Insight load balancer

Halaman ini menjelaskan insight Network Analyzer untuk load balancer. Untuk informasi tentang semua jenis insight, lihat Jenis dan grup insight.

Melihat insight di Recommender API

Untuk melihat insight ini di gcloud CLI atau Recommender API, gunakan jenis insight berikut:

  • google.networkanalyzer.networkservices.loadBalancerInsight

Anda memerlukan izin berikut:

  • recommender.networkAnalyzerLoadBalancerInsights.list
  • recommender.networkAnalyzerLoadBalancerInsights.get

Untuk mengetahui informasi selengkapnya tentang penggunaan Recommender API untuk insight Network Analyzer, lihat Menggunakan Recommender CLI dan API.

Firewall health check tidak dikonfigurasi

Insight ini menunjukkan bahwa firewall health check tidak dikonfigurasi di jaringan VPC yang digunakan load balancer. Insight ini mencakup informasi berikut:

  • Load balancer: Nama load balancer.
  • Aturan penerusan: Nama aturan penerusan tertentu.
  • Jaringan: Nama jaringan tempat load balancer dikonfigurasi.
  • Memblokir firewall: Nama firewall yang memblokir rentang alamat IP health check.
  • backend yang salah dikonfigurasi: Backend load balancer yang tidak menyertakan aturan firewall yang mengizinkan untuk rentang alamat IP health check.

Rekomendasi

Konfigurasikan aturan firewall health check untuk secara eksplisit mengizinkan akses rentang alamat IP health check ke backend load balancer. Untuk mengetahui informasi lebih lanjut, baca Aturan firewall untuk load balancer.

Rentang alamat IP health check diblokir

Menunjukkan bahwa aturan firewall yang dikonfigurasi pengguna memblokir rentang alamat IP health check. Dari detail analisis, Anda dapat menemukan aturan firewall yang memblokir rentang alamat health check.

Rekomendasi

Untuk mengidentifikasi rentang alamat health check pada jenis load balancer Anda, lihat Aturan firewall untuk load balancer.

  • Jika aturan firewall pemblokiran memiliki rentang alamat IP yang lebih luas, buat aturan izinkan dengan prioritas lebih tinggi untuk rentang alamat IP health check.
  • Jika aturan firewall pemblokiran memiliki rentang alamat IP yang sama atau lebih kecil dari rentang alamat IP health check, hapus aturan firewall pemblokiran tersebut.

Konfigurasi firewall tidak konsisten

Menunjukkan bahwa konfigurasi firewall tidak konsisten di antara VM backend. Rentang alamat IP health check diizinkan di beberapa VM backend, sedangkan di VM lainnya ditolak. Masalah ini terjadi saat tag jaringan atau akun layanan tidak sengaja dimodifikasi pada beberapa VM backend. Insight ini mencakup informasi berikut:

  • Load balancer: Nama load balancer
  • Aturan penerusan: Nama aturan penerusan tertentu
  • Jaringan: Nama jaringan tempat load balancer dikonfigurasi
  • Memblokir firewall: Nama firewall yang memblokir rentang health check
  • Mengizinkan firewall sebagian: Nama firewall yang mengizinkan traffic health check di VM backend yang dikonfigurasi dengan benar
  • backend yang salah dikonfigurasi: Backend yang mengalami masalah ini, dengan konfigurasi firewall untuk rentang alamat IP health check tidak berfungsi dengan benar

Rekomendasi

Temukan tag yang salah dikonfigurasi dengan membandingkan tag yang dikonfigurasi pada VM backend yang salah dikonfigurasi dengan tag yang dikonfigurasi pada aturan firewall yang mengizinkan sebagian. Ubah tag dan akun layanan pada VM backend yang salah dikonfigurasi agar memiliki nilai yang sama dengan tag dan akun layanan pada VM backend yang berfungsi.

