本文档提供了您了解内部应用负载均衡器的日志记录和监控指标所需的信息。 区域级内部应用负载均衡器和跨区域内部应用负载均衡器的日志记录和监控指标相同。
日志记录
您可以逐个后端服务地启用日志记录功能。一个内部应用负载均衡器的网址映射可引用多个后端服务。根据您的具体配置,您可能需要为多个后端服务启用日志记录功能。
日志采样和收集
Google Cloud 会对离开和进入负载均衡器后端虚拟机 (VM) 实例的数据包进行采样。系统会处理这些采样数据包以生成日志。
不会对每个数据包都进行采样。Google Cloud 会根据物理主机上的流量大小对可变的数据包子集进行采样。可能达到的数据包最低采样率为 1/1,024。采样率由 Google Cloud 动态控制。您无法调整采样率。
数据包采样通过以下方式与防火墙规则进行交互:
- 在应用出站防火墙规则之前对数据包进行采样。
- 在应用入站防火墙规则之后对数据包进行采样。
数据包采样后,Google Cloud 会按照以下过程处理采样的数据包:
聚合:采样数据包在五秒间隔内进行聚合,以生成单个流条目。
可配置(次要)日志采样:这是第二个采样流程,用于采样流。您可以根据 logConfig.sampleRate 参数控制系统以日志条目形式发出的流条目的比例。当
logConfig.sampleRate为1.0(100%) 时,表示系统会处理所有采样的数据包。写入 Logging:日志条目会写入 Cloud Logging。
可选字段
日志记录包含必填字段和可选字段。记录的内容部分列出了哪些字段是可选字段,以及哪些是必填字段。所有必填字段始终包含在内。您可以自定义要保留哪些可选字段。
如果您选择包括所有可选字段,则日志记录格式中的所有可选字段都将包含在流日志中。向记录格式添加新的可选字段后,流日志会自动包含新字段。
如果您选择排除所有可选字段,则所有可选字段都将被省略。
如果您选择自定义,则可以指定要包含的可选字段,例如
tls.protocol,tls.cipher。
如需了解如何自定义可选字段,请参阅在现有后端服务上启用日志记录。
针对现有后端服务启用日志记录功能
对于区域级内部应用负载均衡器,请按以下步骤操作:
控制台
在 Google Cloud 控制台中,转到负载均衡页面。
点击您的负载均衡器的名称。
点击 修改。
点击后端配置。
点击后端服务旁边的 修改。
点击高级配置(会话亲和性、连接排空超时时间)。
点击启用日志记录。
设置采样率比例。您可以设置
0.0到1.0的数字,其中0.0表示不在日志中记录任何请求,1.0表示在日志中记录所有请求。默认值为1.0。可选:如需在日志中包含所有可选字段,请在可选字段部分中,点击包括所有可选字段。
如需完成后端服务的修改,请点击更新。
如需完成负载均衡器修改,请点击更新。
gcloud
如需更新后端服务以启用日志记录功能,请使用 gcloud compute
backend-services update 命令。
gcloud compute backend-services update BACKEND_SERVICE \
--enable-logging \
--logging-sample-rate=RATE \
--region=REGION \
--logging-optional=LOGGING_OPTIONAL_MODE \
--logging-optional-fields=OPTIONAL_FIELDS
其中
--enable-logging表示对该后端服务启用日志记录功能。--logging-sample-rate接受介于0.0到1.0之间的值,其中0.0表示不在日志中记录任何请求,1.0表示在日志中记录所有请求。只有搭配使用--enable-logging参数时才有意义。启用日志记录功能的情况下,如果将采样率设置为0.0,那么效果将相当于停用日志记录功能。默认值为1.0。--logging-optional允许您指定要包括在日志中的可选字段:INCLUDE_ALL_OPTIONAL:包括所有可选字段。EXCLUDE_ALL_OPTIONAL(默认值):排除所有可选字段。CUSTOM:包括您在OPTIONAL_FIELDS中指定的可选字段的自定义列表。
--logging-optional-fields允许您以逗号分隔列表的形式指定要包括在日志中的可选字段。例如,仅当
LOGGING_OPTIONAL_MODE设置为CUSTOM时才能设置tls.protocol,tls.cipher。
对于跨区域内部应用负载均衡器,请按以下步骤操作:
控制台
在 Google Cloud 控制台中,转到负载均衡页面。
