VPC 访问连接器无法正常运行

Question

尝试在 GCP 区域us-central1中创建 VPC 访问连接器时出现以下错误：

An internal error occurred: VPC Access connector failed to get healthy. Please check GCE quotas, logs and org policies and recreate.

我还尝试在区域 us-east1 中创建 VPC 访问连接器，但遇到了同样的问题。

我尝试在gcp 问题门户上搜索现有错误，但找不到此问题。

我已尝试遵循图像访问限制，但我没有组织，因此我无法编辑所需的策略。

Answer 1

它可能是内部 IP su.net 分配问题。 根据文档，此 su.net 必须由连接器独占使用

每个 VPC 连接器都需要自己的 /28 su.net 来放置连接器实例； 除了 VPC 连接器之外，这个 su.net 上不能有任何其他资源。 如果您不使用共享 VPC，您可以创建一个 su.net 供连接器使用，或者为连接器指定一个未使用的自定义 IP 范围以创建一个 su.net 供其使用。 如果您选择自定义 IP 范围，则创建的 su.net 是隐藏的，不能用于防火墙规则和 NAT 配置。

或者也可能是您缺少所需的图像访问限制。 在这种情况下，您可以按照此分步指南设置图像访问限制

1. Go 到组织政策页面。
2. 在策略列表中，单击定义受信任的图像项目。
3. 单击编辑以自定义您现有的可信图像约束。
4. 在“编辑”页面上，select 自定义。
5. 在 Policy values 下拉列表中，select Custom 以设置对特定图像项目的约束。
6. 在策略类型下拉列表中，指定一个值，如下所示：
   -要限制指定的图像项目，select Deny 。
   -要取消对指定图像项目的限制，select Allow 。
   
7. 在自定义值字段中，使用 projects/IMAGE_PROJECT 格式输入图像项目的名称。 将 IMAGE_PROJECT 替换为您想要的图像项目，在本例中为“serverless-vpc-access-images”以设置约束。 如果您正在设置项目级别的约束，那么它们可能会与您的组织或文件夹上设置的现有约束冲突。
8. 单击新建策略值以添加多个图像项目。
9. 单击保存以应用约束。

此外，请确保您的 VPC.network 上没有优先级在 1000 之前的防火墙规则拒绝从您的连接器的 IP 范围进入。

Answer 2

我有同样的问题。 阅读此线程后，我检查了具有完全相同配置的不同区域：

Network: Default
Subnet: Custom IP range
IP range: 10.8.0.0/28

我可以确认更改区域可以解决问题。 就我而言，我成功地进行了australia-southeast2 。 基本上，在 Google Cloud 中创建 VPC 连接器时，我们有一些区域可以工作，而另一些则不能。

这可能是某些 Google 区域的容量问题。