Panoramica del failover per i bilanciatori del carico di rete passthrough esterni

Puoi configurare un bilanciatore del carico di rete passthrough esterno basato su servizi di backend per distribuire le connessioni tra le istanze di macchine virtuali (VM) nei backend principali e poi, se necessario, passare all'utilizzo dei backend di failover. Il failover fornisce un metodo aumentando la disponibilità, offrendo al contempo un maggiore controllo su come gestire il carico di lavoro se le VM di backend principali non sono integre.

Questa pagina descrive i concetti e i requisiti specifici per il failover per i bilanciatori del carico di rete passthrough esterni. Assicurati di conoscere bene i concetti informazioni nei seguenti articoli prima di configurare il failover per bilanciatore del carico di rete passthrough esterno:

• Panoramica del bilanciatore del carico di rete passthrough esterno
• Panoramica dei controlli di integrità

È importante comprendere questi concetti perché la configurazione del failover modifica l'algoritmo di distribuzione del traffico standard del bilanciatore del carico.

Per impostazione predefinita, quando aggiungi un backend al servizio di backend di un bilanciatore del carico di rete passthrough esterno, il backend è un backend principale. Puoi designare un backend come backend di failover quando lo aggiungi al servizio di backend del bilanciatore del carico, oppure in un secondo momento. I backend di failover ricevono connessioni solo dal bilanciatore del carico dopo che un rapporto configurabile di VM primarie non supera i controlli di integrità.

Backend supportati

Gruppi di istanze (gestiti e non gestiti) e NEG a livello di zona (con GCE_VM_IP endpoint) sono supportati come backend. Per semplicità, gli esempi in questa pagina mostrano gruppi di istanze non gestite.

L'uso dei gruppi di istanze gestite con scalabilità automatica e failover potrebbe causare pool attivo in failover e di failover tra il backend principale e quello di failover. Google Cloud non ti impedisce di configurare il failover con l'istanza gestita perché il tuo deployment potrebbe trarre vantaggio da questa configurazione.

Architettura

L'esempio seguente mostra un bilanciatore del carico di rete passthrough esterno con uno uno principale e uno di failover.

• Il backend principale è un gruppo di istanze non gestite in us-west1-a.
• Il backend di failover è un altro gruppo di istanze non gestite in us-west1-c.

L'esempio seguente mostra un bilanciatore del carico di rete passthrough esterno con due e due backend di failover, entrambi distribuiti tra due zone Regione us-west1. Questa configurazione aumenta l'affidabilità perché non dipende da una singola zona per tutti i backend principali o di failover.

• I backend principali sono i gruppi di istanze non gestite ig-a e ig-d.
• I backend di failover sono i gruppi di istanze non gestite ig-b e ig-c.

Durante il failover, entrambi i backend principali diventano inattivi, mentre le VM integre in entrambi i backend di failover diventano attive. Per una spiegazione completa di come funziona il failover in questo esempio, consulta l'esempio di failover.

Gruppi di istanze e VM di backend

I gruppi di istanze nei bilanciatori del carico di rete passthrough esterni sono backend principali o backend di failover. Puoi designare un backend come al backend di failover nel momento in cui lo aggiungi al servizio di backend di modificare il backend dopo l'aggiunta. In caso contrario, i gruppi di istanze sono primari per impostazione predefinita.

Puoi configurare più backend principali e più backend di failover in un singolo bilanciatore del carico di rete passthrough esterno aggiungendoli al servizio di backend del bilanciatore del carico.

Una VM principale è un membro di un gruppo di istanze che hai definito come un il backend principale. Le VM in un backend principale fanno parte del pool attivo del bilanciatore del carico (descritto nella sezione successiva), a meno che il bilanciatore del carico non inizi a utilizzare i suoi backend di failover.

Una VM di backup è un membro di un gruppo di istanze che hai definito come un di failover. Le VM in un backend di failover partecipano al pool attivo del bilanciatore del carico quando le VM principali non sono più integre. Il numero di di VM primarie non integre che attivano il failover è una percentuale configurabile.

Limiti

• Gruppi di istanze. Puoi avere fino a 50 gruppi di istanze di backend principali e fino a 50 gruppi di istanze di backend di failover.

Pool attivo

Il pool attivo è la raccolta di VM di backend a cui un bilanciatore del carico di rete passthrough esterno invia nuove connessioni. Appartenenza delle VM di backend nel viene calcolato automaticamente in base ai backend in stato integro e che puoi specificare, come descritto nelle Norme di failover.