点击您的负载均衡器的名称。
点击 修改。
点击后端配置。
点击后端服务旁边的 修改。
点击高级配置(会话亲和性、连接排空超时时间)。
点击启用日志记录。
设置采样率比例。您可以设置
0.0到1.0的数字,其中0.0表示不在日志中记录任何请求,1.0表示在日志中记录所有请求。默认值为1.0。可选:如需在日志中包含所有可选字段,请在可选字段部分中,点击包括所有可选字段。
如需完成后端服务的修改,请点击更新。
如需完成负载均衡器修改,请点击更新。
gcloud
如需更新后端服务以启用日志记录功能,请使用 gcloud compute
backend-services update 命令。
gcloud compute backend-services update BACKEND_SERVICE \
--enable-logging \
--logging-sample-rate=RATE \
--global \
--logging-optional=LOGGING_OPTIONAL_MODE \
--logging-optional-fields=OPTIONAL_FIELDS
其中
--enable-logging表示对该后端服务启用日志记录功能。--logging-sample-rate接受介于0.0到1.0之间的值,其中0.0表示不在日志中记录任何请求,1.0表示在日志中记录所有请求。只有搭配使用--enable-logging参数时才有意义。启用日志记录功能的情况下,如果将采样率设置为0.0,那么效果将相当于停用日志记录功能。默认值为1.0。--logging-optional允许您指定要包括在日志中的可选字段:INCLUDE_ALL_OPTIONAL:包括所有可选字段。EXCLUDE_ALL_OPTIONAL(默认值):排除所有可选字段。CUSTOM:包括您在OPTIONAL_FIELDS中指定的可选字段的自定义列表。
--logging-optional-fields允许您以逗号分隔列表的形式指定要包括在日志中的可选字段。例如,仅当
LOGGING_OPTIONAL_MODE设置为CUSTOM时才能设置tls.protocol,tls.cipher。
为后端服务启用日志记录功能后,每个 HTTP(S) 请求都会通过 Cloud Logging 记录到日志中。
如何查看日志
如需查看日志,请在 Google Cloud 控制台中转到日志浏览器页面。
内部应用负载均衡器日志会相继按网络和区域编入索引。
- 如需查看所有内部应用负载均衡器的日志,请在第一个下拉菜单中选择内部应用负载均衡器规则。
- 如需仅查看一个网络的日志,请选择内部应用负载均衡器规则,然后选择网络的名称。
- 如需仅查看网络中一个区域的日志,请选择内部应用负载均衡器规则 >
NETWORK>REGION。
布尔值类型的日志字段通常仅在其值为 true 时才会显示。如果某个布尔值字段的值为 false,则日志中将不会出现该字段。
系统为日志字段强制执行 UTF-8 编码。非 UTF-8 字符将被替换为问号。
您可以为资源日志 (resource.type="internal_http_lb_rule") 配置导出基于日志的指标。这些指标是基于“内部应用负载均衡器规则”资源创建的,您可以在 Cloud Monitoring 信息中心下找到该资源:
记录的内容
内部应用负载均衡器日志条目包含对监控和调试 HTTP(S) 流量有用的信息。日志记录包含必填字段(这些字段是每个日志记录的默认字段)和可选字段(用于添加有关 HTTP(S) 流量的其他信息)。可以省略可选字段,以节省存储费用。 日志条目包含以下类型的信息:
- 大多数 Google Cloud 日志中显示的常规信息,例如严重性、项目 ID、项目编号和时间戳(如 LogEntry 所述)。
- HttpRequest 日志字段。
某些日志字段采用多字段格式,在给定字段中包含多段数据。例如,tls 字段采用 TlsDetails 格式,它在单个字段中包含 TLS 协议和 TLS 加密。以下记录格式表介绍了这些采用多字段格式的字段。
| 字段 | 类型 | 字段类型:必填或可选 | 说明 |
|---|---|---|---|
logName
|
字符串 | 需要 |
此日志条目所属日志的资源名称。 采用 "projects/PROJECT_ID/logs/requests" 的形式。 |
timestamp
|
字符串 | 需要 | 请求的开始时间。 |
severity
|
LogSeverity 格式 | 需要 |
