Registro y supervisión del balanceador de cargas de aplicaciones interno

En este documento, se proporciona la información que necesitas para comprender las métricas de registro y supervisión para los balanceadores de cargas de aplicaciones internos. Las métricas de registro y supervisión de los balanceadores de cargas de aplicaciones internos regionales y los balanceadores de cargas de aplicaciones internos entre regiones son las mismas.

Logging

Puedes habilitar el registro según el servicio de backend. Un mapa de URL del balanceador de cargas de aplicaciones interno único puede hacer referencia a más de un servicio de backend. Es posible que debas habilitar el registro para varios servicios de backend según la configuración.

Muestreo y recopilación de registros

Google Cloud crea muestras de los paquetes que entran y salen de las instancias de máquina virtual (VM) de backend del balanceador de cargas. Esos paquetes de muestra se procesan para generar registros.

No todos los paquetes se muestrean. Google Cloud muestrea un subconjunto variable de paquetes según la cantidad de tráfico en el host físico. La tasa de muestreo más baja posible es una de 1,024 paquetes. Google Cloud controla de forma dinámica la tasa de muestreo. No puedes ajustar la tasa de muestreo.

El muestreo de paquetes interactúa con reglas de firewall de las siguientes maneras:

  • Los paquetes se muestrean antes de que se apliquen las reglas de firewall de salida.
  • Los paquetes se muestrean después de que se apliquen las reglas de firewall de entrada.

Después del muestreo de paquetes, Google Cloud procesa los paquetes de muestra según el siguiente procedimiento:

  1. Agregación: Los paquetes de muestra se agregan durante un intervalo de cinco segundos para producir una sola entrada de flujo.

  2. Muestreo de registros configurable (secundario): Este es un segundo proceso de muestreo, en el que se muestrean los flujos. Puedes controlar la fracción de las entradas de flujo que se emiten como entradas de registro según el parámetro logConfig.sampleRate. Cuando logConfig.sampleRate es 1.0 (100%), significa que se procesan todos los paquetes de muestra.

  3. Escritura en Logging: Las entradas de registro se escriben en Cloud Logging.

Campos opcionales

Los registros contienen campos obligatorios y opcionales. En la sección ¿Qué se registra?, se enumeran los campos opcionales y los obligatorios. Siempre se incluyen todos los campos obligatorios. Puedes personalizar qué campos de metadatos opcionales.

  • Si seleccionas Include all optional, todos los campos opcionales en el formato del registro se incluyen en los registros de flujo. Cuando se agregan campos opcionales nuevos al formato del registro, los registros de flujo incluyen automáticamente los campos nuevos.

  • Si seleccionas Exclude all optional, se omiten todos los campos opcionales.

  • Si seleccionas Personalizado, puedes especificar los campos opcionales que deseas incluir, como tls.protocol,tls.cipher.

Para obtener instrucciones sobre cómo personalizar campos opcionales, consulta Habilita el registro en un servicio de backend existente.

Habilita el registro en un servicio de backend existente

Para los balanceadores de cargas de aplicaciones internos regionales, sigue estos pasos:

Console

  1. En la consola de Google Cloud, ve a la página Balanceo de cargas.

    Ir a Balanceo de cargas

  2. Haz clic en el nombre de tu balanceador de cargas.

  3. Haz clic en Editar.

  4. Haga clic en Configuración de backend.

  5. Haz clic en Editar junto al servicio de backend.

  6. Haz clic en Configuración avanzada (afinidad de sesión, tiempo de espera para el vaciado de conexiones).

  7. Haz clic en Habilitar registro.

  8. Configura una fracción de Tasa de muestreo. Puedes configurar un número de 0.0 a 1.0, en el que 0.0 significa que no se registra ninguna solicitud, y 1.0 significa que se registra el 100% de las solicitudes. El valor predeterminado es 1.0.

  9. Opcional: Para incluir todos los campos opcionales en los registros, en la sección Optional fields, haz clic en Include all optional fields.

  10. Para terminar de editar el servicio de backend, haz clic en Actualizar.

  11. Para terminar de editar el balanceador de cargas, haz clic en Actualizar.

gcloud

Para actualizar el servicio de backend para habilitar el registro, usa el comando gcloud compute backend-services update.

gcloud compute backend-services update BACKEND_SERVICE \
    --enable-logging \
    --logging-sample-rate=RATE \
    --region=REGION \
    --logging-optional=LOGGING_OPTIONAL_MODE \
    --logging-optional-fields=OPTIONAL_FIELDS

donde

  • --enable-logging habilita el registro para ese servicio de backend.
  • --logging-sample-rate te permite especificar un valor entre 0.0 y 1.0, en el que 0.0 significa que no se registra ninguna solicitud, y 1.0, que se registran todas las solicitudes. Solo es significativo con el parámetro --enable-logging. Si se habilita el registro, pero se establece la tasa de muestreo en 0.0, es lo mismo que inhabilitarlo. El valor predeterminado es 1.0.
  • --logging-optional te permite especificar los campos opcionales que deseas incluir en los registros:

    • INCLUDE_ALL_OPTIONAL para incluir todos los campos opcionales.

    • EXCLUDE_ALL_OPTIONAL para excluir todos los campos opcionales (opción predeterminada).

    • CUSTOM para incluir una lista personalizada de los campos opcionales que especifiques en OPTIONAL_FIELDS.

  • --logging-optional-fields te permite especificar una lista separada por comas de los campos opcionales que deseas incluir en los registros.

    Por ejemplo, tls.protocol,tls.cipher solo se puede configurar si LOGGING_OPTIONAL_MODE se establece como CUSTOM.

