Halaman ini menjelaskan insight Network Analyzer untuk load balancer. Untuk informasi tentang semua jenis insight, lihat Jenis dan grup insight.
Melihat insight di Recommender API
Untuk melihat insight ini di gcloud CLI atau Recommender API, gunakan jenis insight berikut:
google.networkanalyzer.networkservices.loadBalancerInsight
Anda memerlukan izin berikut:
recommender.networkAnalyzerLoadBalancerInsights.list
recommender.networkAnalyzerLoadBalancerInsights.get
Untuk mengetahui informasi selengkapnya tentang penggunaan Recommender API untuk insight Network Analyzer, lihat Menggunakan Recommender CLI dan API.
Firewall health check tidak dikonfigurasi
Insight ini menunjukkan bahwa firewall health check tidak dikonfigurasi di jaringan VPC yang digunakan load balancer. Insight ini mencakup informasi berikut:
- Load balancer: Nama load balancer.
- Aturan penerusan: Nama aturan penerusan tertentu.
- Jaringan: Nama jaringan tempat load balancer dikonfigurasi.
- Memblokir firewall: Nama firewall yang memblokir rentang alamat IP health check.
- backend yang salah dikonfigurasi: Backend load balancer yang tidak menyertakan aturan firewall yang mengizinkan untuk rentang alamat IP health check.
Rekomendasi
Konfigurasikan aturan firewall health check untuk secara eksplisit mengizinkan akses rentang alamat IP health check ke backend load balancer. Untuk mengetahui informasi lebih lanjut, baca Aturan firewall untuk load balancer.
Rentang alamat IP health check diblokir
Menunjukkan bahwa aturan firewall yang dikonfigurasi pengguna memblokir rentang alamat IP health check. Dari detail analisis, Anda dapat menemukan aturan firewall yang memblokir rentang alamat health check.
Rekomendasi
Untuk mengidentifikasi rentang alamat health check pada jenis load balancer Anda, lihat Aturan firewall untuk load balancer.
- Jika aturan firewall pemblokiran memiliki rentang alamat IP yang lebih luas, buat aturan izinkan dengan prioritas lebih tinggi untuk rentang alamat IP health check.
- Jika aturan firewall pemblokiran memiliki rentang alamat IP yang sama atau lebih kecil dari rentang alamat IP health check, hapus aturan firewall pemblokiran tersebut.
Konfigurasi firewall tidak konsisten
Menunjukkan bahwa konfigurasi firewall tidak konsisten di antara VM backend. Rentang alamat IP health check diizinkan di beberapa VM backend, sedangkan di VM lainnya ditolak. Masalah ini terjadi saat tag jaringan atau akun layanan tidak sengaja dimodifikasi pada beberapa VM backend. Insight ini mencakup informasi berikut:
- Load balancer: Nama load balancer
- Aturan penerusan: Nama aturan penerusan tertentu
- Jaringan: Nama jaringan tempat load balancer dikonfigurasi
- Memblokir firewall: Nama firewall yang memblokir rentang health check
- Mengizinkan firewall sebagian: Nama firewall yang mengizinkan traffic health check di VM backend yang dikonfigurasi dengan benar
- backend yang salah dikonfigurasi: Backend yang mengalami masalah ini, dengan konfigurasi firewall untuk rentang alamat IP health check tidak berfungsi dengan benar
Topik terkait
Rekomendasi
Temukan tag yang salah dikonfigurasi dengan membandingkan tag yang dikonfigurasi pada VM backend yang salah dikonfigurasi dengan tag yang dikonfigurasi pada aturan firewall yang mengizinkan sebagian. Ubah tag dan akun layanan pada VM backend yang salah dikonfigurasi agar memiliki nilai yang sama dengan tag dan akun layanan pada VM backend yang berfungsi.