日志条目的严重性。默认值为 LogSeverity.DEFAULT。 |
httpRequest
|
HttpRequest 对象 | 需要 | 一个 HttpRequest proto,用于描述要在日志中记录的 HTTP(S) 请求。 |
trace
|
字符串 | 需要 |
与日志条目关联的跟踪记录的资源名称(如果有)。如果其中包含相对资源名称,则假定该名称相对于 https://tracing.googleapis.com。示例:projects/PROJECT_ID/traces/06796866738c859f2f19b7cfb3214824。内部应用负载均衡器不支持此字段。 |
spanId
|
字符串 | 需要 |
与日志条目相关联的跟踪记录内的 Span ID。对于 Trace span,这与 Trace API v2 所用格式相同:一个 8 字节数组的十六进制编码,长度为 16 个字符,例如 000000000000004a。内部应用负载均衡器不支持此字段。 |
resource
|
MonitoredResource 对象 | 需要 |
生成此日志条目的受监控的资源。
例如,内部应用负载均衡器的受监控资源描述符的资源类型为 |
| jsonPayload | object (Struct format) | 需要 | 以 JSON 对象表示的日志条目载荷。JSON 对象包含以下字段:
|
| 字符串 | 需要 |
如果该值是空字符串,则系统不会记录该字段。如需了解详情,请参阅 proxyStatus 消息。 |
|
| 字符串 | 需要 | backendTargetProjectNumber 字段包含用于标识后端服务或后端存储桶所有者的项目编号。 |
|
| 字符串 | 需要 | serviceDirectoryService 字段包含配置了 Cloud FIT 故障的 Service Directory 服务的名称。 |
|
| 字符串 | 需要 | cloudFitExperiment 字段包含 Cloud FIT 实验的名称。 |
|
| 字符串 | 需要 | cloudFitFault 字段包含此请求路径中由 Cloud FIT 故障实验注入的故障的名称。 |
|
| ServiceExtensionInfo | 需要 | serviceExtensionInfo 字段存储有关从负载均衡器到 Service Extensions 的 gRPC 流的信息。有关详情,请参阅
系统针对附加宣传信息记录的内容。 |
|
| TlsDetails | 可选 | tls 字段包含 TlsDetails,用于指定客户端与内部应用负载均衡器之间的连接的 TLS 元数据。仅当客户端使用 TLS/SSL 加密时,此字段才可用。 |
|
| MtlsDetails | 可选 | mtls 字段包含 MtlsDetails 值,用于指定客户端与内部应用负载均衡器之间的连接的 mTLS 元数据。仅当负载均衡器使用前端双向 TLS (mTLS) 时,此字段才可用。
|
TlsDetails 字段格式
| 字段 | 字段格式 | 字段类型:必填或可选 | 说明 |
|---|---|---|---|
| protocol | 字符串 | 可选 | 客户端用于与负载均衡器建立连接的 TLS 协议。可能的值包括 TLS 1.0, 1.1, 1.2,
1.3 或 QUIC。如果客户端未使用 TLS/SSL 加密,则此值设置为 NULL。 |
| 加密方式 | 字符串 | 可选 | 客户端用于与负载均衡器建立连接的 TLS 加密。如果客户端未使用 HTTP(S) 或客户端未使用 TLS/SSL 加密,则此值设置为 NULL。 |
MtlsDetails 字段格式
| 字段 | 字段格式 | 字段类型:必填或可选 | 说明 |
|---|---|---|---|
| clientCertPresent | 布尔值 | 可选 | 如果客户端在 TLS 握手期间提供了证书,则为 |
| clientCertChainVerified | 布尔值 | 可选 | 如果根据配置的 |
| clientCertError | 字符串 | 可选 | 代表错误情况的预定义字符串。如需详细了解错误字符串,请参阅 mTLS 客户端验证模式。 |
| clientCertSha256Fingerprint | 字符串 | 可选 | 客户端证书的 Base64 编码 SHA-256 指纹。 |
| clientCertSerialNumber | 字符串 | 可选 | 客户端证书的序列号。如果序列号长度超过 50 字节,则将字符串 |