Para los balanceadores de cargas de aplicaciones internos entre regiones, sigue estos pasos:

Console

  1. En la consola de Google Cloud, ve a la página Balanceo de cargas.

    Ir a Balanceo de cargas

  2. Haz clic en el nombre de tu balanceador de cargas.

  3. Haz clic en Editar.

  4. Haga clic en Configuración de backend.

  5. Haz clic en Editar junto al servicio de backend.

  6. Haz clic en Configuración avanzada (afinidad de sesión, tiempo de espera para el vaciado de conexiones).

  7. Haz clic en Habilitar registro.

  8. Configura una fracción de Tasa de muestreo. Puedes configurar un número de 0.0 a 1.0, en el que 0.0 significa que no se registra ninguna solicitud, y 1.0 significa que se registra el 100% de las solicitudes. El valor predeterminado es 1.0.

  9. Opcional: Para incluir todos los campos opcionales en los registros, en la sección Optional fields, haz clic en Include all optional fields.

  10. Para terminar de editar el servicio de backend, haz clic en Actualizar.

  11. Para terminar de editar el balanceador de cargas, haz clic en Actualizar.

gcloud

Para actualizar el servicio de backend para habilitar el registro, usa el comando gcloud compute backend-services update.

gcloud compute backend-services update BACKEND_SERVICE \
    --enable-logging \
    --logging-sample-rate=RATE \
    --global \
    --logging-optional=LOGGING_OPTIONAL_MODE \
    --logging-optional-fields=OPTIONAL_FIELDS

donde

  • --enable-logging habilita el registro para ese servicio de backend.
  • --logging-sample-rate te permite especificar un valor entre 0.0 y 1.0, en el que 0.0 significa que no se registra ninguna solicitud, y 1.0, que se registran todas las solicitudes. Solo es significativo con el parámetro --enable-logging. Si se habilita el registro, pero se establece la tasa de muestreo en 0.0, es lo mismo que inhabilitarlo. El valor predeterminado es 1.0.
  • --logging-optional te permite especificar los campos opcionales que deseas incluir en los registros:

    • INCLUDE_ALL_OPTIONAL para incluir todos los campos opcionales.

    • EXCLUDE_ALL_OPTIONAL para excluir todos los campos opcionales (opción predeterminada).

    • CUSTOM para incluir una lista personalizada de los campos opcionales que especifiques en OPTIONAL_FIELDS.

  • --logging-optional-fields te permite especificar una lista separada por comas de los campos opcionales que deseas incluir en los registros.

    Por ejemplo, tls.protocol,tls.cipher solo se puede configurar si LOGGING_OPTIONAL_MODE se establece como CUSTOM.

Después de habilitar el registro en el servicio de backend, cada solicitud de HTTP(S) se registra a través de Cloud Logging.

Cómo ver los registros

Para ver los registros en la consola de Google Cloud, ve a la página Explorador de registros.

Los registros del balanceador de cargas de aplicaciones interno se indexan primero por red y, luego, por región.

  • Para ver los registros de todos los balanceadores de cargas de aplicaciones internos, en el primer menú desplegable, selecciona la Regla de balanceador de cargas de aplicaciones interno.
  • Para ver los registros de una sola red, selecciona la Regla de balanceador de cargas de aplicaciones interno y, luego, selecciona el nombre de una red.
  • Para ver los registros de una sola región de la red, selecciona la Regla de balanceador de cargas de aplicaciones interno > NETWORK > REGION

Los campos de registro de tipo booleano suelen aparecer solo si tienen el valor true. Si un campo booleano tiene un valor false, ese campo se omite del registro.

La codificación UTF-8 se aplica a los campos de registro. Los caracteres que no son caracteres UTF-8 se reemplazan con signos de interrogación.

Puedes configurar exportaciones de métricas basadas en registros para los registros de recursos (resource.type="internal_http_lb_rule"). Las métricas creadas se basan en el recurso “Regla de balanceador de cargas de aplicaciones interno”, que está disponible en los paneles de Cloud Monitoring:

Ir a Monitoring

¿Qué se registra?

Las entradas de registro del balanceador de cargas de aplicaciones interno contienen información útil para supervisar y depurar el tráfico HTTP(S). Los registros contienen campos obligatorios, que son los campos predeterminados de cada registro, y campos opcionales que agregan información adicional sobre tu tráfico HTTP(S). Los campos opcionales se pueden omitir para ahorrar costos de almacenamiento. Las entradas de registro contienen los siguientes tipos de información:

  • Información general que se muestra en la mayoría de los registros de Google Cloud, como la gravedad, el ID del proyecto, el número del proyecto y la marca de tiempo, como se describe en LogEntry.
  • Campos de registro de HttpRequest.

Algunos campos de registro se encuentran en formato de varios campos y poseen más de un dato en un campo específico. Por ejemplo, el campo tls tiene el formato TlsDetails, que contiene el protocolo TLS y el algoritmo de cifrado TLS en un solo campo. En la siguiente tabla de formato de registros, se describen estos campos múltiples.

Campo Tipo Tipo del campo: opcional o requerido Descripción
logName string Obligatorio Indica el nombre del recurso del registro al que pertenece esta entrada de registro.
En el formato "projects/PROJECT_ID/logs/requests".
timestamp string Obligatorio Indica el momento en que comenzó la solicitud.
severity Formato de LogSeverity Obligatorio La gravedad de la entrada de registro. La configuración predeterminada es LogSeverity.DEFAULT.
httpRequest Objeto HttpRequest Obligatorio Un proto HttpRequest que describe la solicitud de HTTP(S) que se registra.
trace string Obligatorio El nombre de recurso del seguimiento asociado a la entrada de registro, si corresponde. Si contiene un nombre de recurso relativo, se supone que está relacionado con https://tracing.googleapis.com. Ejemplo: projects/PROJECT_ID/traces/06796866738c859f2f19b7cfb3214824.

Los balanceadores de cargas de aplicaciones internos no son compatibles con este campo.

spanId string Obligatorio El ID de intervalo dentro del seguimiento asociado a la entrada de registro. Para los intervalos de Trace, esta cadena tiene el mismo formato que utiliza la API de Trace v2: una codificación hexadecimal de 16 caracteres de un array de 8 bytes, como 000000000000004a.

Los balanceadores de cargas de aplicaciones internos no son compatibles con este campo.

resource Objeto MonitoredResource Obligatorio

El recurso supervisado que produjo esta entrada de registro.

