Google Cloud ロードバランサへの接続性をテストする

このページでは、Google Cloud ロードバランサへの接続性をテストする一般的なシナリオについて説明します。

接続テストの構成分析は、全タイプの Google Cloud ロードバランサへのシミュレーション パケットによるトレースをサポートしています。外部 HTTP(S) ロードバランサのトレースパスは、TCP プロキシ ロードバランサと SSL プロキシ ロードバランサにも適用されます。詳細については、Cloud Load Balancing の概要をご覧ください。

次の例では、接続テストは、外部ホストから外部 HTTP(S) ロードバランサの外部 IP アドレス(VIP)へのシミュレーション パケットをトレースします。外部ホストからの TCP 接続は、外部 HTTP(S) ロードバランサのプロキシで終了します。外部 HTTP(S) ロードバランサは、ロードバランサのバックエンドとして機能する VM への新しい TCP 接続を開始します。

外部 HTTP(S) ロードバランサへの一般的なトレースパス。
外部 HTTP(S) ロードバランサへの一般的なトレースパス

このページのトレース図では、次の凡例で説明されている記号を使用しています。
記号 名前 意味
灰色のひし形
パケット トレース図の凡例: 灰色のひし形
チェックポイント 接続テストにより構成がチェックされ、トレース パケットを転送、配信、またはドロップする必要があるかどうかを決める決定ポイント。
青い四角形
パケット トレース図の凡例: 青い四角形
ホップ トレース パケットの転送パス内のステップ。VPC ネットワークのネクストホップ(Cloud Load Balancing プロキシや Cloud VPN トンネルなど)にパケットを転送する Google Cloud リソースを表します。
オレンジ色の六角形
パケット トレース図の凡例: オレンジ色の六角形
エンドポイント トレース パケットの送信元または送信先。

接続テストの構成分析は、次のトレースパスで 3 つのトレースを生成します。3 つのロードバランサ バックエンドに適用可能なパスごとに 1 つのトレースを生成します。接続テストでは、実際のデータプレーンではなく構成のみを検証するため、このようにします。

外部 HTTP(S) ロードバランサへのパケット トレース。
外部 HTTP(S) ロードバランサへのパケット トレース

ロードバランサへのテスト成功

このセクションでは、前述の外部 HTTP(S) ロードバランサに対するテスト成功の例について説明します。

実際のデータプレーンでは、負荷分散アルゴリズムがバックエンド接続ごとに VM インスタンスを選択します。この例には 3 つのロードバランサ バックエンドがあるため、[結果] 画面の [トレースの選択] メニューを使用すると、確認するトレースを選択できます。

以下のテスト成功の結果により、次に挙げる外部 HTTP(S) ロードバランサ用のすべての Google Cloud リソースが正しく構成されていることが検証されます。

  • 転送ルール
  • ロードバランサ バックエンド。これには、ロードバランサがヘルスチェックをバックエンドに正常に送信できることも含まれます。
  • プロキシ接続
  • VPC ファイアウォール ルール

この結果により、外部 IP アドレスからのシミュレーション パケットがバックエンド VM インスタンスに正常に到達できることが表示されます。

3 つすべてのバックエンドに対するトレースの詳細な例については、 無効な構成または整合性のない構成を検出するをご覧ください。

外部 HTTP(S) ロードバランサへのテストが成功した場合の出力例。
外部 HTTP(S) ロードバランサへのテストが成功した場合の出力例

外部 HTTP(S) ロードバランサのネットワーク パスにある Google Cloud リソースを確認する権限がない場合でも、テストの成功結果を含め、Cloud Console に結果が表示されます。ただし、テストされた各リソースのカードには、「PROJECT_NAME のリソースを表示する権限がありません」と表示されます。

ヘルスチェックに対するファイアウォール ルールの欠落を示すテスト

ロードバランサのトレースでは、前述と同じ Google Cloud リソース構成の多くが検証されます。ただし、次のロードバランサ リソースの構成が誤っている場合、分析結果としてパケットがドロップされる可能性があるが示されます(トレースの最終状態は Drop です)。

次のテスト結果は、VPC ネットワークの上り(内向き)ファイアウォール ルールがロードバランサのバックエンドに対するヘルスチェックを許可していないため、バックエンドをロードバランサで利用できないようにしていることを示しています。

欠落しているファイアウォール ルールの出力例。
欠落しているファイアウォール ルールの出力例

次の表では、無効な VPC ファイアウォール ルールの他に、接続テストにより検出される Google Cloud ロードバランサの一般的な構成の問題を示します。これらの問題を解決するには、この表に示す解決策を使用します。

構成の問題 解決策
入力パラメータが、ロードバランサの転送ルールで定義したプロトコルまたはポートと一致しない。 転送ルールで定義したプロトコルまたはポートに一致するように入力パラメータを変更した後、テストを実施します。
ロードバランサの転送ルールにバックエンドが構成されていない。 ロードバランサのバックエンドを構成した後、テストを実施します。
ロードバランサに無効な構成または整合性のない構成がある。 無効な構成または整合性のない構成を修正した後、テストを実施します。
内部 TCP / UDP ロードバランサがリージョン サービスのため、リージョンの一致しない内部 TCP / UDP ロードバランサにトラフィックが到達できない。 ロードバランサ コンポーネントを構成して、同じリージョンに配置されるようにした後、テストを実施します。

次のステップ