| clientCertValidStartTime | 字符串 | 可选 | 在此时间戳(RFC 3339 日期字符串格式)之前,客户端证书无效。
例如 |
| clientCertValidEndTime | 字符串 | 可选 | 在此时间戳(RFC 3339 日期字符串格式)之后,客户端证书无效。
例如 |
| clientCertSpiffeId | 字符串 | 可选 | 主题备用名称 (SAN) 字段中的 SPIFFE ID。如果值无效或超过 2048 字节,则 SPIFFE ID 设置为空字符串。 如果 SPIFFE ID 长度超过 2048 字节,则将字符串 |
| clientCertUriSans | 字符串 | 可选 | URI 类型的 SAN 扩展的 Base64 编码列表(以英文逗号分隔)。SAN 扩展从客户端证书中提取。
如果 |
| clientCertDnsnameSans | 字符串 | 可选 | DNSName 类型的 SAN 扩展的 Base64 编码列表(以英文逗号分隔)。SAN 扩展从客户端证书中提取。 如果 |
| clientCertIssuerDn | 字符串 | 可选 | 证书中采用 Base64 编码的完整“颁发者”字段。 如果 |
| clientCertSubjectDn | 字符串 | 可选 | 证书中采用 Base64 编码的完整“主题”字段。 如果 |
| clientCertLeaf | 字符串 | 可选 | 已建立的 mTLS 连接(证书在其中通过了验证)的客户端叶证书。证书编码符合 RFC 9440 标准:二进制 DER 证书使用 Base64 编码(不含换行符、空格或 Base64 字母表之外的其他字符),两侧都用英文冒号分隔。 如果 |
| clientCertChain | 字符串 | 可选 | 已建立的 mTLS 连接(客户端证书在其中通过了验证)的客户端证书链的英文逗号分隔证书列表(按标准 TLS 顺序排列),不包括叶证书。证书编码符合 RFC 9440 标准。 如果 |
资源标签
下表列出了 resource.type="internal_http_lb_rule" 的资源标签。
| 字段 | 类型 | 说明 |
|---|---|---|
network_name |
字符串 | 负载均衡器的 VPC 网络名称。 |
project_id | 字符串 | 与相应资源关联的 Google Cloud 项目的标识符。 |
region |
字符串 | 在其中定义负载均衡器的区域。 |
url_map_name | 字符串 | 配置为选择一项后端服务的网址映射对象的名称。 |
forwarding_rule_name |
字符串 | 转发规则对象的名称。 |
target_proxy_name | 字符串 | 转发规则引用的目标代理对象的名称。 |
matched_url_path_rule |
字符串 |
作为网址映射键的一部分配置的网址映射路径规则或路由规则。可以是 UNMATCHED 或 UNKNOWN(用作回退)。
|
backend_target_name |
字符串 | 根据与请求匹配的网址映射路径规则或路由规则,为处理请求而选择的后端的名称。 |
backend_target_type | 字符串 | 后端目标的类型 (BACKEND_SERVICE/UNKNOWN)。 |
backend_name |
字符串 | 后端实例组或网络端点组 (NEG) 的名称。 |
backend_type |
字符串 | 后端类型,实例组或 NEG,或者未知。 当 |
backend_scope |
字符串 |
后端的范围,可以是可用区名称或区域名称。如果 backend_name 未知,该字段可能为 UNKNOWN。 |
backend_scope_type |
字符串 |
后端的范围 (REGION/ZONE)。如果 backend_name 未知,该字段可能为 UNKNOWN。
|
proxyStatus 消息
proxyStatus 字段中记录的字符串如下:
| proxyStatus | 含义 | 通用的附带响应代码 |
|---|---|---|
destination_unavailable
|
负载均衡器认为后端不可用;例如,最近尝试与后端通信失败,或者健康检查可能指示失败。 | 500、503 |
connection_timeout
|
负载均衡器尝试打开与后端的连接时超时。 | 504 |
connection_terminated
|
在收到完整响应之前,负载均衡器与后端的连接已关闭。 | 502、503 |