Rentang alamat IP health check diblokir sebagian
Menunjukkan bahwa semua backend memiliki sebagian traffic yang diblokir pada rentang health check. Traffic health check diizinkan untuk beberapa rentang alamat IP health check dan ditolak untuk rentang alamat IP health check lainnya. Insight ini mencakup informasi berikut:
- Load balancer: Nama load balancer
- Aturan penerusan: Nama aturan penerusan tertentu
- Jaringan: Nama jaringan tempat load balancer dikonfigurasi
- Memblokir firewall: Nama firewall yang memblokir rentang health check
- Mengizinkan firewall sebagian: Nama firewall yang mengizinkan traffic health check di VM backend yang dikonfigurasi dengan benar
- backend yang salah dikonfigurasi: Backend yang mengalami masalah ini, dengan konfigurasi firewall untuk rentang health check tidak berfungsi dengan benar
- Rentang health check yang diblokir: Rentang alamat IP tempat traffic health check diblokir
Topik terkait
Rekomendasi
Bandingkan rentang alamat IP di aturan firewall yang mengizinkan sebagian dengan rentang alamat IP health check untuk jenis load balancer Anda. Jika ada rentang alamat IP yang hilang, tambahkan rentang tersebut ke aturan firewall yang Anda izinkan. Jika insight bertahan, pastikan bahwa prioritas aturan firewall yang mengizinkan sebagian lebih tinggi daripada prioritas aturan firewall yang menolak.
Mode penyeimbangan layanan backend menghentikan afinitas sesi
Insight ini dipicu saat layanan backend load balancer berbasis proxy memiliki
afinitas sesi selain NONE
dan memiliki satu atau beberapa backend grup instance
menggunakan mode penyeimbangan UTILIZATION
. Afinitas sesi bisa rusak ketika
traffic ke load balancer rendah.
Load balancer juga mengurangi sebagian sesi ketika jumlah backend berubah saat backend ditambahkan atau dihapus dari load balancer, seperti dalam kasus kegagalan health check atau keberhasilan. Jumlah
sesi yang dihapus sebanding dengan jumlah perubahan
backend. Perubahan tersebut juga akan menghentikan afinitas sesi untuk sesi tersebut.
Insight ini mencakup informasi berikut:
- Layanan backend: Layanan backend yang terpengaruh.
- Aturan penerusan: Aturan penerusan yang mengarahkan traffic ke layanan backend ini.
- Afinitas sesi: Afinitas sesi yang digunakan oleh layanan backend.
- backend yang terpengaruh: Backend menggunakan mode
penyeimbangan
UTILIZATION
.
Topik terkait
- Kehilangan afinitas sesi dengan mode penyeimbangan pemakaian
- Mode balancing yang didukung oleh jenis load balancer
Rekomendasi
Untuk menggunakan afinitas sesi selain NONE
, Anda harus menggunakan mode penyeimbangan RATE
atau
CONNECTION
. Anda hanya dapat melakukan operasi ini dengan Google Cloud CLI atau Compute Engine API, bukan di Google Cloud Console.
Untuk layanan backend load balancer proxy yang menggunakan protokol HTTP, HTTPS, atau
HTTP/2, alihkan mode penyeimbangan ke RATE
menggunakan
perintah gcloud compute backend-services update-backend
dan memilih
mode penyeimbangan tarif.
Contoh kode berikut menunjukkan cara menggunakan perintah ini untuk mengalihkan mode ke
RATE
:
gcloud compute backend-services update-backend BACKEND_SERVICE_NAME \ BACKEND_SERVICE_SCOPE \ --instance-group=INSTANCE_GROUP_NAME \ INSTANCE_GROUP_SCOPE \ --balancing-mode=RATE \ TARGET_CAPACITY
Untuk layanan backend load balancer proxy yang menggunakan protokol non-HTTP (seperti TCP atau SSL), alihkan mode balancing ke CONNECTION
menggunakan perintah gcloud compute backend-services update-backend
dan memilih mode balancing koneksi.
Contoh kode berikut menunjukkan cara menggunakan perintah ini untuk mengalihkan mode ke
CONNECTION
:
gcloud compute backend-services update-backend BACKEND_SERVICE_NAME \ BACKEND_SERVICE_SCOPE \ --instance-group=INSTANCE_GROUP_NAME \ INSTANCE_GROUP_SCOPE \ --balancing-mode=CONNECTION \ TARGET_CAPACITY
Di kedua contoh tersebut, ganti kode berikut:
- BACKEND_SERVICE_NAME: nama layanan backend.
- BACKEND_SERVICE_SCOPE: cakupan layanan backend. Untuk layanan backend global, gunakan
--global
. Untuk layanan backend regional, gunakan--region=
REGION, yang menggantikan REGION dengan region. - INSTANCE_GROUP_NAME: nama grup instance backend.
