路啟用私人 Google 存取權
  2. 為 Compute Engine NIC 指派外部 IP 位址。
  3. 為 VM 執行個體的子網路啟用 Cloud NAT

不支援透過 VPN 通道存取私人 Google 存取權

具有內部 IP 位址的來源端點嘗試透過連至另一個網路的 VPN 通道存取 Google API 和服務的外部 IP 位址,不過來源端點網路必須啟用私人 Google 存取權。

可能的原因

從來源端點傳送至 Google API 和服務的外部 IP 位址的封包會透過 Cloud VPN 通道進行路由,但系統不支援這種設定。

建議

如果來源端點是 Google Cloud 端點 (例如 Compute Engine VM 執行個體),建議在來源子網路中啟用 私人 Google 存取權

如果來源端點是內部部署端點,請參閱「為內部部署主機設定私人 Google 存取權」一文,瞭解詳細操作說明。

轉送規則不符

轉送規則的通訊協定和通訊埠與封包標頭不符。

可能的原因

封包是使用轉送規則不支援的通訊協定傳送,或是封包傳送至轉送規則不支援的目標通訊埠。

建議

確認目的地轉送規則的通訊協定和通訊埠。

轉送規則區域不符

轉送規則未啟用全域存取權,且其區域與封包的區域不符。

可能的原因

視負載平衡器及其層級而定,轉送規則可以是全域或地區性的。詳情請參閱負載平衡器類型表格

如果轉送規則是區域性,用戶端 (例如 VM 或 VPC 連接器) 應與負載平衡器位於相同的地區。

建議

如果您從 Google Cloud 端點 (例如 Compute Engine VM 執行個體) 連線至負載平衡器,請確認端點位於與轉送規則相同的地區。

從內部部署網路連線時,請確認用戶端透過與負載平衡器位於相同地區的 Cloud VPN 通道或 VLAN 連結存取負載平衡器。詳情請參閱「內部應用程式負載平衡器和已連結的網路」。

您可以在內部應用程式負載平衡器和區域性內部 Proxy 網路負載平衡器上啟用全域存取權,以便存取任何區域中的用戶端。根據預設,這些負載平衡器的用戶端必須與負載平衡器位於相同的地區。如需更多資訊,請參閱「為內部應用程式負載平衡器啟用全域存取權」和「為區域性內部 Proxy 網路負載平衡器啟用全域存取權」。

防火牆封鎖負載平衡器後端健康狀態檢查

防火牆會封鎖對後端的健康狀態檢查探測,導致後端無法接收來自負載平衡器的流量。

可能的原因

如要讓健康狀態檢查正常運作,您必須建立輸入允許防火牆規則,允許來自 Google Cloud 探測器的流量可到達您的後端。否則,系統會將後端視為健康狀態不良。

建議

根據探測器 IP 範圍和防火牆規則表格建立 ingress 允許防火牆規則。詳情請參閱「必要的防火牆規則」。

沒有可用的外部地址

僅具備內部 IP 位址的 VM 執行個體嘗試透過下一個躍點為預設網際網路閘道的路徑存取外部主機。在子網路中未啟用 Cloud NAT,或是沒有其他使用不同類型下一個躍點 (例如 Proxy VM) 的預設路徑時,這項行為是預期的。

可能的原因

僅具備內部 IP 位址的執行個體嘗試存取外部主機,但沒有外部 IP 位址,或是子網路未啟用 Cloud NAT。

建議

如果您想存取外部端點,可以為執行個體指派外部 IP 位址。或者,您也可以在子網路上啟用 Cloud NAT,除非連線會經過可提供網際網路存取權的 Proxy 執行個體。

沒有執行個體的轉送規則

轉送規則未設定後端。

可能的原因

您要存取的轉送規則未設定任何後端。

建議

檢查負載平衡器設定,確認負載平衡器的後端服務已設定後端。

流量類型遭到封鎖

流量類型遭到封鎖,您無法設定防火牆規則來啟用該類流量。詳情請參閱「一律封鎖的流量」。

可能的原因

這類流量預設為封鎖狀態,無法透過建立防火牆規則來啟用。常見的情況如下:

  1. 將輸出流量傳送至使用 TCP 通訊埠 25 (SMTP) 的目標。詳情請參閱「一律封鎖的流量」。
  2. 將流量傳送至 Cloud SQL 執行個體中不支援的通訊埠。例如,將流量傳送至 TCP 通訊埠 3310,並將其傳送至已開啟通訊埠 3306 的 MySQL Cloud SQL 執行個體。
  3. 從使用 TCP 或 UDP 以外通訊協定的 App Engine 標準環境版本、Cloud Run 函式或 Cloud Run 修訂版本傳送出站流量。

建議

如要瞭解外寄 SMTP (外寄流量,目的地為使用 TCP 通訊埠 25 的外部) 流量,請參閱「從執行個體傳送電子郵件」。

針對 DHCP 通訊協定 (包括傳送至目的地通訊埠 68 的 UDP IPv4 封包 (DHCPv4 回應) 和傳送至目的地通訊埠 546 的 UDP IPv6 封包 (DHCPv6 回應)),DHCP 流量只允許來自中繼資料伺服器 (169.254.169.254)。

如要連線至 Cloud SQL,請確認使用的通訊埠是否正確。

直接 VPC egress 不支援 ingress 防火牆規則中的網路標記

封包會遭到捨棄,因為直接 VPC 出口不支援 ingress 防火牆規則中的來源網路標記。

可能的原因

對於透過直接 VPC 輸出連線的 Cloud Run 連線,不支援依據來源網路標記比對 ingress 防火牆規則。詳情請參閱「限制」一節。

建議

更新防火牆規則,使用來源 IP 範圍 (而非來源網路標記),比對透過直接 VPC 輸出連線傳送的 Cloud Run 連線流量。

未設定無伺服器虛擬私有雲存取連接器

封包遭到捨棄,是因為 App Engine 標準環境版本、Cloud Run 函式或 Cloud Run 修訂版本未設定無伺服器虛擬私有雲存取連接器

可能的原因

目的地 IP 位址是私人 IP 位址,無法透過網際網路存取。封包會離開來源,但沒有為 App Engine 標準環境版本、Cloud Run 函式或 Cloud Run 修訂版本設定無伺服器虛擬私有雲存取連接器。

建議

如果您嘗試使用私人 IP 位址存取目的地端點,請確認您已為 App Engine 標準環境版本、Cloud Run 函式或 Cloud Run 修訂版本設定無伺服器虛擬私人雲端存取連接器。

無伺服器 VPC 存取連接器未執行

Serverless VPC Access 連接器未運作,因此封包遭到捨棄。

可能的原因

所有無伺服器虛擬私有雲存取連接器執行個體都已停止,因此封包遭到捨棄。

建議

如需疑難排解步驟清單,請參閱「疑難排解」。

系統不接受 Private Service Connect 連線

系統未接受 Private Service Connect 連線,因此封包遭到捨棄。

可能的原因

Private Service Connect 端點位於未獲准連線至服務的專案中。詳情請參閱「查看端點詳細資料」。

建議

請確認 Private Service Connect 端點位於已核准連結至代管服務的專案中。

從對等互連網路存取 Private Service Connect 端點

封包會傳送至對等互連網路中的 Private Service Connect 端點,但系統不支援這類設定。

建議

建議您使用 Private Service Connect 部署模式頁面所述的其中一種連線模式。您也可以使用Private Service Connect 後端存取 Google API 和已發布的服務。