connection_refused
|
负载均衡器与后端的连接被拒绝。 | 502、503 |
connection_limit_reached
|
负载均衡器配置为限制其与后端的连接数,并且已超出该限制。 | 502、503 |
destination_not_found
|
负载均衡器无法确定要用于此请求的适当后端,例如可能没有配置后端。 | 500、404 |
dns_error
|
负载均衡器在尝试查找后端主机名的 IP 地址时遇到 DNS 错误。 | 502、503 |
http_response_timeout
|
负载均衡器已达到配置的时间限制,正在等待后端的完整响应。 | 504、408 |
http_request_error
|
负载均衡器将代表客户端生成客户端 (4xx) 响应。 | 400、403、405、406、408、411、413、414、415、416、417 或 429 |
proxy_configuration_error
|
负载均衡器存在与其配置相关的错误。 | 500 |
http_protocol_error
|
负载均衡器在与后端通信时遇到 HTTP 协议错误。 | 502 |
proxy_internal_error
|
负载均衡器遇到内部错误。 | 500、502 |
proxy_internal_response
|
负载均衡器在未尝试连接到后端的情况下生成响应。 | 根据问题类型,您可能会看到任何 HTTP 状态代码。例如,HTTP“410”状态代码表示后端因欠费而不可用。 |
查看 mTLS 客户端证书验证的日志
如需查看双向 TLS 客户端证书验证期间关闭连接时记录的错误,请完成以下步骤。
控制台
在 Google Cloud 控制台中,转到日志浏览器页面。
点击显示查询切换开关以启用查询编辑器。
将以下内容粘贴到查询字段中。将
FORWARDING_RULE_NAME替换为转发规则的名称。jsonPayload.statusDetails=~"client_cert" jsonPayload.@type="type.googleapis.com/google.cloud.loadbalancing.type.LoadBalancerLogEntry" resource.labels.forwarding_rule_name=FORWARDING_RULE_NAME
点击运行查询。
监控
内部应用负载均衡器会将监控数据导出到 Monitoring。
监控指标具有以下用途:
- 评估负载均衡器的配置、使用情况和性能
- 问题排查
- 提高资源利用率并改善用户体验
除了 Monitoring 中的预定义信息中心,您还可以通过 Monitoring API 创建自定义信息中心、设置提醒和查询指标。
查看 Cloud Monitoring 指标
控制台
如需使用 Metrics Explorer 查看受监控资源的指标,请执行以下操作:
-
在 Google Cloud 控制台的导航面板中,选择 Monitoring,然后选择 leaderboard Metrics Explorer:
- 在指标元素中,展开选择指标菜单,在过滤栏中输入
Internal Application Load Balancer Rule,然后使用子菜单选择一个特定资源类型和指标:- 在活跃资源菜单中,选择内部应用负载均衡器规则。
- 如需选择指标,请使用活跃指标类别和活跃指标菜单。
- 点击应用。
如需从显示结果中移除时序,请使用过滤条件元素。
如需组合时序,请使用聚合元素上的菜单。例如,如需根据虚拟机所在的可用区显示虚拟机的 CPU 利用率,请将第一个菜单设置为平均值,并将第二个菜单设置为可用区。
当聚合元素的第一个菜单设置为未聚合时,系统会显示所有时序。聚合元素的默认设置由您选择的指标类型决定。
- 对于配额和每天报告一个样本的其他指标,请执行以下操作:
- 在显示窗格中,将微件类型设置为堆叠条形图。
- 将时间段设置为至少一周。
定义提醒政策
控制台
您可以创建提醒政策来监控指标的值,当这些指标违反条件时便会通知您。
-
在 Google Cloud 控制台的导航面板中,选择 Monitoring,然后选择 notifications 提醒:
- 如果您尚未创建通知渠道并希望收到通知,请点击修改通知渠道并添加通知渠道。添加渠道后,返回到提醒页面。
- 在提醒页面中,点击创建政策。
- 如需选择指标,请展开选择指标菜单,然后执行以下操作:
- 如需将菜单限制为相关条目,请在过滤栏中输入
