測試封包遭捨棄的原因

Connectivity Tests 可能會因下列任一原因捨棄測試封包。

如需可能原因的完整清單，請參閱「設定分析狀態」。

不允許使用國外 IP 位址

封包遭到捨棄，因為 Compute Engine 執行個體只能在啟用 IP 轉送功能時，傳送或接收具備外部 IP 位址的封包。

可能原因

VM 執行個體未啟用 IP 轉送功能，但通過該執行個體的封包來源或目的地 IP 位址，與執行個體的 IP 位址不符。舉例來說，如果封包是透過以 VM 執行個體做為下一個躍點的靜態路徑傳送至執行個體，就可能發生這種情況。

建議

建立啟用 IP 轉送功能的 Compute Engine 執行個體，或為現有執行個體設定對應屬性。詳情請參閱「為執行個體啟用 IP 轉送」。

因防火牆規則而捨棄封包

根據防火牆規則，封包可能會遭到捨棄，但連線追蹤允許的封包除外。

可能原因

如果封包符合封鎖的防火牆規則或防火牆政策規則，Connectivity Tests 可能會拒絕測試封包。不過，由於防火牆規則的連線追蹤功能，實際資料層可能會允許封包通過。連線追蹤功能可讓現有連線的封包返回，即使防火牆規則不允許也一樣。

每個 VPC 網路都有兩項默示防火牆規則，分別允許輸出流量傳輸至任何位置，以及封鎖來自任何位置的輸入流量。您也可能設有優先順序較高的拒絕輸出防火牆規則。

如要成功連線，您需要在來源端設定輸出防火牆規則，允許存取目的地端點，並在目的地端設定輸入防火牆規則，允許這項連線。

虛擬私有雲防火牆規則具有狀態。如果指定的目的地端點通常是發起通訊的一方，系統會自動允許回應流量，並追蹤連線，因此不需要輸入防火牆規則。

建議

根據連線能力測試結果中的詳細資料，刪除拒絕規則或建立允許規則。詳情請參閱「防火牆政策」和「使用虛擬私有雲防火牆規則」。如果拒絕流量的防火牆政策規則指定了網路類型，請瞭解防火牆政策規則，判斷該規則是否適用於您的用途。

因沒有相符路由而捨棄

封包遭到捨棄，因為沒有相符的路由。

可能原因

封包網路和區域中沒有與封包屬性 (例如目的地 IP 位址) 相符的有效路徑。

建議

在 Google Cloud 控制台中，確認有效路徑清單。如果您剛建立新路徑，請注意，連線測試可能需要一段時間才能收到設定更新，並將更新納入分析。

如果您嘗試使用目的地端點的內部 IP 位址存取該端點，請確認來源和目的地網路已連線 (例如使用 VPC 網路對等互連、網路連線中心或混合式連線解決方案 (如 Cloud VPN))。

請注意，系統不支援遞移性虛擬私有雲對等互連。建議直接連線來源和目的地網路，或使用混合式連線解決方案。

如果嘗試透過網際網路存取目的地端點，請確認您有目的地 IP 位址的路由，且下一個躍點為網際網路閘道。

如果封包要通過混合式連線網路端點群組，請考慮適用於路徑的其他需求。路由檢視表中的部分路由可能不適用於混合式 NEG 的流量。

詳情請參閱「路徑」和「使用路徑」。

封包已傳送至錯誤的網路

封包已傳送至非預期的網路。舉例來說，您從 network-1 網路中的 Compute Engine 執行個體執行測試，對象是 network-2 網路中的 Compute Engine 執行個體，但封包卻傳送至 network-3 網路。

可能原因

network-1 網路的路由目的地範圍包含目的地執行個體 IP 位址，且下一個躍點位於不同網路 (上例中的 network-3)。

建議

在 Google Cloud 控制台中，驗證有效路徑清單和適用於來源執行個體的路徑清單。如要進一步瞭解如何建立路徑和適用性，請參閱「路徑」和「使用路徑」。

無法解析路由的下一個躍點 IP 位址

封包是透過無效路徑傳送至目的地，且下一個躍點 IP 位址未指派給任何資源。

可能原因

如果是使用 next-hop-address 的路徑，下一個躍點位址必須是路徑虛擬私有雲網路中 Compute Engine 執行個體的主要內部 IPv4 位址或 IPv6 位址。不支援對等互連網路中的位址。