Il pool attivo non combina mai VM principali e VM di backup. Le seguenti gli esempi chiariscono le possibilità di appartenenza. Durante il failover, il pool attivo contiene solo VM di backup. Durante il normale funzionamento (failback), il pool attivo contiene solo VM principali.

Failover e failover

Il failover e il failback sono i processi automatici che spostano le VM di backend nel pool attivo o fuori da questo nel bilanciatore del carico. Quando Google Cloud rimuove VM primarie del pool attivo e aggiunge VM di failover integre alle VM il processo è chiamato failover. Quando Google Cloud esegue l'operazione inversa, il processo è noto come failback.

Criterio di failover

Un criterio di failover è un insieme di parametri utilizzati da Google Cloud per il failover e il failback. Ogni bilanciatore del carico di rete passthrough esterno ha un criterio di failover con più impostazioni:

• Rapporto di failover
• Eliminazione del traffico quando tutte le VM di backend non sono integre
• Svuotamento connessioni in caso di failover e failover

Rapporto di failover

Un rapporto di failover configurabile determina quando Google Cloud esegue un failover o un failover, modificando nel pool attivo. Il rapporto può essere compreso tra 0.0 e 1.0 inclusi. Se non specifichi un rapporto di failover, Google Cloud utilizza un valore predefinito di 0.0. Una best practice prevede di impostare il rapporto di failover su un valore accettabile per il tuo caso d'uso anziché fare affidamento su questa impostazione predefinita.

Condizioni	VM nel pool attivo
Il rapporto di failover (x) != 0.0. Il rapporto tra VM principali integre >= x. Il rapporto di failover (x) = 0.0. Il numero di VM principali integre > 0.	Tutte le VM principali integre
Se almeno una VM di backup è integro e: Il rapporto di failover (x) != 0.0. Il rapporto tra VM principali integre < x. Il rapporto di failover = 0.0. Il numero di VM principali integre = 0.	Tutte le VM di backup in stato integro
Quando tutte le VM principali e tutte le VM di backup sono in stato non integro e non hai configurato il carico in modo da rilasciare il traffico durante questa operazione situazione	Tutte le VM principali, come ultima risorsa

I seguenti esempi chiariscono l'appartenenza al pool attivo. Per un esempio con i calcoli, consulta l'esempio di failover.

• Un rapporto di failover 1.0 richiede che tutte le VM principali siano integre. Quando almeno una VM principale non è più integra, Google Cloud esegue un failover spostando le VM di backup nel pool attivo.
• Un rapporto di failover pari a 0.1 richiede che almeno il 10% delle VM principali sia integra; in caso contrario, Google Cloud esegue un failover.
• Un rapporto di failover pari a 0.0 indica che Google Cloud esegue un failover solo quando tutte le VM principali non sono integre. Il failover non avviene se almeno una VM principale è integra.

Un bilanciatore del carico di rete passthrough esterno distribuisce le connessioni tra le VM nel pool attivo in base alla distribuzione del traffico algoritmo.

Eliminazione del traffico quando tutte le VM di backend non sono integre

Per impostazione predefinita, quando tutte le VM principali e di backup sono in stato non integro, Google Cloud distribuisce le nuove connessioni tra tutte le VM principali. Lo fa come ultima risorsa.

Se preferisci, puoi configurare il bilanciatore del carico di rete passthrough esterno in modo da eliminare le nuove connessioni quando tutte le VM principali e di backup non sono operative.

Svuotamento delle connessioni al failover e al failback

Quando lo svuotamento della connessione è abilitato per il criterio di failover, connessioni stabilite alle istanze nell'istanza principale o in quella di failover I gruppi continuano a essere inviati alle istanze con cui sono stati dei dati, anche dopo il failover o il failover, impedendo la connessione guasto. Quando lo svuotamento delle connessioni è disattivato per il criterio di failover, tutte le connessioni esistenti vengono interrotte immediatamente durante il failover o il failback.

Se il protocollo per il bilanciatore del carico è TCP, è vero quanto segue:

• Per impostazione predefinita, lo svuotamento della connessione è abilitato. Le sessioni TCP esistenti possono rimangono invariate sulle VM di backend attuali anche se la VM di backend non fa parte del pool attivo del bilanciatore del carico.

• Puoi disattivare lo svuotamento delle connessioni durante gli eventi di failover e failback. La disattivazione dello svuotamento della connessione durante il failover e il failback garantisce che tutte le sessioni TCP, incluse quelle stabilite, vengano terminate rapidamente. Connessioni alle VM di backend potrebbe essere chiuso con un pacchetto di reimpostazione TCP.

