Estadísticas del balanceador de cargas

En esta página, se describen las estadísticas de Network Analyzer para los balanceadores de cargas. Para obtener información sobre todos los tipos de estadísticas, consulta Grupos y tipos de estadísticas.

Ver observaciones en la API de Recommender

Para ver estas observaciones en gcloud CLI o en la API de Recommender, usa el siguiente tipo de estadísticas:

• google.networkanalyzer.networkservices.loadBalancerInsight

Necesitas los siguientes permisos:

• recommender.networkAnalyzerLoadBalancerInsights.list
• recommender.networkAnalyzerLoadBalancerInsights.get

Si deseas obtener más información sobre el uso de la API de Recommender para Estadísticas de Network Analyzer, consulta Usa la CLI y la API del recomendador.

El firewall de verificación de estado no está configurado

Esta estadística indica que el firewall de verificación de estado no está configurado en la red de VPC que usa el balanceador de cargas. La estadística incluye la siguiente información:

• Balanceador de cargas: Nombre del balanceador de cargas.
• Regla de reenvío: Nombre de la regla de reenvío específica.
• Red: Nombre de la red en la que está configurado el balanceador de cargas.
• Firewalls de bloqueo: Nombre de los firewalls que bloquean los rangos de direcciones IP de verificación de estado.
• Backends mal configurados: Backends del balanceador de cargas que no incluyen la regla de firewall que permite los rangos de direcciones IP de verificación de estado.

Recomendaciones

Configura la regla de firewall de verificación de estado para permitir explícitamente que el rango de direcciones IP de verificación de estado acceda a los backends del balanceador de cargas. Si deseas obtener más información, consulta las Reglas de firewall para los balanceadores de cargas.

El rango de direcciones IP de verificación de estado está bloqueado

Esta estadística indica que una regla de firewall configurada por el usuario bloquea la y el rango de direcciones IP de verificación de estado. Desde los detalles de la estadística, puedes encontrar la regla de firewall que bloquea el rango de direcciones de verificación de estado.

Recomendaciones

Si deseas identificar el rango de direcciones de verificación de estado del tipo de balanceador de cargas, consulta Reglas de firewall para balanceadores de cargas.

• Si la regla de firewall de bloqueo tiene un rango de direcciones IP más amplio, crea una regla de permiso de mayor prioridad para el rango de direcciones IP de verificación de estado.
• Si la regla de firewall de bloqueo tiene un rango de direcciones IP igual o menor que el rango de direcciones IP de verificación de estado, quita la regla de firewall de bloqueo.

La configuración de firewall es incoherente

Esta estadística indica que la configuración del firewall no es coherente las VMs de backend. El rango de direcciones IP de verificación de estado se permite en algunas VMs de backend mientras que en otros se rechaza. Este problema ocurre cuando las etiquetas de red las cuentas se modifican por error en algunas VMs de backend. La estadística incluye la siguiente información:

• Balanceador de cargas: Nombre del balanceador de cargas
• Regla de reenvío: Nombre de la regla de reenvío específica
• Red: Nombre de la red en la que está configurado el balanceador de cargas
• Bloqueo de firewalls: Nombre de los firewalls que bloquean rangos de verificación de estado
• Firewalls con permisos parciales: Nombre de los firewalls que permiten el tráfico de verificación de estado en las VM de backend configuradas de forma correcta
• Backends mal configurados: Backends que tienen este problema, en los que la configuración de firewall para el rango de direcciones IP de verificación de estado no funciona de manera correcta

Temas relacionados

• Filtrado por cuenta de servicio en comparación con etiqueta de red
• Reglas de firewall para balanceadores de cargas

Recomendaciones

Busca las etiquetas mal configuradas mediante la comparación de las etiquetas configuradas en VM de backend mal configuradas con las etiquetas configuradas en las reglas de firewall que permiten parcialmente. Modifica las etiquetas y las cuentas de servicio en las VM de backend mal configuradas para tener los mismos valores que las etiquetas y las cuentas de servicio en las VM de backend que funcionan.