如果是使用 next-hop-ilb 的路徑，下一個躍點位址必須是內部直通式網路負載平衡器的位址 (不支援其他負載平衡器使用的轉送規則、通訊協定轉送或 Private Service Connect 端點)。IP 位址必須指派給路徑虛擬私有雲網路中的資源，或是透過虛擬私有雲網路對等互連連線的網路。

建議

確認下一個躍點 IP 位址屬於支援的資源。詳情請參閱下一個躍點執行個體的考量事項和內部直通式網路負載平衡器下一個躍點的考量事項。

路由下一個躍點執行個體的 NIC 位於錯誤的網路

封包是透過無效路徑傳送至目的地，而路徑的下一個躍點 Compute Engine 執行個體沒有位於路徑網路的網路介面控制器 (NIC)。

可能原因

做為路由下一個躍點的 Compute Engine 執行個體，必須在路由網路 (而非對等互連的 VPC 網路) 中有 NIC。

建議

確認下一個躍點 Compute Engine 執行個體在路由網路中是否有 NIC。詳情請參閱下一個躍點執行個體的注意事項。

路由下一個躍點位址並非 VM 主要 IP 位址

封包是透過無效路徑傳送至目的地，且下一個躍點 IP 位址 (next-hop-address) 並非 Compute Engine 執行個體的主要 IP 位址。

可能原因

路由的下一個躍點 IP 位址 (next-hop-address) 必須是 Compute Engine 執行個體的主要內部 IPv4 位址。系統不支援別名 IP 位址範圍。

建議

確認下一個躍點 IP 位址是 Compute Engine 執行個體的主要內部 IPv4 位址。詳情請參閱下一個躍點執行個體的注意事項。

路徑的下一個躍點轉送規則類型無效

封包是透過無效路徑傳送至目的地，且下一個躍點轉送規則 (next-hop-ilb) 並非內部直通式網路負載平衡器的轉送規則。

可能原因

路由的下一個躍點轉送規則必須是內部直通式網路負載平衡器的轉送規則。詳情請參閱內部直通式網路負載平衡器下一個躍點的考量事項。

建議

建立以支援的轉送規則為目標的路徑，而非無效路徑。

網際網路的私人流量

具備內部目的地位址的封包已傳送至網際網路閘道。

可能原因

封包目的地 IP 位址為私人 IP 位址，無法透過網際網路連線。不過，封包會離開來源 Compute Engine 執行個體，並比對下一個躍點為網際網路閘道的路徑。

建議

如要透過網際網路存取目的地，請確認來源 Compute Engine 執行個體已連上網際網路 (例如具有外部 IP 位址或使用 Cloud NAT)，並在測試中使用目的地端點的外部 IP 位址。

如要透過內部 IP 位址存取目的地，您需要在來源和目的地網路之間建立連線 (建立路徑)。你可以透過下列任一方式執行此操作：

1. 如果目的地端點位於內部部署網路中，請使用 Network Connectivity Center 解決方案或混合式連線解決方案，例如 Cloud VPN 或 Cloud Interconnect。
2. 如果目的地端點位於 Google Cloud：
   1. 在虛擬私有雲網路之間設定虛擬私有雲網路對等互連。
   2. 在虛擬私有雲網路之間設定 Cloud VPN。
   3. 使用 Network Connectivity Center VPC 輪輻設定網路連線。

3. 如果已連線至目標網路：

   1. 來源端點網路沒有透過這個連線的路徑，或使用通過網際網路閘道的預設路徑。在 Google Cloud 控制台中，驗證有效路徑清單，以及適用於來源執行個體的路徑清單。如要進一步瞭解如何建立路徑和適用範圍，請參閱「路徑」和「使用路徑」。

   如果您要測試從對等互連網路連線至地端部署網路，請參閱這個範例，瞭解如何自訂廣告、網路轉送模式，以及交換自訂路徑。

   系統不支援遞移虛擬私有雲網路對等互連。您可以對這兩個 VPC 網路使用 VPN 或對等互連。

不允許私人 Google 存取權

僅具備內部 IP 位址的 Compute Engine 執行個體嘗試連至 Google API 和服務的外部 IP 位址，但執行個體的子網路中未啟用 Private Google Access。

建議

您可以透過下列任一方式，允許 Compute Engine VM 執行個體連線至 Google API 和服務的外部 IP 位址：

1. 為執行個體的子網路啟用私人 Google 存取權。
2. 將外部 IP 位址指派給 Compute Engine NIC。
3. 為 VM 執行個體的子網路啟用 Cloud NAT。