El objeto MonitoredResourceDescriptor describe el esquema de un objeto MonitoredResource a través de un nombre de tipo y un conjunto de etiquetas.

Por ejemplo, los descriptores de recursos supervisados para los balanceadores de cargas de aplicaciones internos tienen un tipo de recurso de internal_http_lb_rule y usan etiquetas de recursos para identificar el recurso real y sus atributos. Para obtener una lista de las etiquetas de recursos, consulta las Etiquetas de recursos de resource.type="internal_http_lb_rule".

jsonPayload objeto (formato Struct) Obligatorio Indica la carga útil de la entrada de registro que se expresa como un objeto JSON. El objeto JSON contiene los siguientes campos:
  • tls
  • proxyStatus
  • backendTargetProjectNumber
  • serviceDirectoryService
  • cloudFitExperiment
  • cloudFitFault
  • serviceExtensionInfo
  • mtls
string Obligatorio

El campo proxyStatus contiene una cadena que especifica por qué el balanceador de cargas de aplicaciones interno devolvió el HttpRequest.status. Este campo solo se propaga cuando el proxy muestra un código de error.

El campo no se registra si el valor es una cadena vacía. Esto puede suceder si el proxy o el backend no muestran un error o el código de error que no es 0, 4XX ni 5XX.

El campo proxyStatus tiene dos partes:

string Obligatorio El campo backendTargetProjectNumber contiene el número del proyecto que identifica al propietario del servicio de backend o del bucket de backend.
string Obligatorio El campo serviceDirectoryService contiene el nombre del servicio del Directorio de servicios en el que se configuró la falla de Cloud FIT.
string Obligatorio El campo cloudFitExperiment contiene el nombre del experimento de Cloud FIT.
string Obligatorio El campo cloudFitFault contiene el nombre de la falla insertada por un experimento de falla de Cloud FIT en esta ruta de solicitud.
ServiceExtensionInfo Obligatorio El campo serviceExtensionInfo almacena información sobre las transmisiones de gRPC del balanceador de cargas a las extensiones de servicio. Para obtener más información, consulta qué se registra con las extensiones de texto destacado.
TlsDetails Opcional El campo tls contiene la estructura TlsDetails que especifica los metadatos TLS para la conexión entre el cliente y el balanceador de cargas de aplicaciones interno. Este campo solo está disponible si el cliente usa la encriptación TLS/SSL.
MtlsDetails Opcional El campo mtls contiene el valor MtlsDetails que especifica los metadatos de mTLS para la conexión entre el cliente y el balanceador de cargas de aplicaciones interno. Este campo solo está disponible si el balanceador de cargas usa TLS mutua (mTLS) de frontend.

Formato del campo TlsDetails

Campo Formato del campo Tipo del campo: opcional o requerido Descripción
protocol string Opcional El protocolo TLS que los clientes usan para establecer una conexión con el balanceador de cargas. Los valores posibles pueden ser TLS 1.0, 1.1, 1.2, 1.3 o QUIC. Este valor se establece en NULL si el cliente no usa la encriptación TLS/SSL.
algoritmo de cifrado string Opcional El algoritmo de cifrado TLS que los clientes usan para establecer una conexión con el balanceador de cargas. Este valor se establece como NULL si el cliente no usa HTTP(S) o el cliente no usa la encriptación TLS/SSL.

Formato del campo MtlsDetails

Campo Formato del campo Tipo del campo: opcional o requerido Descripción
clientCertPresent bool Opcional

true si el cliente proporcionó un certificado durante el protocolo de enlace TLS, de lo contrario, es false.

clientCertChainVerified bool Opcional

true si la cadena de certificados de cliente se verifica con un TrustStore configurado, de lo contrario, es false.

clientCertError string Opcional

Strings predefinidas que representan las condiciones de error. Para obtener más información sobre las strings de error, consulta los modos de validación de cliente mTLS.

clientCertSha256Fingerprint string Opcional

Huella digital SHA-256 codificada en base64 del certificado de cliente.

clientCertSerialNumber string Opcional

El número de serie del certificado de cliente. Si el número de serie supera los 50 bytes, se agrega la cadena client_cert_serial_number_exceeded_size_limit a client_cert_error, y el número de serie se establece en una cadena vacía.

clientCertValidStartTime string Opcional

Marca de tiempo (string con formato de fecha RFC 3339) antes de la cual el certificado de cliente no es válido. Por ejemplo, 2022-07-01T18:05:09+00:00

clientCertValidEndTime string Opcional

Marca de tiempo (formato de string de fecha RFC 3339) después de la cual el certificado de cliente no es válido. Por ejemplo, 2022-07-01T18:05:09+00:00

clientCertSpiffeId string Opcional

El ID de SPIFFE del campo de nombre alternativo del sujeto (SAN). Si el valor no es válido o supera los 2,048 bytes, el ID de SPIFFE se establece en una string vacía.

Si el ID de SPIFFE supera los 2,048 bytes, la cadena client_cert_spiffe_id_exceeded_size_limit se agrega a client_cert_error.

clientCertUriSans string Opcional

Lista codificada en Base64 de comas de las extensiones de SAN de URI de tipo. Las extensiones SAN se extraen del certificado de cliente. El ID de SPIFFE no está incluido en el campo client_cert_uri_sans.

Si el campo client_cert_uri_sans tiene más de 512 bytes, se agrega la cadena client_cert_uri_sans_exceeded_size_limit en client_cert_error y la lista separada por comas se establece en una cadena vacía.

clientCertDnsnameSans string Opcional

Lista codificada en Base64 de comas de las extensiones de SAN de tipo DNSName. Las extensiones SAN se extraen del certificado de cliente.

Si el campo client_cert_dnsname_sans tiene más de 512 bytes, se agrega la cadena client_cert_dnsname_sans_exceeded_size_limit en client_cert_error y la lista separada por comas se establece en una cadena vacía.

clientCertIssuerDn string Opcional

Campo completo de la entidad emisora codificado en Base64 del certificado.

