このページでは、Google Cloud ロードバランサへの接続性をテストする一般的なシナリオについて説明します。
接続テストの構成分析は、全タイプの Google Cloud ロードバランサへのシミュレーション パケットによるトレースをサポートしています。外部アプリケーション ロードバランサのトレースパスは、外部プロキシ ネットワーク ロードバランサにも適用されます。詳細については、Cloud Load Balancing の概要をご覧ください。
次の例では、接続テストは、外部ホストから外部アプリケーション ロードバランサの外部 IP アドレス(VIP)へのシミュレーション パケットをトレースします。外部ホストからの TCP 接続は、外部アプリケーション ロードバランサのプロキシで終端します。外部アプリケーション ロードバランサは、ロードバランサのバックエンドとして機能する VM への新しい TCP 接続を開始します。
接続テストの構成分析は、次のトレースパスで 3 つのトレースを生成します。3 つのロードバランサ バックエンドに適用可能なパスごとに 1 つのトレースを生成します。接続テストでは、実際のデータプレーンではなく構成のみを検証するため、このようにします。
ロードバランサへのテスト成功
このセクションでは、前述の外部アプリケーション ロードバランサへのテストが成功した場合の例について説明します。
実際のデータプレーンでは、ロード バランシング アルゴリズムがバックエンド接続ごとに VM インスタンスを選択します。この例には 3 つのロードバランサ バックエンドがあるため、[結果] 画面の [トレースの選択] メニューを使用すると、確認するトレースを選択できます。
以下のテスト成功の結果により、次に挙げる外部アプリケーション ロードバランサ用のすべての Google Cloud リソースが正しく構成されていることが検証されます。
- 転送ルール
- ロードバランサ バックエンド。これには、ロードバランサがヘルスチェックをバックエンドに正常に送信できることも含まれます。
- プロキシ接続
- VPC ファイアウォール ルール
この結果により、外部 IP アドレスからのシミュレーション パケットがバックエンド VM インスタンスに正常に到達できることが表示されます。
3 つすべてのバックエンドに対するトレースの詳細な例については、無効な構成または整合性のない構成を検出するをご覧ください。
外部アプリケーション ロードバランサのネットワーク パスにある Google Cloud リソースを確認する権限がない場合でも、テストの成功結果を含め、Google Cloud コンソールに結果が表示されます。ただし、テストされた各リソースのカードには、「PROJECT_NAME のリソースを表示する権限がありません」と表示されます。
ヘルスチェックに対するファイアウォール ルールの欠落を示すテスト
ロードバランサのトレースでは、前述と同じ Google Cloud リソース構成の多くが検証されます。ただし、次のロードバランサ リソースの構成が誤っている場合、分析結果としてパケットがドロップされる可能性があるが示されます(トレースの最終状態は Drop です)。
次のテスト結果は、VPC ネットワークの上り(内向き)ファイアウォール ルールがロードバランサのバックエンドに対するヘルスチェックを許可していないため、バックエンドをロードバランサで利用できないようにしていることを示しています。
次の表では、無効な VPC ファイアウォール ルールの他に、接続テストにより検出される Google Cloud ロードバランサの一般的な構成の問題を示します。これらの問題を解決するには、この表に示す解決策を使用します。
| 構成の問題 | 解決策 |
|---|---|
| 入力パラメータが、ロードバランサの転送ルールで定義したプロトコルまたはポートと一致しない。 | 転送ルールで定義したプロトコルまたはポートに一致するように入力パラメータを変更した後、テストを実施します。 |
| ロードバランサの転送ルールにバックエンドが構成されていない。 | ロードバランサのバックエンドを構成した後、テストを実施します。 |
| ロードバランサに無効な構成または整合性のない構成がある。 | 無効な構成または整合性のない構成を修正した後、テストを実施します。 |
| 内部パススルー ネットワーク ロードバランサはリージョン サービスであるため、リージョンが一致しない内部パススルー ネットワーク ロードバランサにはトラフィックが到達しません。 | ロードバランサ コンポーネントを構成して、同じリージョンに配置されるようにした後、テストを実施します。 |