Rentang alamat IP health check diblokir sebagian

Menunjukkan bahwa semua backend memiliki sebagian traffic yang diblokir pada rentang health check. Traffic health check diizinkan untuk beberapa rentang alamat IP health check dan ditolak untuk rentang alamat IP health check lainnya. Insight ini mencakup informasi berikut:

  • Load balancer: Nama load balancer
  • Aturan penerusan: Nama aturan penerusan tertentu
  • Jaringan: Nama jaringan tempat load balancer dikonfigurasi
  • Memblokir firewall: Nama firewall yang memblokir rentang health check
  • Mengizinkan firewall sebagian: Nama firewall yang mengizinkan traffic health check di VM backend yang dikonfigurasi dengan benar
  • backend yang salah dikonfigurasi: Backend yang mengalami masalah ini, dengan konfigurasi firewall untuk rentang health check tidak berfungsi dengan benar
  • Rentang health check yang diblokir: Rentang alamat IP tempat traffic health check diblokir

Rekomendasi

Bandingkan rentang alamat IP di aturan firewall yang mengizinkan sebagian dengan rentang alamat IP health check untuk jenis load balancer Anda. Jika ada rentang alamat IP yang hilang, tambahkan rentang tersebut ke aturan firewall yang Anda izinkan. Jika insight bertahan, pastikan bahwa prioritas aturan firewall yang mengizinkan sebagian lebih tinggi daripada prioritas aturan firewall yang menolak.

Mode penyeimbangan layanan backend menghentikan afinitas sesi

Insight ini dipicu saat layanan backend load balancer berbasis proxy memiliki afinitas sesi selain NONE dan memiliki satu atau beberapa backend grup instance menggunakan mode penyeimbangan UTILIZATION. Afinitas sesi bisa rusak ketika traffic ke load balancer rendah. Load balancer juga mengurangi sebagian sesi ketika jumlah backend berubah saat backend ditambahkan atau dihapus dari load balancer, seperti dalam kasus kegagalan health check atau keberhasilan. Jumlah sesi yang dihapus sebanding dengan jumlah perubahan backend. Perubahan tersebut juga akan menghentikan afinitas sesi untuk sesi tersebut.

Insight ini mencakup informasi berikut:

  • Layanan backend: Layanan backend yang terpengaruh.
  • Aturan penerusan: Aturan penerusan yang mengarahkan traffic ke layanan backend ini.
  • Afinitas sesi: Afinitas sesi yang digunakan oleh layanan backend.
  • backend yang terpengaruh: Backend menggunakan mode penyeimbangan UTILIZATION.

Rekomendasi

Untuk menggunakan afinitas sesi selain NONE, Anda harus menggunakan mode penyeimbangan RATE atau CONNECTION. Anda hanya dapat melakukan operasi ini dengan Google Cloud CLI atau Compute Engine API, bukan di Google Cloud Console.

Untuk layanan backend load balancer proxy yang menggunakan protokol HTTP, HTTPS, atau HTTP/2, alihkan mode penyeimbangan ke RATE menggunakan perintah gcloud compute backend-services update-backend dan memilih mode penyeimbangan tarif.

Contoh kode berikut menunjukkan cara menggunakan perintah ini untuk mengalihkan mode ke RATE:

gcloud compute backend-services update-backend BACKEND_SERVICE_NAME \
    BACKEND_SERVICE_SCOPE \
    --instance-group=INSTANCE_GROUP_NAME \
    INSTANCE_GROUP_SCOPE \
    --balancing-mode=RATE \
    TARGET_CAPACITY

Untuk layanan backend load balancer proxy yang menggunakan protokol non-HTTP (seperti TCP atau SSL), alihkan mode balancing ke CONNECTION menggunakan perintah gcloud compute backend-services update-backend dan memilih mode balancing koneksi.

Contoh kode berikut menunjukkan cara menggunakan perintah ini untuk mengalihkan mode ke CONNECTION:

gcloud compute backend-services update-backend BACKEND_SERVICE_NAME \
    BACKEND_SERVICE_SCOPE \
    --instance-group=INSTANCE_GROUP_NAME \
    INSTANCE_GROUP_SCOPE \
    --balancing-mode=CONNECTION \
    TARGET_CAPACITY

Di kedua contoh tersebut, ganti kode berikut:

  • BACKEND_SERVICE_NAME: nama layanan backend.
  • BACKEND_SERVICE_SCOPE: cakupan layanan backend. Untuk layanan backend global, gunakan --global. Untuk layanan backend regional, gunakan --region=REGION, yang menggantikan REGION dengan region.
  • INSTANCE_GROUP_NAME: nama grup instance backend.
  • INSTANCE_GROUP_SCOPE: lokasi grup instance. Untuk grup instance terkelola regional, gunakan --region=REGION, yang menggantikan REGION dengan region. Untuk grup instance zona, gunakan --zone=ZONE, dengan mengganti ZONE dengan zona.
  • TARGET_CAPACITY: tarif target atau spesifikasi koneksi target. Untuk mode penyeimbangan tarif, gunakan tanda --max-rate= atau --max-rate-per-instance=, lihat Mode penyeimbangan tarif dalam ringkasan layanan Backend. Untuk menghentikan mode connection balancing, gunakan flag --max-connections= atau --max-connections-per-instance=, dengan merujuk ke Mode load balancing dalam ringkasan layanan Backend.

Layanan backend menggunakan port yang berbeda untuk health check dan traffic

Load balancer menjalankan health check pada beberapa backend di port yang berbeda dan bukan pada port bernama yang digunakan oleh load balancer untuk menyalurkan traffic. Konfigurasi ini dapat menjadi masalah kecuali jika Anda telah mengonfigurasi load balancer untuk menggunakan port yang berbeda dengan sengaja.

Insight ini mencakup informasi berikut:

  • Layanan backend: Layanan backend yang terpengaruh.
  • Aturan penerusan: Aturan penerusan yang mengarahkan traffic ke layanan backend.
  • Nama port yang aktif: Nama port yang digunakan layanan backend untuk traffic layanan.
  • Health check: Health check yang digunakan oleh layanan backend.
  • Nomor port health check: Port yang digunakan oleh health check.
  • backend yang terpengaruh: Grup instance yang port yang aktif berbeda dengan port health check.

Lihat Kategori dan spesifikasi port.

Rekomendasi

Konfigurasikan health check dengan menggunakan spesifikasi port penayangan sehingga health check menggunakan port yang sama dengan yang digunakan oleh layanan backend. Contoh kode berikut menunjukkan cara menggunakan perintah CLI Google Cloud untuk memperbarui health check agar dapat menggunakan port penayangan:

gcloud compute health-checks update PROTOCOL HEALTH_CHECK_NAME \
      HEALTH_CHECK_SCOPE \
      --use-serving-port

Ganti kode berikut:

  • PROTOCOL: protokol yang digunakan oleh health check.
  • HEALTH_CHECK_NAME: nama health check.
  • HEALTH_CHECK_SCOPE: cakupan health check. Untuk health check global, gunakan --global. Untuk health check regional, gunakan --region=REGION, yang menggantikan REGION dengan wilayah.

Sertifikat SSL tidak dikaitkan dengan load balancer

Hal ini menunjukkan bahwa project Anda memiliki sertifikat SSL yang dikelola Google yang tidak terkait dengan load balancer yang menangani traffic SSL atau HTTPS. Sertifikat SSL yang dikelola Google tidak dapat digunakan hingga sertifikat dilampirkan ke load balancer. Anda dapat melihat daftar sertifikat yang tidak terlampir di detail insight.

Rekomendasi

Anda dapat membuat sertifikat SSL yang dikelola Google sebelum, selama, atau setelah membuat load balancer. Untuk menjadi ACTIVE, sertifikat SSL yang dikelola Google harus dikaitkan dengan load balancer, khususnya proxy target load balancer.

Setelah membuat sertifikat SSL dan berada dalam status PROVISIONING, Anda dapat menggunakannya selama pembuatan load balancer. Anda juga dapat menggunakannya untuk mengupdate load balancer yang ada. Untuk informasi selengkapnya tentang sertifikat yang dikelola Google, lihat Memecahkan masalah sertifikat SSL yang dikelola Google.

Sertifikat SSL yang terkait dengan load balancer tidak mengekspos port 443

Hal ini menunjukkan bahwa project Anda memiliki sertifikat SSL yang dikelola Google yang tidak berfungsi dengan baik karena aturan penerusan yang terkait dengannya tidak mengekspos port 443. Anda dapat melihat daftar sertifikat ini di detail insight.

Rekomendasi

Buat aturan penerusan dengan menggunakan port 443 saat Anda membuat atau memperbarui load balancer.