不支援透過 VPN 通道使用 Private Google Access

來源端點具有內部 IP 位址，並嘗試透過連至另一個網路的 VPN 通道存取 Google API 和服務的外部 IP 位址，不過來源端點網路必須啟用 Private Google Access。

可能原因

從來源端點傳送至 Google API 和服務外部 IP 位址的封包會透過 Cloud VPN 通道路由傳送，但系統不支援這類設定。

建議

如果來源端點是 Google Cloud 端點 (例如 Compute Engine VM 執行個體)，請考慮在來源子網路中啟用私人 Google 存取權。

如果來源端點是內部部署端點，請參閱「內部部署主機的私人 Google 存取權」一文，瞭解詳細操作說明。

不明的內部地址

無法將目的地內部 IP 位址解析為已知的目標。

建議

• 如果您要測試共用虛擬私有雲網路的連線，請檢查服務專案 ID 是否做為測試輸入內容。
• 確認 IP 位址已指派給支援的目的地端點。

轉送規則不符

轉送規則的通訊協定和通訊埠與封包標頭不符。

可能原因

封包使用的通訊協定不受轉送規則支援，或封包傳送至的目標通訊埠與轉送規則支援的通訊埠不符。

建議

確認目的地轉送規則的通訊協定和通訊埠。

轉送規則區域不符

轉送規則未啟用全域存取權，且所在區域與封包區域不符。

可能原因

視負載平衡器及其層級而定，轉送規則可以是全域或區域。詳情請參閱負載平衡器類型表。

如果轉送規則是區域性的，用戶端 (例如 VM 或 VPC 連接器) 應與負載平衡器位於相同區域。

建議

如果您從 Google Cloud 端點 (例如 Compute Engine VM 執行個體) 連線至負載平衡器，請確保該端點與轉送規則位於相同地區。

從地端網路連線時，請確認用戶端是透過與負載平衡器位於相同區域的 Cloud VPN 通道或 VLAN 連結存取負載平衡器。詳情請參閱內部應用程式負載平衡器和已連線網路。

您可以在內部應用程式負載平衡器和區域性內部 Proxy 網路負載平衡器上啟用全域存取權，存取任何區域的用戶端。根據預設，這些負載平衡器的用戶端必須與負載平衡器位於相同地區。詳情請參閱「為內部應用程式負載平衡器啟用全域存取權」和「為區域性內部 Proxy 網路負載平衡器啟用全域存取權」。

防火牆封鎖負載平衡器後端健康狀態檢查

防火牆會封鎖對後端的健康狀態檢查探測，導致後端無法接收來自負載平衡器的流量。

可能原因

如要讓健康狀態檢查正常運作，您必須建立輸入允許防火牆規則，允許來自 Google Cloud 探測器的流量到達後端。否則後端會視為健康狀態不良。

建議

根據探測器 IP 範圍和防火牆規則表，建立允許輸入防火牆規則。詳情請參閱「必要防火牆規則」。

沒有可用的外部地址

僅具備內部 IP 位址的 VM 執行個體嘗試透過路由存取外部主機，但該路由的下一個躍點是預設網際網路閘道。如果子網路未啟用 Cloud NAT，或沒有使用其他類型下一個躍點 (例如 Proxy VM) 的預設路徑，就會發生這種情況。

可能原因

僅具備內部 IP 位址的執行個體嘗試存取外部主機，但該執行個體沒有外部 IP 位址，或子網路未啟用 Cloud NAT。

建議

如要存取外部端點，可以為執行個體指派外部 IP 位址。或者，您可以在子網路上啟用 Cloud NAT，除非連線是透過可存取網際網路的 Proxy 執行個體。

沒有執行個體的轉送規則

轉送規則未設定後端。

可能原因

您嘗試存取的轉送規則未設定任何後端。

建議

檢查負載平衡器設定，確認負載平衡器的後端服務已設定後端。

流量類型遭到封鎖

流量類型遭到封鎖，您無法設定防火牆規則來啟用該類流量。詳情請參閱「一律封鎖的流量」。

可能原因

這類流量預設會遭到封鎖，且無法透過建立防火牆規則啟用。常見情況如下：

1. 將輸出流量傳送至外部目的地，並使用 TCP 通訊埠 25 (SMTP)。詳情請參閱「一律封鎖的流量」。
2. 將流量傳送至 Cloud SQL 執行個體上不支援的通訊埠。舉例來說，將流量傳送至 MySQL Cloud SQL 執行個體的 TCP 通訊埠 3310，並開啟通訊埠 3306。
3. 從 App Engine 標準環境版本、Cloud Run 函式或 Cloud Run 修訂版本傳送輸出流量，但使用 TCP 或 UDP 以外的通訊協定。

