Insight sul bilanciatore del carico

Questa pagina descrive gli insight di Network Analyzer per i bilanciatori del carico. Per informazioni su tutti i tipi di insight, consulta Gruppi e tipi di insight.

Visualizza insight nell'API Recommender

Per visualizzare questi insight nell'interfaccia alla gcloud CLI o nell'API Recommender, utilizza il seguente tipo di insight:

• google.networkanalyzer.networkservices.loadBalancerInsight

Devi disporre delle seguenti autorizzazioni:

• recommender.networkAnalyzerLoadBalancerInsights.list
• recommender.networkAnalyzerLoadBalancerInsights.get

Per ulteriori informazioni sull'utilizzo dell'API Recommender per gli insight di Network Analyzer, consulta Utilizzare l'API e l'interfaccia a riga di comando del motore per suggerimenti.

Il firewall del controllo di integrità non è configurato

Questo insight indica che il firewall per il controllo di integrità non è configurato nella rete VPC utilizzata dal bilanciatore del carico. L'insight include le seguenti informazioni:

• Bilanciatore del carico:il nome del bilanciatore del carico.
• Regola di forwarding: nome della regola di forwarding specifica.
• Rete: nome della rete in cui è configurato il bilanciatore del carico.
• Blocco dei firewall:nome dei firewall che bloccano gli intervalli di indirizzi IP del controllo di integrità.
• Backend configurati in modo errato: backend del bilanciatore del carico che non includono la regola del firewall di autorizzazione per gli intervalli di indirizzi IP per il controllo di integrità.

Suggerimenti

Configura la regola firewall per il controllo di integrità per consentire in modo esplicito l'accesso all'intervallo di indirizzi IP del controllo di integrità ai backend del bilanciatore del carico. Per maggiori informazioni, consulta Regole firewall per i bilanciatori del carico.

L'intervallo di indirizzi IP del controllo di integrità è bloccato

Questo insight indica che una regola firewall configurata dall'utente blocca l'intervallo di indirizzi IP del controllo di integrità. Dai dettagli di insight, puoi trovare la regola firewall che blocca l'intervallo di indirizzi del controllo di integrità.

Suggerimenti

Per identificare l'intervallo di indirizzi del controllo di integrità del tipo di bilanciatore del carico, consulta Regole firewall per i bilanciatori del carico.

• Se la regola firewall di blocco ha un intervallo di indirizzi IP più ampio, crea una regola di autorizzazione di priorità più elevata per l'intervallo di indirizzi IP del controllo di integrità.
• Se la regola firewall di blocco ha un intervallo di indirizzi IP uguale o inferiore all'intervallo di indirizzi IP del controllo di integrità, rimuovi la regola firewall di blocco.

La configurazione del firewall è incoerente

Questo insight indica che la configurazione del firewall è incoerente tra le VM di backend. L'intervallo di indirizzi IP del controllo di integrità è consentito su alcune VM di backend, mentre è negato su altre. Questo problema si verifica quando i tag di rete o gli account di servizio vengono modificati per errore su alcune VM di backend. L'insight include le seguenti informazioni:

• Bilanciatore del carico:il nome del bilanciatore del carico.
• Regola di forwarding: nome della regola di forwarding specifica
• Rete: nome della rete in cui è configurato il bilanciatore del carico
• Blocco dei firewall:nome dei firewall che bloccano gli intervalli dei controlli di integrità
• I firewall sono consentiti in parte: nome dei firewall che consentono il traffico per il controllo di integrità sulle VM di backend configurate correttamente
• Backend configurati in modo errato: backend che presentano questo problema, in cui la configurazione del firewall per l'intervallo di indirizzi IP del controllo di integrità non funziona correttamente

Argomenti correlati

• Filtrare per account di servizio e tag di rete
• Regole firewall per i bilanciatori del carico

Suggerimenti

Individua i tag configurati in modo errato confrontando i tag configurati su VM di backend configurate in modo errato con i tag configurati sulle regole firewall di autorizzazione parziale. Modifica i tag e gli account di servizio sulle VM di backend configurate in modo errato in modo che abbiano gli stessi valori dei tag e degli account di servizio sulle VM di backend in uso.