Si el campo client_cert_issuer_dn tiene más de 512 bytes, la cadena client_cert_issuer_dn_exceeded_size_limit se agrega a client_cert_error y client_cert_issuer_dn se establece en una cadena vacía.

clientCertSubjectDn string Opcional

Campo completo del asunto codificado en base64 del certificado.

Si el campo client_cert_subject_dn tiene más de 512 bytes, la cadena client_cert_subject_dn_exceeded_size_limit se agrega a client_cert_error y client_cert_subject_dn se establece en una cadena vacía.

clientCertLeaf string Opcional

El certificado de hoja del cliente para una conexión mTLS establecida en la que el certificado pasó la validación. La codificación del certificado cumple con el RFC 9440: el certificado binario DER está codificado con Base64 (sin saltos de línea, espacios ni otros caracteres fuera del alfabeto Base64) y delimitado por dos puntos en ambos lados.

Si client_cert_leaf excede los 16 KB sin codificación, la string client_cert_validated_leaf_exceeded_size_limit se agrega a client_cert_error y client_cert_leaf se configura como una string vacía.

clientCertChain string Opcional

La lista delimitada por comas de certificados, en orden TLS estándar, de la cadena de certificados de cliente para una conexión mTLS establecida en la que el certificado de cliente pasó la validación, sin incluir el certificado de hoja. La codificación del certificado cumple con RFC 9440.

Si el tamaño combinado de client_cert_leaf y client_cert_chain antes de que la codificación en base64 supere los 16 KB, la string client_cert_validated_chain_exceeded_size_limit se agrega a client_cert_error y client_cert_chain se configura como una string vacía.

Campo de error de proxyStatus

El campo proxyStatus contiene una cadena que especifica por qué el balanceador de cargas mostró un error. Hay dos partes en el campo proxyStatus: proxyStatus error y proxyStatus details. En esta sección, se describen las cadenas compatibles con el campo proxyStatus error.

El campo de error de proxyStatus se aplica a los siguientes balanceadores de cargas:

  • Balanceador de cargas de aplicaciones externo regional
  • Balanceador de cargas de aplicaciones interno entre regiones
  • Balanceador de cargas de aplicaciones interno regional
Error de proxyStatus Descripción Códigos de respuesta adjuntos comunes
destination_unavailable El balanceador de cargas considera que el backend no está disponible. Por ejemplo, los intentos recientes de comunicarse con el backend fallaron, o una verificación de estado podría provocar un error. 500, 503
connection_timeout Se agotó el tiempo de espera del intento del balanceador de cargas para abrir una conexión con el backend. 504
connection_terminated

La conexión del balanceador de cargas al backend finalizó antes de que se recibiera una respuesta completa.

Este proxyStatus error se muestra en cualquiera de las siguientes situaciones:

  • La conexión del balanceador de cargas al backend finalizó antes de que se recibiera una respuesta completa.
  • La conexión TLS falló en el protocolo de enlace SSL y el cliente no estableció una conexión con el balanceador de cargas.

0, 502, 503
connection_refused Se rechaza la conexión del balanceador de cargas al backend. 502, 503
connection_limit_reached

El balanceador de cargas está configurado para limitar la cantidad de conexiones que tiene al backend y se superó ese límite.

Este proxyStatus error se muestra en cualquiera de las siguientes situaciones:

  • Si algún backend está en modo de mantenimiento, el tráfico no se puede enrutar al backend.
  • Si la solicitud está limitada por una frecuencia de manera local.
  • Envoy maneja las condiciones de error, como la falta de memoria.
502, 503
destination_not_found El balanceador de cargas no puede determinar el backend adecuado para usar en esta solicitud. Por ejemplo, es posible que el backend no esté configurado. 500, 404
dns_error El balanceador de cargas encontró un error de DNS cuando intentó encontrar una dirección IP para el nombre de host del backend. 502, 503
proxy_configuration_error El balanceador de cargas encontró un error de configuración interno. 500
proxy_internal_error El balanceador de cargas encontró un error interno. 0, 500, 502
proxy_internal_response El balanceador de cargas generó la respuesta sin intentar conectarse al backend. Cualquier código de respuesta según el tipo de problema. Por ejemplo, el código de respuesta 410 significa que el backend no está disponible debido a mora de pago.
http_response_timeout El balanceador de cargas alcanzó un límite de tiempo de espera del servicio de backend configurado mientras esperaba la respuesta completa del backend. 504, 408
http_request_error El balanceador de cargas encontró un error HTTP 4xx que indica problemas con la solicitud del cliente. 400, 403, 405, 406, 408, 411, 413, 414, 415, 416, 417 o 429
http_protocol_error El balanceador de cargas encontró un error de protocolo HTTP durante la comunicación con el backend. 502
tls_protocol_error El balanceador de cargas encontró un error de TLS durante el protocolo de enlace TLS. 0
tls_certificate_error El balanceador de cargas encontró un error en el momento de verificar el certificado que presentó el servidor o el cliente cuando mTLS está habilitada. 0
tls_alert_received El balanceador de cargas encontró una alerta TLS irrecuperable durante el protocolo de enlace TLS. 0

Campo de detalles de proxyStatus

El campo proxyStatus contiene una cadena que especifica por qué el balanceador de cargas mostró un error. Hay dos partes en el campo proxyStatus: proxyStatus error y proxyStatus details. El campo proxyStatus details es opcional y se muestra solo cuando hay información adicional disponible. En esta sección, se describen las cadenas compatibles con el campo proxyStatus details.