Internal Application Load Balancer Rule。如果过滤菜单后没有显示任何结果,请停用仅显示活跃的资源和指标切换开关。 - 在资源类型字段中,请选择内部应用负载均衡器规则。
- 选择指标类别和指标,然后选择应用。
- 如需将菜单限制为相关条目,请在过滤栏中输入
- 点击下一步。
- 配置提醒触发器页面中的设置决定了何时触发提醒。 选择条件类型,并在必要时指定阈值。如需了解详情,请参阅创建指标阈值提醒政策。
- 点击下一步。
- 可选:如需将通知添加到您的提醒政策中,请点击通知渠道。在对话框中,从菜单中选择一个或多个通知渠道,然后点击确定。
- 可选:更新突发事件自动关闭持续时间。此字段用于确定在缺少指标数据的情况下 Monitoring 何时关闭突发事件。
- 可选:点击文档,然后添加您希望包含在通知消息中的任何信息。
- 点击提醒名称,然后输入提醒政策的名称。
- 点击 Create Policy(创建政策)。
定义 Monitoring 自定义信息中心
控制台
您可以针对内部应用负载均衡器指标创建自定义 Monitoring 信息中心:
在 Google Cloud 控制台中,转到 Monitoring 页面。
选择信息中心 > 创建信息中心。
点击 Add Chart。
给图表添加一个标题。
选择指标和过滤条件。对于指标,资源类型为内部 HTTP/S 负载均衡器。
点击保存。
指标报告频率与保留
系统会每隔 1 分钟将负载均衡器的指标批量导出到 Monitoring 中。监控数据会保留六 (6) 周。 默认情况下,信息中心可按 1H(1 小时)、6H(6 小时)、1D(1 天)、1W(1 周)和 6W(6 周)时间间隔提供数据分析。您可以在 1 分钟到 6 周的范围内手动指定分析时间间隔。
内部应用负载均衡器的监控指标
内部应用负载均衡器的以下指标会报告给 Monitoring:
| 指标 | FQDN | 说明 |
|---|---|---|
| 请求数 | loadbalancing.googleapis.com/https/internal/request_count |
内部应用负载均衡器传送的请求数。 |
| 请求字节数 | loadbalancing.googleapis.com/https/internal/request_bytes |
以请求形式从客户端发送到内部应用负载均衡器的字节数。 |
| 响应字节数 | loadbalancing.googleapis.com/https/internal/response_bytes |
以响应形式从内部 HTTP(S) 负载均衡器发送到客户端的字节数。 |
| 总延迟时间 | loadbalancing.googleapis.com/https/internal/total_latencies |
延迟时间的分布(以毫秒为单位)。延迟时间从代理收到请求的第一个字节开始计算,直到代理发送响应的最后一个字节为止。 |
| 后端延迟时间 | loadbalancing.googleapis.com/https/internal/backend_latencies |
延迟时间的分布(以毫秒为单位)。延迟时间从代理向后端发送请求的第一个字节开始计算,直到代理收到来自后端的响应的最后一个字节为止。 |
内部应用负载均衡器指标的过滤维度
系统会为每个内部应用负载均衡器汇总指标。您可以按照以下维度过滤汇总的指标:
| 属性 | 说明 |
|---|---|
| BACKEND_SCOPE | 传送客户端请求的后端组所在的 Google Cloud 区域或地区,如果未分配后端组,则此属性的值为特殊字符串。示例:us-central1-a、europe-west1-b、asia-east1、UNKNOWN。 |
| PROXY_REGION | 内部应用负载均衡器、客户端和后端所在的区域。示例:us-central1、europe-west1 或 asia-east1。 |
| BACKEND | 传送客户端请求的后端实例组或网络端点组的名称。 |
| BACKEND_TARGET | 传送客户端请求的后端服务的名称。 |
| MATCHED_URL_RULE | 与客户端 HTTP(S) 请求前缀匹配的网址映射路径规则或路由规则(最多 50 个字符)。 |
整个负载均衡器均支持 Response code class fraction 指标,不再支持进一步细分。
后续步骤
- 了解有关内部应用负载均衡器的概念性信息。
- 创建内部应用负载均衡器。
- 如需了解负载均衡器可以使用的 DNS 名称选项,请参阅内部负载均衡和 DNS 名称。