- INSTANCE_GROUP_SCOPE: lokasi grup instance.
Untuk grup instance terkelola regional, gunakan
--region=
REGION, yang menggantikan REGION dengan region. Untuk grup instance zona, gunakan--zone=
ZONE, dengan mengganti ZONE dengan zona. - TARGET_CAPACITY: tarif target atau spesifikasi koneksi
target. Untuk mode penyeimbangan tarif, gunakan tanda
--max-rate=
atau--max-rate-per-instance=
, lihat Mode penyeimbangan tarif dalam ringkasan layanan Backend. Untuk menghentikan mode connection balancing, gunakan flag--max-connections=
atau--max-connections-per-instance=
, dengan merujuk ke Mode load balancing dalam ringkasan layanan Backend.
Layanan backend menggunakan port yang berbeda untuk health check dan traffic
Load balancer menjalankan health check pada beberapa backend di port yang berbeda dan bukan pada port bernama yang digunakan oleh load balancer untuk menyalurkan traffic. Konfigurasi ini dapat menjadi masalah kecuali jika Anda telah mengonfigurasi load balancer untuk menggunakan port yang berbeda dengan sengaja.
Insight ini mencakup informasi berikut:
- Layanan backend: Layanan backend yang terpengaruh.
- Aturan penerusan: Aturan penerusan yang mengarahkan traffic ke layanan backend.
- Nama port yang aktif: Nama port yang digunakan layanan backend untuk traffic layanan.
- Health check: Health check yang digunakan oleh layanan backend.
- Nomor port health check: Port yang digunakan oleh health check.
- backend yang terpengaruh: Grup instance yang port yang aktif berbeda dengan port health check.
Topik terkait
Lihat Kategori dan spesifikasi port.
Rekomendasi
Konfigurasikan health check dengan menggunakan spesifikasi port penayangan sehingga health check menggunakan port yang sama dengan yang digunakan oleh layanan backend. Contoh kode berikut menunjukkan cara menggunakan perintah CLI Google Cloud untuk memperbarui health check agar dapat menggunakan port penayangan:
gcloud compute health-checks update PROTOCOL HEALTH_CHECK_NAME \ HEALTH_CHECK_SCOPE \ --use-serving-port
Ganti kode berikut:
- PROTOCOL: protokol yang digunakan oleh health check.
- HEALTH_CHECK_NAME: nama health check.
- HEALTH_CHECK_SCOPE: cakupan health check. Untuk health check global, gunakan
--global
. Untuk health check regional, gunakan--region=
REGION, yang menggantikan REGION dengan wilayah.
Sertifikat SSL tidak dikaitkan dengan load balancer
Hal ini menunjukkan bahwa project Anda memiliki sertifikat SSL yang dikelola Google yang tidak terkait dengan load balancer yang menangani traffic SSL atau HTTPS. Sertifikat SSL yang dikelola Google tidak dapat digunakan hingga sertifikat dilampirkan ke load balancer. Anda dapat melihat daftar sertifikat yang tidak terlampir di detail insight.
Topik terkait
- Menggunakan sertifikat SSL yang dikelola Google
- Memecahkan masalah sertifikat SSL yang dikelola Google
Rekomendasi
Anda dapat membuat sertifikat SSL yang dikelola Google sebelum, selama, atau setelah membuat load balancer. Untuk menjadi ACTIVE
, sertifikat SSL
yang dikelola Google harus dikaitkan dengan load balancer, khususnya proxy target load
balancer.
Setelah membuat sertifikat SSL dan berada dalam status PROVISIONING
, Anda dapat menggunakannya selama pembuatan load balancer. Anda juga dapat menggunakannya untuk mengupdate load balancer yang ada. Untuk informasi selengkapnya tentang
sertifikat yang dikelola Google, lihat Memecahkan masalah sertifikat SSL
yang dikelola Google.
Sertifikat SSL yang terkait dengan load balancer tidak mengekspos port 443
Hal ini menunjukkan bahwa project Anda memiliki sertifikat SSL yang dikelola Google yang tidak berfungsi dengan baik karena aturan penerusan yang terkait dengannya tidak mengekspos port 443
. Anda dapat melihat daftar sertifikat ini di
detail insight.
Topik terkait
Rekomendasi
Buat aturan penerusan dengan menggunakan port 443
saat Anda membuat atau memperbarui load balancer.