建議

如要瞭解輸出 SMTP (輸出流量至外部目的地，使用 TCP 通訊埠 25) 流量，請參閱「從執行個體傳送電子郵件」。

如果是 DHCP 通訊協定，包括傳送至目的地通訊埠 68 的 UDP IPv4 封包 (DHCPv4 回應)，以及傳送至目的地通訊埠 546 的 UDP IPv6 封包 (DHCPv6 回應)，則只允許來自中繼資料伺服器 (169.254.169.254) 的 DHCP 流量。

如要連線至 Cloud SQL，請確認使用的通訊埠正確無誤。

未取得授權，無法存取 GKE 叢集的控制層

未取得授權，無法從來源 IP 位址存取 GKE 叢集的控制層。

可能原因

您使用的來源 IP 與 GKE 叢集上設定的授權存取規則不符。詳情請參閱「叢集端點存取權」。

建議

如要允許所選來源存取 GKE 控制層，請按照「修改控制層存取權」一文的說明操作。

未取得授權，因此無法存取 Cloud SQL 執行個體

未經授權，無法從來源 IP 位址存取 Cloud SQL 執行個體。

可能原因

您使用的來源 IP 與 Cloud SQL 執行個體上設定的授權網路不符。如要讓連線正常運作，您必須將用戶端應用程式的 IP 位址或位址範圍，設定為 Cloud SQL 執行個體上的授權網路。

建議

更新 Cloud SQL 執行個體存取權，允許所選來源 IP 位址，詳情請參閱「透過授權網路授權」。

輸入防火牆規則中的直接虛擬私有雲輸出不支援網路標記

封包遭到捨棄，因為直接虛擬私有雲輸出功能不支援輸入防火牆規則中的來源網路標記。

可能原因

透過直接虛擬私有雲輸出連線的 Cloud Run 連線，不支援依據來源網路標記比對輸入防火牆規則。詳情請參閱「限制」一節。

建議

更新防火牆規則，使用來源 IP 範圍而非來源網路標記，比對透過直接虛擬私有雲輸出流量的 Cloud Run 連線流量。

未設定無伺服器 VPC 存取連接器

封包遭到捨棄，因為 App Engine 標準環境版本、Cloud Run 函式或 Cloud Run 修訂版本未設定無伺服器 VPC 存取連接器。

可能原因

目的地 IP 位址為私人 IP 位址，無法透過網際網路連線。封包會離開來源，但 App Engine 標準環境版本、Cloud Run 函式或 Cloud Run 修訂版本未設定無伺服器虛擬私有雲存取連接器。

建議

如果您嘗試使用目的地端點的私人 IP 位址存取該端點，請務必為 App Engine 標準環境版本、Cloud Run 函式或 Cloud Run 修訂版本設定無伺服器虛擬私有雲存取連接器。

無伺服器 VPC 存取連接器未執行

封包遭到捨棄，因為 無伺服器 VPC 存取連接器 未運作。

可能原因

封包遭到捨棄，因為所有無伺服器 VPC 存取連接器執行個體都已停止。

建議

如需疑難排解步驟清單，請參閱「疑難排解」。

系統不接受 Private Service Connect 連線

封包遭到捨棄，因為系統不接受 Private Service Connect 連線。

可能原因

Private Service Connect 端點位於未獲准連線至服務的專案中。詳情請參閱「查看端點詳細資料」。

建議

請確認 Private Service Connect 端點位於獲准連線至代管服務的專案中。

從對等互連網路存取 Private Service Connect 端點

封包會傳送至對等互連網路中的 Private Service Connect 端點，但系統不支援這類設定。

建議

Google 建議您改用中樞輻射架構，並使用 Network Connectivity Center 啟用 Private Service Connect 連線傳播。

或者，請考慮下列其中一種連線模式：

• 如果服務供應商支援，請改用多點存取連線模式。

• 如果服務供應商支援，請設定支援的消費者負載平衡器，並採用 Private Service Connect 後端。

如需進一步協助，請與服務製作人支援團隊或 Google Cloud 代表聯絡。