El rango de direcciones IP de verificación de estado está bloqueado parcialmente

Esta estadística indica que todos los backends tienen tráfico bloqueado de forma parcial en el rango de verificación de estado. Se permite el tráfico de verificación de estado para alguna IP de verificación de estado de direcciones IP y denegados para otros rangos de direcciones IP de verificación de estado. La conclusión incluye la siguiente información:

• Balanceador de cargas: Nombre del balanceador de cargas
• Regla de reenvío: Nombre de la regla de reenvío específica
• Red: Nombre de la red en la que está configurado el balanceador de cargas
• Bloqueo de firewalls: Nombre de los firewalls que bloquean rangos de verificación de estado
• Firewalls con permisos parciales: Nombre de los firewalls que permiten el tráfico de verificación de estado en las VM de backend configuradas de forma correcta
• Backends mal configurados: Backends que tienen este problema, en los que la configuración de firewall para el rango de verificación de estado no funciona de manera correcta
• Rangos de verificaciones de estado bloqueados: Rangos de direcciones IP en los que está bloqueado el tráfico de verificación de estado

Temas relacionados

• Reglas de firewall para balanceadores de cargas

Recomendaciones

Compara los rangos de direcciones IP en las reglas de firewall que permiten parcialmente con el rango de direcciones IP de verificación de estado para tu tipo de balanceador de cargas. Si faltan rangos de direcciones IP, agrégalos a tu regla de firewall de permiso. Si la estadística persiste, asegúrate de que la prioridad de las reglas de firewall que se permiten parcialmente sea mayor que la de la regla de firewall que rechaza.

El modo de balanceo del servicio de backend interrumpe la afinidad de sesión

Esta estadística se activa cuando el servicio de backend de un balanceador de cargas basado en proxy una afinidad de sesión distinta de NONE y tiene uno o más backends de grupos de instancias con el modo de balanceo UTILIZATION. La afinidad de sesión puede fallar cuando tráfico al balanceador de cargas es bajo. El balanceador de cargas también descarta una parte de las sesiones cuando la cantidad de backends cambian cuando se agregan o quitan backends del balanceador de cargas, como como en los casos de una falla de la verificación de estado o el éxito consecuente. La cantidad de de sesiones descartadas es proporcional a la cantidad de backends cambian. Estos cambios también interrumpen la afinidad de sesión para esas sesiones.

Esta estadística incluye la siguiente información:

• Servicio de backend: Es el servicio de backend afectado.
• Reglas de reenvío: Son las reglas de reenvío que dirigen el tráfico a este. servicio de backend.
• Afinidad de sesión: la afinidad de sesión que usa el servicio de backend
• Backends afectados: Los backends que usan el balanceo UTILIZATION .

Temas relacionados

• Pérdida de afinidad de sesión con el modo de balanceo de uso
• Modos de balanceo admitidos por tipo de balanceador de cargas

Recomendaciones

Para usar una afinidad de sesión distinta de NONE, debes usar RATE o Modos de balanceo de CONNECTION. Puedes hacer esta operación solo con Google Cloud CLI o la API de Compute Engine, no en la consola de Google Cloud.

Para los servicios de backend del balanceador de cargas de proxy que usan HTTP, HTTPS o protocolos HTTP/2, cambia el modo de balanceo a RATE con el el comando gcloud compute backend-services update-backend y elige la modo de balanceo de tarifas.

En la siguiente muestra de código, se indica cómo usar este comando para cambiar el modo a RATE:

gcloud compute backend-services update-backend BACKEND_SERVICE_NAME \
    BACKEND_SERVICE_SCOPE \
    --instance-group=INSTANCE_GROUP_NAME \
    INSTANCE_GROUP_SCOPE \
    --balancing-mode=RATE \
    TARGET_CAPACITY

Para servicios de backend de balanceador de cargas de proxy que usan protocolos que no son HTTP (como TCP o SSL), cambia el modo de balanceo a CONNECTION mediante el el comando gcloud compute backend-services update-backend y elige la modo de balanceo de conexiones.

En la siguiente muestra de código, se indica cómo usar este comando para cambiar el modo a CONNECTION:

gcloud compute backend-services update-backend BACKEND_SERVICE_NAME \
    BACKEND_SERVICE_SCOPE \
    --instance-group=INSTANCE_GROUP_NAME \
    INSTANCE_GROUP_SCOPE \
    --balancing-mode=CONNECTION \
    TARGET_CAPACITY

En ambos ejemplos, reemplaza lo siguiente:

• BACKEND_SERVICE_NAME: Es el nombre del servicio de backend.
• BACKEND_SERVICE_SCOPE: Es el permiso del servicio de backend. Para todo el mundo servicios de backend, usa --global. Para los servicios de backend regionales, Usa --region=REGION y reemplaza REGION por la región.
• INSTANCE_GROUP_NAME: Es el nombre del grupo de instancias de backend.
• INSTANCE_GROUP_SCOPE: Es la ubicación del grupo de instancias. Para los grupos de instancias administrados regionales, usa --region=REGION, y reemplaza REGION por la región. Para los grupos de instancias zonales, Usa --zone=ZONE y reemplaza ZONE por la zona.
• TARGET_CAPACITY: Una tasa o conexión objetivo especificación. Para el modo de balanceo de tarifas, usa --max-rate= o Marcas de --max-rate-per-instance=, que hacen referencia al modo de balanceo de tarifas en la descripción general de los servicios de backend. Para el modo de balanceo de conexiones de caída, usa las marcas --max-connections= o --max-connections-per-instance=, consulta Modo de balanceo de conexiones en la descripción general de los servicios de backend.

El servicio de backend usa puertos diferentes para la verificación de estado y el tráfico

El balanceador de cargas realiza verificaciones de estado en algunos backends en un entorno y no en el que usa el balanceador de cargas para entregar tráfico. Esta configuración puede ser problemática, a menos que hayas configurado balanceador de cargas para usar un puerto diferente de manera intencional.

Esta estadística incluye la siguiente información:

• Servicio de backend: Es el servicio de backend afectado.
• Reglas de reenvío: Son las reglas de reenvío que dirigen el tráfico al backend. servicio.
• Nombre del puerto de entrega: Es el nombre del puerto que usa el servicio de backend para el tráfico de servicio.
• Verificación de estado: Es la verificación de estado que usa el servicio de backend.
• Número de puerto de la verificación de estado: Es el puerto que usa la verificación de estado.
• Backends afectados: Son los grupos de instancias en los que se encuentra el puerto de entrega. diferente del puerto de verificación de estado.

Temas relacionados

Consulta Categoría y especificación de puerto.

Recomendaciones

Configura la verificación de estado con la especificación de usar el puerto de entrega para que la verificación de estado use el mismo puerto que usa el servicio de backend. El siguiente muestra de código indica cómo usar los comandos de Google Cloud CLI para actualizar tu de verificación de estado para usar el puerto de entrega:

gcloud compute health-checks update PROTOCOL HEALTH_CHECK_NAME \
      HEALTH_CHECK_SCOPE \
      --use-serving-port

Reemplaza lo siguiente:

• PROTOCOL: Es el protocolo que usa la verificación de estado.
• HEALTH_CHECK_NAME: Es el nombre de la verificación de estado.
• HEALTH_CHECK_SCOPE: Es el permiso de la verificación de estado. Para todo el mundo de estado, usa --global. Para las verificaciones de estado regionales, Usa --region=REGION y reemplaza REGION por la región.

Los certificados SSL no están asociados con los balanceadores de cargas

Esto indica que tu proyecto tiene certificados SSL administrados por Google que no están asociados con un balanceador de cargas que maneja tráfico SSL o HTTPS. Los certificados SSL administrados por Google no se pueden usar hasta que se conectadas a un balanceador de cargas. Puedes ver la lista de certificados no adjuntos en los detalles de la estadística.

Temas relacionados

• Usa certificados SSL administrados por Google
• Soluciona problemas de certificados SSL administrados por Google

Recomendaciones

Puedes crear un certificado SSL administrado por Google antes, durante o después creando tu balanceador de cargas. Para convertirse en ACTIVE, el servidor SSL administrado certificado deben estar asociados con un balanceador de cargas, específicamente el balanceador de cargas de destino del balanceador de cargas.

Después de crear tu certificado SSL y que esté en el estado PROVISIONING, puedes usarlo durante la creación del balanceador de cargas o puedes usarlo para actualizar un balanceador de cargas existente. Para obtener más información sobre tu certificado administrado por Google; consulta Solucionar problemas de SSL administrada por Google certificados.

Certificados SSL asociados con un balanceador de cargas que no expone el puerto 443

Esto indica que tu proyecto tiene certificados SSL administrados por Google que no están funcionan correctamente porque las reglas de reenvío asociadas a ellos no exponer el puerto 443. Puedes ver una lista de estos certificados en la detalles de estadísticas.

Temas relacionados

• Crea una regla de reenvío
• Soluciona problemas de certificados administrados por Google

Recomendaciones

Crea una regla de reenvío con el puerto 443 durante la creación o la actualización de un balanceador de cargas.