El campo de detalles del proxyStatus se aplica a los siguientes balanceadores de cargas:

  • Balanceador de cargas de aplicaciones externo regional
  • Balanceador de cargas de aplicaciones interno regional
  • Balanceador de cargas de aplicaciones interno entre regiones
Detalles de proxyStatus Descripción Códigos de respuesta adjuntos comunes
client_disconnected_before_any_response La conexión con el cliente se interrumpió antes de que el balanceador de cargas enviara cualquier respuesta. 0
backend_connection_closed El backend cerró su conexión con el balanceador de cargas de forma inesperada. Esto puede suceder si el balanceador de cargas envía tráfico a otra entidad, como una aplicación de terceros con un tiempo de espera de TCP menor que el de 10 minutos (600 segundos) del balanceador de cargas. 502
failed_to_connect_to_backend No se pudo conectar el balanceador de cargas al backend. Esta falla incluye los tiempos de espera durante la fase de conexión. 503
failed_to_pick_backend El balanceador de cargas no pudo elegir un backend en buen estado para manejar la solicitud. 502
response_sent_by_backend La solicitud HTTP se envió mediante proxy al backend de forma correcta, y el backend mostró la respuesta. El software que se ejecuta en el backend establece el código de respuesta HTTP.
client_timed_out

La conexión entre el balanceador de cargas y el cliente superó el tiempo de espera de inactividad.

Para obtener más información acerca del balanceador de cargas de aplicaciones externo regional, consulta Tiempo de espera de keepalive de HTTP del cliente. Para obtener más información acerca del balanceador de cargas de aplicaciones interno, consulta Tiempo de espera de keepalive de HTTP del cliente.
0, 408
backend_timeout

Se agotó el tiempo de espera del backend mientras se generaba una respuesta.

502
http_protocol_error_from_backend_response La respuesta del backend contiene un error de protocolo HTTP. 501, 502
http_protocol_error_from_request La solicitud del cliente contiene un error de protocolo HTTP. 400, 503
http_version_not_supported No se admite la versión del protocolo HTTP. Solo son compatibles HTTP 0.9, 1.0, 1.1 y 2.0. 400
handled_by_identity_aware_proxy Identity-Aware Proxy (IAP) generó esta respuesta durante la verificación de la identidad del cliente antes de permitir el acceso. 200, 302, 400, 401, 403, 500, 502
invalid_request_headers

Los encabezados de la solicitud HTTP recibidos de un cliente contienen al menos un carácter que no se permite según una especificación HTTP aplicable.

Por ejemplo, los nombres de campos de encabezado que incluyen comillas dobles (") o cualquier carácter fuera del rango ASCII estándar (es decir, cualquier byte >= 0x80) no son válidos.

Para obtener más información, consulte:

400, 404
ip_detection_failed No se pudo detectar la dirección IP original. Cualquier código de respuesta posible según la naturaleza de la falla. El valor debe ser de 400 a 599.
request_body_too_large El cuerpo de la solicitud HTTP superó la longitud máxima que admite el balanceador de cargas. 413, 507
request_header_timeout Se agotó el tiempo de espera del encabezado de la solicitud porque el balanceador de cargas no recibió la solicitud completa en un plazo de 5 segundos. 408, 504
denied_by_security_policy El balanceador de cargas rechazó esta solicitud debido a una política de seguridad de Google Cloud Armor. 403
throttled_by_security_policy La regla de limitación de Google Cloud Armor bloqueó la solicitud. 429
client_cert_chain_invalid_eku El certificado de cliente o su entidad emisora no tienen un uso de clave extendido que incluya clientAuth. Para obtener más información, consulta Errores registrados para conexiones cerradas. 0
client_cert_chain_max_name_constraints_exceeded Un certificado intermedio proporcionado para la validación tenía más de 10 restricciones de nombres. Para obtener más información, consulta Errores registrados para conexiones cerradas. 0
client_cert_invalid_rsa_key_size Una hoja de cliente o un certificado intermedio tenía un tamaño de clave RSA no válido. Para obtener más información, consulta Errores registrados para conexiones cerradas. 0
client_cert_not_provided El cliente no proporcionó el certificado solicitado durante el protocolo de enlace. Para obtener más información, consulta Errores registrados para conexiones cerradas. 0
client_cert_pki_too_large La PKI que se usará para la validación tiene más de tres certificados intermedios que comparten la misma Subject y Subject Public Key Info. Para obtener más información, consulta Errores registrados para conexiones cerradas. 0
client_cert_unsupported_elliptic_curve_key Un cliente o un certificado intermedio usa una curva elíptica no compatible. Para obtener más información, consulta Errores registrados para conexiones cerradas. 0
client_cert_unsupported_key_algorithm Un cliente o un certificado intermedio usa un algoritmo que no es de RSA ni ECEC. Para obtener más información, consulta Errores registrados para conexiones cerradas. 0
client_cert_validation_failed El certificado de cliente falla la validación con TrustConfig. Para obtener más información, consulta Errores registrados para conexiones cerradas. 0
client_cert_validation_not_performed Configuraste la TLS mutua sin configurar TrustConfig. Para obtener más información, consulta Errores registrados para conexiones cerradas. 0
client_cert_validation_search_limit_exceeded Se alcanza el límite de iteración o profundidad mientras se intenta validar la cadena de certificados. Para obtener más información, consulta Errores registrados para conexiones cerradas. 0
client_cert_validation_timed_out El límite de tiempo excedido (200 ms) durante la validación de la cadena de certificados. Para obtener más información, consulta Errores registrados para conexiones cerradas. 0
tls_version_not_supported Se reconoce la versión del protocolo TLS, pero no se admite. El error da como resultado una conexión TLS cerrada. 0
unknown_psk_identity Los servidores envían este error cuando se requiere el establecimiento de la clave PSK, pero el cliente no proporciona una identidad de PSK aceptable. El error da como resultado una conexión TLS cerrada. 0
no_application_protocol Enviado por los servidores cuando una extensión "application_layer_protocol_negotiation" del cliente anuncia solo protocolos que el servidor no admite. Consulta Extensión de negociación de protocolo de la capa de aplicación TLS. El error da como resultado una conexión TLS cerrada. 0
no_certificate No se encontró ningún certificado. El error da como resultado una conexión TLS cerrada. 0
bad_certificate Un certificado no es válido o contiene firmas que no se pudieron verificar. El error da como resultado una conexión TLS cerrada. 0
unsupported_certificate Un certificado es de un tipo no compatible. El error da como resultado una conexión TLS cerrada. 0
certificate_revoked El firmante revocó un certificado. El error da como resultado una conexión TLS cerrada. 0
certificate_expired Un certificado caducó o no es válido. El error da como resultado una conexión TLS cerrada. 0
certificate_unknown Surgieron algunos problemas no especificados mientras se procesaba el certificado, por lo que es inaceptable. El error da como resultado una conexión TLS cerrada. 0
unknown_ca Se recibió una cadena de certificados válida o una cadena parcial, pero no se aceptó el certificado porque no se pudo ubicar el certificado de la AC o no coincidió con un ancla de confianza conocida. El error da como resultado una conexión TLS cerrada. 0
unexpected_message Se recibió un mensaje inapropiado, como un mensaje de protocolo de enlace incorrecto o datos de aplicaciones prematuros. El error da como resultado una conexión TLS cerrada. 0
bad_record_mac Se recibe un registro que no se puede desproteger. El error da como resultado una conexión TLS cerrada. 0
record_overflow Se recibió un registro TLSCiphertext con una longitud mayor que 2 14 +256 bytes, o se desencriptó un registro en un registro TLSPlaintext con más de 2 14 bytes (o algún otro límite negociado). El error da como resultado una conexión TLS cerrada. 0
handshake_failure No se puede negociar un conjunto aceptable de parámetros de seguridad dadas las opciones disponibles. El error da como resultado una conexión TLS cerrada. 0
illegal_parameter Un campo del protocolo de enlace era incorrecto o no era coherente con otros campos. El error da como resultado una conexión TLS cerrada. 0
access_denied Se recibió un certificado o PSK válido, pero cuando se aplicó el control de acceso, el cliente no procedió con la negociación. El error da como resultado una conexión TLS cerrada. 0
decode_error No se pudo decodificar un mensaje porque algunos campos estaban fuera del rango especificado o la longitud del mensaje era incorrecta. El error da como resultado una conexión TLS cerrada. 0
decrypt_error Falló una operación criptográfica de protocolo de enlace (sin capa de registro), lo que incluye la imposibilidad de verificar correctamente una firma o validar un mensaje finalizado o un vinculador PSK. El error da como resultado una conexión TLS cerrada. 0
insufficient_security Una negociación falló específicamente porque el servidor requiere parámetros más seguros que los que admite el cliente. El error da como resultado una conexión TLS cerrada. 0
inappropriate_fallback Enviado por un servidor en respuesta a un reintento de conexión no válido de un cliente. El error da como resultado una conexión TLS cerrada. 0
user_cancelled El usuario cancela el protocolo de enlace por algún motivo no relacionado con una falla del protocolo. El error da como resultado una conexión TLS cerrada. 0
missing_extension Enviado por extremos que reciben un mensaje de protocolo de enlace que no contiene una extensión que es obligatorio enviar para la versión TLS ofrecida o para otros parámetros negociados. El error da como resultado una conexión TLS cerrada. 0
unsupported_extension Enviado por extremos que reciben cualquier mensaje de protocolo de enlace que contenga una extensión cuya inclusión se sabe que está prohibida en el mensaje de protocolo de enlace determinado, o que incluya cualquier extensión en ServerHello o Certificate que no se ofreció primero en el ClientHello o la CertificateRequest correspondiente. El error da como resultado una conexión TLS cerrada. 0
unrecognized_name Enviado por los servidores cuando no existe un servidor que pueda identificarse con el nombre que proporciona el cliente a través de la extensión “server_name”. Consulta Definiciones de la extensión TLS. 0
bad_certificate_status_response Enviado por clientes cuando el servidor proporciona una respuesta de OCSP no válida o inaceptable a través de la extensión "status_request". Consulta Definiciones de la extensión TLS. El error da como resultado una conexión TLS cerrada. 0
load_balancer_configured_resource_limits_reached El balanceador de cargas alcanzó los límites de recursos configurados, como la cantidad máxima de conexiones. 400, 500, 503

Entradas de registro de la conexión TLS con errores

Cuando la conexión TLS entre el cliente y el balanceador de cargas falla antes de que se seleccione cualquier backend, las entradas de registro registran los errores. Puedes configurar los servicios de backend con diferentes tasas de muestreo de registro. Cuando falla una conexión TLS, la tasa de muestreo de registro de la conexión TLS con errores es la tasa de muestreo más alta para cualquier servicio de backend. Por ejemplo, si configuraste dos servicios de backend con una tasa de muestreo de registro como 0.3 y 0.5, la tasa de muestreo de registro de conexión TLS con errores es 0.5.

Puedes identificar las conexiones TLS con errores si verificas estos detalles de la entrada de registro:

  • El tipo de error de proxyStatus es tls_alert_received, tls_certificate_error, tls_protocol_error o connection_terminated.
  • No hay información de backend.

En el siguiente ejemplo, se muestra una entrada de registro de TLS con errores con el campo proxyStatus error:

   json_payload:    {
   @type: "type.googleapis.com/google.cloud.loadbalancing.type.LoadBalancerLogEntry"
   proxyStatus: "error="tls_alert_received"; details="server_to_client: handshake_failure""
   log_name: "projects/529254013417/logs/mockservice.googleapis.com%20name"
   }
   http_request {
    latency {
      nanos: 12412000
    }
    protocol: "HTTP/1.0"
    remote_ip: "127.0.0.2"
   }
  resource {
    type: "mock_internal_http_lb_rule"
    labels {
      backend_name: ""
      backend_scope: ""
      backend_scope_type: "UNKNOWN"
      backend_target_name: ""
      backend_target_type: "UNKNOWN"
      backend_type: "UNKNOWN"
      forwarding_rule_name: "l7-ilb-https-forwarding-rule-dev"
      matched_url_path_rule: "UNKNOWN"
      network_name: "lb-network"
      region: "REGION"
      target_proxy_name: "l7-ilb-https-proxy-dev"
      url_map_name: ""
    }
  }
  timestamp: "2023-08-15T16:49:30.850785Z"
  

Etiquetas de recursos

En la siguiente tabla, se enumeran las etiquetas de recursos de resource.type="internal_http_lb_rule".