Disabilitazione dello svuotamento della connessione in caso di failover failback è utile in scenari come i seguenti:

• Patch delle VM di backend. Prima di applicare i patch, configura le VM principali in modo che non superino i controlli di integrità in modo che il bilanciatore del carico esegua un failover. La disabilitazione dello svuotamento della connessione assicura che tutte le connessioni vengano spostate esegui il backup delle VM in modo rapido e pianificato. In questo modo puoi installare gli aggiornamenti e riavviare le VM principali senza che le connessioni esistenti vengano mantenute. Dopo l'applicazione delle patch, Google Cloud può eseguire un failover quando è Numero di VM primarie (come definito dal rapporto di failover) che superano l'integrità controlli.

• Singola VM di backend per la coerenza dei dati. Se devi assicurarti che solo uno La VM è la destinazione per tutte le connessioni, disabilita lo svuotamento della connessione in modo che il passaggio da una VM principale a una VM di backup non consenta le connessioni in modo che rimangano su entrambi. In questo modo si riduce la possibilità di incoerenze dei dati mantenendo attiva una sola VM di backend alla volta.

Esempio di failover

L'esempio seguente descrive il comportamento di failover per l'esempio di bilanciatore del carico di rete passthrough esterno multizona presentato nella sezione Architettura.

I backend principali per questo bilanciatore del carico sono i gruppi di istanze non gestite ig-a in us-west1-a e ig-d in us-west1-c. Ogni gruppo di istanze contiene due VM. Tutte e quattro le VM di entrambi i gruppi di istanze sono VM principali:

• vm-a1 in ig-a
• vm-a2 in ig-a
• vm-d1 in ig-d
• vm-d2 in ig-d

I backend di failover per questo bilanciatore del carico sono i gruppi di istanze non gestite ig-b a us-west1-a e ig-c a us-west1-c. Ogni gruppo di istanze contiene due VM. Tutte e quattro le VM di entrambi i gruppi di istanze sono VM di backup:

• vm-b1 in ig-b
• vm-b2 in ig-b
• vm-c1 in ig-c
• vm-c2 in ig-c

Supponiamo che tu voglia configurare un criterio di failover per questo bilanciatore del carico in modo che le nuove connessioni vengano inviate alle VM di backup quando il numero di VM principali integre è inferiore a due. Per farlo, imposta il rapporto di failover su 0.5 (50%). Google Cloud utilizza il rapporto di failover per calcolare il numero minimo di VM principali che devono essere in stato integro moltiplicando il rapporto di failover per il numero di VM principali: 4 × 0.5 = 2

Se tutte e quattro le VM principali sono in stato integro, Google Cloud distribuisce nuovi a ciascuno di essi. Quando le VM principali non superano i controlli di integrità:

• Se vm-a1 e vm-d1 non sono più integrate, Google Cloud distribuisce le nuove connessioni tra le due VM principali integre rimanenti, vm-a2 e vm-d2, perché il numero di VM principali integre è almeno pari al numero minimo.

• Se anche vm-a2 non supera i controlli di integrità, rimane solo una VM principale integra,vm-d2 Google Cloud riconosce che il numero di VM principali integrate è inferiore al minimo, quindi esegue un failover. Il pool attivo è impostato sulle quattro VM di backup integre e le nuove connessioni vengono distribuite tra queste quattro (nei gruppi di istanze ig-b e ig-c). Anche se vm-d2 rimane integra, viene rimossa dal pool attivo e non riceve nuove connessioni.

• Se vm-a2 si riprende e supera il controllo di integrità, Google Cloud riconosce che il numero di VM principali integre è almeno pari al numero minimo di due, quindi esegue un failback. Il pool attivo è impostato sulle due VM principali integre, vm-a2 e vm-d2 e le nuove connessioni sono distribuite tra di loro. Tutte le VM di backup vengono rimosse dal pool attivo.

• Quando le altre VM principali si riprendono e superano i controlli di integrità, Google Cloud le aggiunge al pool attivo. Ad esempio, se vm-a1 diventa integro, Google Cloud imposta il pool attivo sulle tre VM principali integre, vm-a1, vm-a2 e vm-d2 e distribuisce le nuove connessioni tra di loro.

Passaggi successivi

• Per configurare e testare un bilanciatore del carico di rete passthrough esterno che utilizza il failover, consulta Configurare il failover per i bilanciatori del carico di rete passthrough esterni.
• Per configurare e testare un bilanciatore del carico di rete passthrough esterno con un servizio di backend, consulta Configura un bilanciatore del carico di rete passthrough esterno.