L'intervallo di indirizzi IP del controllo di integrità è parzialmente bloccato

Questo insight indica che tutti i backend hanno bloccato parzialmente il traffico nell'intervallo del controllo di integrità. Il traffico del controllo di integrità è consentito per alcuni intervalli di indirizzi IP del controllo di integrità ed è negato per altri intervalli di indirizzi IP del controllo di integrità. L'insight include le seguenti informazioni:

• Bilanciatore del carico:il nome del bilanciatore del carico.
• Regola di forwarding: nome della regola di forwarding specifica
• Rete: nome della rete in cui è configurato il bilanciatore del carico
• Blocco dei firewall:nome dei firewall che bloccano gli intervalli dei controlli di integrità
• I firewall sono consentiti in parte: nome dei firewall che consentono il traffico per il controllo di integrità sulle VM di backend configurate correttamente
• Backend configurati in modo errato: backend che presentano questo problema, in cui la configurazione del firewall per l'intervallo di controllo di integrità non funziona correttamente
• Intervalli di controlli di integrità bloccati: intervalli di indirizzi IP in cui il traffico del controllo di integrità è bloccato

Argomenti correlati

• Regole firewall per i bilanciatori del carico

Suggerimenti

Confronta gli intervalli di indirizzi IP delle regole firewall di autorizzazione parziale con l'intervallo di indirizzi IP del controllo di integrità per il tipo di bilanciatore del carico. Se mancano intervalli di indirizzi IP, aggiungili alla regola firewall di autorizzazione. Se l'insight persiste, assicurati che la priorità delle regole firewall di autorizzazione parziale sia superiore a quella della regola firewall di negazione.

La modalità di bilanciamento del servizio di backend interrompe l'affinità sessione

Questo insight viene attivato quando il servizio di backend di un bilanciatore del carico basato su proxy ha un'affinità sessione diversa da NONE e ha uno o più backend di gruppi di istanze che utilizzano la modalità di bilanciamento di UTILIZATION. L'affinità sessione può interrompersi quando il traffico verso il bilanciatore del carico è ridotto. Il bilanciatore del carico elimina anche una parte delle sessioni quando la quantità di backend cambia con l'aggiunta o la rimozione di backend dal bilanciatore del carico, ad esempio in caso di errore del controllo di integrità o di conseguente esito positivo. Il numero di sessioni eliminate è proporzionale alla quantità di backend che vengono modificati. Queste modifiche interrompono anche l'affinità sessione per queste sessioni.

che include le seguenti informazioni:

• Servizio di backend: il servizio di backend interessato.
• Regole di forwarding: le regole di forwarding che indirizzano il traffico a questo servizio di backend.
• Affinità sessione:l'affinità sessione utilizzata dal servizio di backend.
• Backend interessati:i backend che utilizzano la modalità di bilanciamento UTILIZATION.

Argomenti correlati

• Perdere l'affinità sessione con la modalità di bilanciamento dell'utilizzo
• Modalità di bilanciamento supportate per tipo di bilanciatore del carico

Suggerimenti

Per utilizzare un'affinità sessione diversa da NONE, devi utilizzare la modalità di bilanciamento RATE o CONNECTION. Puoi eseguire questa operazione solo con Google Cloud CLI o l'API Compute Engine, non nella console Google Cloud.

Per i servizi di backend del bilanciatore del carico proxy che utilizzano i protocolli HTTP, HTTPS o HTTP/2, imposta la modalità di bilanciamento su RATE utilizzando il comando gcloud compute backend-services update-backend e scegliendo la modalità di bilanciamento della velocità.

Il seguente esempio di codice mostra come utilizzare questo comando per passare la modalità a RATE:

gcloud compute backend-services update-backend BACKEND_SERVICE_NAME \
    BACKEND_SERVICE_SCOPE \
    --instance-group=INSTANCE_GROUP_NAME \
    INSTANCE_GROUP_SCOPE \
    --balancing-mode=RATE \
    TARGET_CAPACITY

Per i servizi di backend del bilanciatore del carico proxy che utilizzano protocolli non HTTP (come TCP o SSL), imposta la modalità di bilanciamento su CONNECTION utilizzando il comando gcloud compute backend-services update-backend e scegliendo la modalità di bilanciamento della connessione.

Il seguente esempio di codice mostra come utilizzare questo comando per passare la modalità a CONNECTION:

gcloud compute backend-services update-backend BACKEND_SERVICE_NAME \
    BACKEND_SERVICE_SCOPE \
    --instance-group=INSTANCE_GROUP_NAME \
    INSTANCE_GROUP_SCOPE \
    --balancing-mode=CONNECTION \
    TARGET_CAPACITY

In entrambi gli esempi, sostituisci quanto segue:

• BACKEND_SERVICE_NAME: il nome del servizio di backend.
• BACKEND_SERVICE_SCOPE: l'ambito del servizio di backend. Per i servizi di backend globali, utilizza --global. Per i servizi di backend regionali, utilizza --region=REGION, sostituendo REGION con la regione.
• INSTANCE_GROUP_NAME: il nome del gruppo di istanza di backend.
• INSTANCE_GROUP_SCOPE: la località del gruppo di istanze. Per i gruppi di istanze gestite a livello di regione, utilizza --region=REGION, sostituendo REGION con la regione. Per i gruppi di istanze a livello di zona, utilizza --zone=ZONE, sostituendo ZONE con la zona.
• TARGET_CAPACITY: una tariffa target o una specifica della connessione di destinazione. Per la modalità di bilanciamento della frequenza, utilizza i flag --max-rate= o --max-rate-per-instance=, facendo riferimento a Modalità bilanciamento della frequenza nella panoramica dei servizi di backend. Per abbandonare la modalità di bilanciamento delle connessioni, utilizza i flag --max-connections= o --max-connections-per-instance=, facendo riferimento a Modalità di bilanciamento delle connessioni nella panoramica dei servizi di backend.

Il servizio di backend utilizza porte diverse per il controllo di integrità e il traffico

Il bilanciatore del carico esegue controlli di integrità su alcuni backend su una porta diversa e non sulla porta denominata utilizzata dal bilanciatore del carico per gestire il traffico. Questa configurazione può essere problematica se non hai configurato il bilanciatore del carico in modo che utilizzi intenzionalmente una porta diversa.

che include le seguenti informazioni:

• Servizio di backend: il servizio di backend interessato.
• Regole di forwarding: le regole di forwarding che indirizzano il traffico al servizio di backend.
• Nome porta di pubblicazione:il nome della porta utilizzato dal servizio di backend per il traffico del servizio.
• Controllo di integrità: il controllo di integrità utilizzato dal servizio di backend.
• Numero porta del controllo di integrità: la porta utilizzata dal controllo di integrità.
• Backend interessati:i gruppi di istanze su cui la porta di gestione è diversa dalla porta per il controllo di integrità.

Argomenti correlati

Consulta la sezione Specifiche di categoria e porta.

Suggerimenti

Configura il controllo di integrità con la specifica della porta di gestione in modo che il controllo di integrità utilizzi la stessa porta usata dal servizio di backend. Il seguente esempio di codice mostra come utilizzare i comandi dell'interfaccia a riga di Google Cloud CLI per aggiornare il controllo di integrità in modo da utilizzare la porta di gestione:

gcloud compute health-checks update PROTOCOL HEALTH_CHECK_NAME \
      HEALTH_CHECK_SCOPE \
      --use-serving-port

Sostituisci quanto segue:

• PROTOCOL: il protocollo utilizzato dal controllo di integrità.
• HEALTH_CHECK_NAME: nome del controllo di integrità.
• HEALTH_CHECK_SCOPE: l'ambito del controllo di integrità. Per i controlli di integrità globali, utilizza --global. Per i controlli di integrità a livello di regione, utilizza --region=REGION, sostituendo REGION con la regione.

I certificati SSL non sono associati ai bilanciatori del carico

Questo indica che il progetto dispone di certificati SSL gestiti da Google che non sono associati a un bilanciatore del carico che gestisce il traffico SSL o HTTPS. I certificati SSL gestiti da Google non possono essere utilizzati finché non vengono collegati a un bilanciatore del carico. Puoi visualizzare l'elenco dei certificati non collegati nei dettagli dell'insight.

Argomenti correlati

• Utilizzare i certificati SSL gestiti da Google
• Risolvere i problemi relativi ai certificati SSL gestiti da Google

Suggerimenti

Puoi creare un certificato SSL gestito da Google prima, durante o dopo la creazione del bilanciatore del carico. Per diventare ACTIVE, il certificato SSL gestito da Google deve essere associato a un bilanciatore del carico, in particolare al proxy di destinazione del bilanciatore del carico.

Dopo aver creato il certificato SSL e che si trova nello stato PROVISIONING, puoi utilizzarlo durante la creazione del bilanciatore del carico oppure per aggiornare un bilanciatore del carico esistente. Per ulteriori informazioni sul tuo certificato gestito da Google, consulta Risolvere i problemi relativi ai certificati SSL gestiti da Google.

Certificati SSL associati a un bilanciatore del carico che non espone la porta 443

Questo indica che il progetto dispone di certificati SSL gestiti da Google che non funzionano correttamente perché le regole di forwarding associate non espongono la porta 443. Puoi visualizzare un elenco di questi certificati nei dettagli di approfondimento.

Argomenti correlati

• Crea una regola di forwarding
• Risolvere i problemi relativi ai certificati gestiti da Google

Suggerimenti

Crea una regola di forwarding utilizzando la porta 443 durante la creazione o l'aggiornamento di un bilanciatore del carico.