Campo Tipo Descripción
network_name string El nombre de la red de VPC del balanceador de cargas.
project_id string El identificador del proyecto de Google Cloud asociado a este recurso.
region string La región en la que se define el balanceador de cargas.
url_map_name string El nombre del objeto del mapa de URL configurado para seleccionar un servicio de backend.
forwarding_rule_name string El nombre del objeto de regla de reenvío.
target_proxy_name string El nombre del objeto proxy de destino al que hace referencia la regla de reenvío.
matched_url_path_rule string La regla de ruta de acceso del mapa de URL o la regla de ruta configurada como parte de la clave del mapa de URL. Puede ser UNMATCHED o UNKNOWN como resguardos.
  • UNMATCHED hace referencia a una solicitud que no coincide con ninguna regla de ruta de URL, por lo que usa la regla de ruta de acceso predeterminada.
  • UNKNOWN indica un error interno.
backend_target_name string El nombre del backend seleccionado para controlar la solicitud, en función de la regla de ruta de acceso del mapa de URL o la regla de ruta que coincide con la solicitud.
backend_target_type string El tipo de destino de backend (BACKEND_SERVICE / UNKNOWN).
backend_name string El nombre del grupo de instancias de backend o NEG.
backend_type string

El tipo de backend, ya sea un grupo de instancias o un NEG, o un tipo desconocido.

Cloud Logging registra las solicitudes cuando backend_type es UNKNOWN, incluso si el registro está inhabilitado. Por ejemplo, si un cliente cierra la conexión con el balanceador de cargas antes de que el balanceador de cargas pueda elegir un backend, backend_type se establece en UNKNOWN y se registra la solicitud. Estos registros proporcionan información de depuración útil sobre las solicitudes de clientes que se cerraron porque el balanceador de cargas no pudo seleccionar un backend.

backend_scope string El alcance del backend (ya sea un nombre de zona o de región). Puede ser UNKNOWN siempre que se desconozca backend_name.
backend_scope_type string El alcance del backend (REGION/ZONE). Puede ser UNKNOWN siempre que se desconozca backend_name.
backend_target_cross_project_id String El ID del proyecto del bucket o servicio de destino de backend. Este campo solo está disponible si el recurso de destino del backend se crea en un proyecto diferente del proyecto en el que se crea el recurso url_map.

Registros de solicitudes de la política de autorización

El objeto authz_info en la carga útil de JSON de la entrada de registro del balanceador de cargas contiene información sobre las políticas de autorización. Puedes configurar métricas basadas en registros para el tráfico que estas políticas permiten o deniegan.

Campo Tipo Descripción
authz_info.policies[] objeto Es la lista de políticas que coinciden con la solicitud.
authz_info.policies[].name string Es el nombre de la política de autorización que coincide con la solicitud.
El nombre está vacío por los siguientes motivos:
  • No hay ninguna política de ALLOW que coincida con la solicitud, por lo que se rechaza.
  • No hay ninguna política de DENY que coincida con la solicitud, y esta se permite.
authz_info.policies[].result enum El resultado puede ser ALLOWED o DENIED.
authz_info.policies[].details string Los detalles incluyen lo siguiente:
  • allowed_as_no_deny_policies_matched_request
  • denied_as_no_allow_policies_matched_request
  • denied_by_authz_extension
  • denied_by_cloud_iap
authz_info.overall_result enum El resultado puede ser ALLOWED o DENIED.

Visualiza los registros para la validación del certificado de cliente de mTLS

Para ver los errores registrados para conexiones cerradas durante la validación mutua del certificado de cliente de TLS, completa los siguientes pasos.

Console

  1. En la consola de Google Cloud, ve a la página Explorador de registros.

    Ir al Explorador de registros

  2. Haz clic en el botón de activación Mostrar consulta para habilitar el editor de consultas.

  3. Pega lo siguiente en el campo Consulta. Reemplaza FORWARDING_RULE_NAME por el nombre de la regla de reenvío.

    jsonPayload.statusDetails=~"client_cert"
    jsonPayload.@type="type.googleapis.com/google.cloud.loadbalancing.type.LoadBalancerLogEntry"
    resource.labels.forwarding_rule_name=FORWARDING_RULE_NAME
    
  4. Haz clic en Ejecutar consulta.

Supervisión

Los balanceadores de cargas de aplicaciones internos exportan los datos de supervisión a Monitoring.

Se pueden usar las métricas de Monitoring para los siguientes fines:

  • Evaluar la configuración, el uso y el rendimiento de un balanceador de cargas
  • Solucionar problemas
  • Mejorar el uso de recursos y la experiencia del usuario

Además de los paneles predefinidos en Monitoring, puedes crear paneles personalizados, configurar alertas y consultar las métricas a través de la API de Monitoring.

Visualiza las métricas de Cloud Monitoring

Console

Para consultar las métricas de un recurso supervisado usando el Explorador de métricas, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Explorador de métricas:

    Ir al Explorador de métricas

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Monitoring.

  2. En el elemento Métrica, expande el menú Seleccionar una métrica, ingresa Internal Application Load Balancer Rule en la barra de filtros y, luego, usa los submenús para seleccionar un métrica y tipo de recurso específicos:
    1. En el menú Recursos activos, selecciona Balanceador interno de cargas de aplicaciones.
    2. Para seleccionar una métrica, usa los menús Categorías de métricas activas y Métricas activas.
    3. Haz clic en Aplicar.
  3. Para quitar series temporales de la pantalla, usa el elemento Filtro.

  4. Para combinar series temporales, usa los menús del elemento Agregación. Por ejemplo, para mostrar el uso de CPU de tus VM, en función de su zona, configura el primer menú como Mean y el segundo menú como zona.

    Todas las series temporales se muestran cuando el primer menú del elemento Agregación se establece en Sin agregar. La configuración predeterminada para el elemento Agregación está determinada por el tipo de métrica que elegiste.

  5. Para obtener cuotas y otras métricas que informen una muestra por día, haz lo siguiente:
    1. En el panel Mostrar, establece el Tipo de widget en Gráfico de barras apiladas.
    2. Establece el período en al menos una semana.

Define las políticas de alertas

Console

Puedes crear políticas de alertas para supervisar los valores de las métricas y recibir notificaciones cuando estas infrinjan una condición.

  1. En la consola de Google Cloud, ve a la página  Alertas.

    Ir a las Alertas

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Monitoring.

  2. Si aún no creas canales de notificaciones y deseas recibir notificaciones, haz clic en Edit Notification Channels y agrega tus canales de notificaciones. Regresa a la página Alertas después de agregar tus canales.
  3. En la página Alertas, elige Crear política.
  4. Para elegir la métrica, expande el menú Seleccionar una métrica y, luego, haz lo siguiente:
    1. Para limitar el menú a las entradas relevantes, ingresa Internal Application Load Balancer Rule en la barra de filtros. Si no hay resultados después de que filtres el menú, inhabilita el botón de activación Show only active resources & metrics.
    2. Para el Tipo de recurso, selecciona Regla de balanceador de cargas de aplicaciones interno.
    3. Selecciona una Categoría de métrica y una Métrica. Luego, selecciona Aplicar.
  5. Haz clic en Siguiente.
  6. La configuración de la página Configure alert trigger determina cuándo se activa la alerta. Selecciona un tipo de condición y, si es necesario, especifica un umbral. Para obtener más información, consulta Crea políticas de alertas de límite de métrica.
  7. Haz clic en Siguiente.
  8. Para agregar notificaciones a tu política de alertas, haz clic en Canales de notificaciones (opcional). En el diálogo, elige uno o más canales de notificaciones del menú y, luego, haz clic en Aceptar.
  9. Opcional: Actualiza la Duración del cierre automático de incidentes. Este campo determina cuándo Monitoring cierra los incidentes ante la ausencia de datos de métricas.
  10. Opcional: Haz clic en Documentación y, luego, agrega la información que deseas incluir en un mensaje de notificación.
  11. Haz clic en Nombre de la alerta y, luego, ingresa un nombre para la política de alertas.
  12. Haz clic en Crear política.
Para obtener más información, consulta Políticas de alertas.

Define paneles personalizados de Monitoring

Console

Puedes crear paneles personalizados de Monitoring a través de métricas del balanceador de cargas de aplicaciones interno:

  1. En la consola de Google Cloud, ve a la página Monitoring.

    Ir a Monitoring

  2. Selecciona Paneles > Crear panel.

  3. Haz clic en Agregar gráfico.

  4. Ponle un título al gráfico.

  5. Selecciona métricas y filtros. Para las métricas, el tipo de recurso es Balanceador de cargas de HTTP(S) interno.

  6. Haz clic en Guardar.

Frecuencia y retención de informes de métricas

Las métricas de los balanceadores de cargas se exportan a Monitoring en lotes de nivel de detalle de 1 minuto. Los datos de supervisión se conservan durante seis (6) semanas. El panel proporciona un análisis de datos en intervalos predeterminados de 1 hora (una hora), 6 horas (seis horas), 1 día (un día), 1 semana (una semana) y 6 semanas (seis semanas). Puedes solicitar un análisis de forma manual en cualquier intervalo de 6 semanas a 1 minuto.

Supervisión de métricas para balanceadores de cargas de aplicaciones internos

Las siguientes métricas para balanceadores de cargas de aplicaciones internos se informan en Monitoring:

Métrica FQDN Descripción
Recuento de solicitudes loadbalancing.googleapis.com/https/internal/request_count La cantidad de solicitudes que entregó el balanceador de cargas de aplicaciones interno.
Recuento de bytes de solicitud loadbalancing.googleapis.com/https/internal/request_bytes La cantidad de bytes enviados como solicitudes de clientes al balanceador de cargas de aplicaciones interno.
Recuento de bytes de respuesta loadbalancing.googleapis.com/https/internal/response_bytes La cantidad de bytes enviados como respuestas del balanceador de cargas de HTTP(S) interno al cliente
Latencias totales loadbalancing.googleapis.com/https/internal/total_latencies Una distribución de la latencia, en milisegundos. La latencia se mide desde el momento en que el proxy recibe el primer byte de la solicitud hasta el momento en que el proxy envía el último byte de la respuesta.
Latencias de backend loadbalancing.googleapis.com/https/internal/backend_latencies Una distribución de la latencia, en milisegundos. La latencia se mide desde el momento en el que el proxy envía el primer byte de la solicitud al backend hasta el momento en que el proxy recibe el último byte de la respuesta del backend.

Filtrado de las dimensiones para las métricas del balanceador de cargas de aplicaciones interno

Las métricas se agregan para cada balanceador de cargas de aplicaciones interno. Puedes filtrar métricas agregadas por las dimensiones siguientes.

Propiedad Descripción
BACKEND_SCOPE La zona o región de Google Cloud del grupo de backend que entregó la solicitud del cliente, o una string especial para casos en los que no se asignó el grupo de backend. Ejemplos: us-central1-a, europe-west1-b, asia-east1 y UNKNOWN
PROXY_REGION Región del balanceador de cargas de aplicaciones interno, del cliente y del backend. Ejemplos: us-central1, europe-west1 o asia-east1
BACKEND El nombre del grupo de instancias de backend o NEG que entregó la solicitud del cliente
BACKEND_TARGET El nombre del servicio de backend que entregó la solicitud del cliente
MATCHED_URL_RULE La regla de ruta de acceso del mapa de URL o la regla de ruta que coincidió con el prefijo de la solicitud HTTP(S) del cliente (hasta 50 caracteres).

La métrica de Response code class fraction es compatible con todo el balanceador de cargas. No se admite más nivel de detalle.

¿Qué sigue?