Analisis load balancer

Halaman ini menjelaskan insight Network Analyzer untuk load balancer. Untuk mengetahui informasi tentang semua jenis insight, lihat Grup dan jenis insight.

Melihat insight di Recommender API

Untuk melihat insight ini di gcloud CLI atau Recommender API, gunakan jenis insight berikut:

• google.networkanalyzer.networkservices.loadBalancerInsight

Anda memerlukan izin berikut:

• recommender.networkAnalyzerLoadBalancerInsights.list
• recommender.networkAnalyzerLoadBalancerInsights.get

Untuk informasi selengkapnya tentang penggunaan Recommender API untuk insight Penganalisis Jaringan, lihat Menggunakan Recommender CLI dan API.

Firewall health check tidak dikonfigurasi

Insight ini menunjukkan bahwa firewall health check tidak dikonfigurasi di jaringan VPC yang digunakan load balancer. Insight ini mencakup informasi berikut:

• Load balancer: Nama load balancer.
• Aturan penerusan: Nama aturan penerusan tertentu.
• Jaringan: Nama jaringan tempat load balancer dikonfigurasi.
• Memblokir firewall: Nama firewall yang memblokir rentang alamat IP health check.
• Backend yang salah dikonfigurasi: Backend load balancer yang tidak menyertakan aturan firewall yang mengizinkan untuk rentang alamat IP health check.

Rekomendasi

Konfigurasikan aturan firewall health check untuk secara eksplisit mengizinkan akses rentang alamat IP health check ke backend load balancer. Untuk informasi selengkapnya, lihat Aturan firewall untuk load balancer.

Rentang alamat IP Health Check diblokir

Insight ini menunjukkan bahwa aturan firewall yang dikonfigurasi pengguna memblokir rentang alamat IP health check. Dari detail insight, Anda dapat menemukan aturan firewall yang memblokir rentang alamat health check.

Rekomendasi

Untuk mengidentifikasi rentang alamat health check jenis load balancer Anda, lihat Aturan firewall untuk load balancer.

• Jika aturan firewall pemblokir memiliki rentang alamat IP yang lebih luas, buat aturan izin dengan prioritas yang lebih tinggi untuk rentang alamat IP health check.
• Jika aturan firewall pemblokir memiliki rentang alamat IP yang sama atau lebih kecil dari rentang alamat IP health check, hapus aturan firewall pemblokir.

Konfigurasi firewall tidak konsisten

Insight ini menunjukkan bahwa konfigurasi firewall tidak konsisten di antara VM backend. Rentang alamat IP health check diizinkan di beberapa VM backend, sementara ditolak di VM lainnya. Masalah ini terjadi saat tag jaringan atau akun layanan diubah secara tidak sengaja di beberapa VM backend. Insight ini mencakup informasi berikut:

• Load balancer: Nama load balancer
• Aturan penerusan: Nama aturan penerusan tertentu
• Jaringan: Nama jaringan tempat load balancer dikonfigurasi
• Firewall pemblokir: Nama firewall yang memblokir rentang health check
• Mengizinkan firewall sebagian: Nama firewall yang mengizinkan traffic health check di VM backend yang dikonfigurasi dengan benar
• Backend yang salah dikonfigurasi: Backend yang memiliki masalah ini, dengan konfigurasi firewall untuk rentang alamat IP pemeriksaan kesehatan tidak berfungsi dengan benar

Topik terkait

• Memfilter menurut akun layanan versus tag jaringan
• Aturan firewall untuk load balancer

Rekomendasi

Temukan tag yang salah dikonfigurasi dengan membandingkan tag yang dikonfigurasi di VM backend yang salah dikonfigurasi dengan tag yang dikonfigurasi di aturan firewall yang mengizinkan sebagian. Ubah tag dan akun layanan di VM backend yang salah dikonfigurasi agar memiliki nilai yang sama dengan tag dan akun layanan di VM backend yang berfungsi.

Rentang alamat IP Health check diblokir sebagian

Insight ini menunjukkan bahwa semua backend telah memblokir sebagian traffic pada rentang pemeriksaan kesehatan. Traffic health check diizinkan untuk beberapa rentang alamat IP health check dan ditolak untuk rentang alamat IP health check lainnya. Insight mencakup informasi berikut:

• Load balancer: Nama load balancer
• Aturan penerusan: Nama aturan penerusan tertentu
• Jaringan: Nama jaringan tempat load balancer dikonfigurasi
• Firewall pemblokir: Nama firewall yang memblokir rentang health check
• Mengizinkan firewall sebagian: Nama firewall yang mengizinkan traffic health check di VM backend yang dikonfigurasi dengan benar
• Backend yang salah dikonfigurasi: Backend yang memiliki masalah ini, dengan konfigurasi firewall untuk rentang health check tidak berfungsi dengan benar
• Rentang health check yang diblokir: Rentang alamat IP tempat traffic health check diblokir

Topik terkait

• Aturan firewall untuk load balancer

Rekomendasi

Bandingkan rentang alamat IP pada aturan firewall yang mengizinkan sebagian dengan rentang alamat IP health check untuk jenis load balancer Anda. Jika ada rentang alamat IP yang tidak ada, tambahkan ke aturan firewall yang mengizinkan. Jika insight tetap ada, pastikan prioritas aturan firewall yang mengizinkan sebagian lebih tinggi daripada prioritas aturan firewall yang menolak.

Mode penyeimbangan layanan backend merusak afinitas sesi

Insight ini dipicu saat layanan backend load balancer berbasis proxy memiliki afinitas sesi selain NONE dan memiliki satu atau beberapa backend grup instance yang menggunakan mode balancing UTILIZATION. Afinitas sesi dapat rusak jika traffic ke load balancer rendah. Load balancer juga menghapus sebagian sesi saat jumlah backend berubah saat backend ditambahkan atau dihapus dari load balancer, seperti dalam kasus kegagalan health check atau keberhasilan yang dihasilkan. Jumlah sesi yang dihapus sebanding dengan jumlah backend yang berubah. Perubahan tersebut juga akan merusak afinitas sesi untuk sesi tersebut.

Insight ini mencakup informasi berikut:

• Layanan backend: Layanan backend yang terpengaruh.
• Aturan penerusan: Aturan penerusan yang mengarahkan traffic ke layanan backend ini.
• Afinitas sesi: Afinitas sesi yang digunakan oleh layanan backend.
• Backend yang terpengaruh: Backend yang menggunakan mode penyeimbangan UTILIZATION.

Topik terkait

• Kehilangan afinitas sesi dengan mode balancing penggunaan
• Mode penyeimbangan yang didukung berdasarkan jenis load balancer

Rekomendasi

Untuk menggunakan afinitas sesi selain NONE, Anda harus menggunakan mode balancing RATE atau CONNECTION. Anda hanya dapat melakukan operasi ini dengan Google Cloud CLI atau Compute Engine API, bukan di konsol Google Cloud.

Untuk layanan backend load balancer proxy yang menggunakan protokol HTTP, HTTPS, atau HTTP/2, alihkan mode balancing ke RATE menggunakan perintah gcloud compute backend-services update-backend dan pilih mode balancing rasio.

Contoh kode berikut menunjukkan cara menggunakan perintah ini untuk mengalihkan mode ke RATE:

gcloud compute backend-services update-backend BACKEND_SERVICE_NAME \
    BACKEND_SERVICE_SCOPE \
    --instance-group=INSTANCE_GROUP_NAME \
    INSTANCE_GROUP_SCOPE \
    --balancing-mode=RATE \
    TARGET_CAPACITY

Untuk layanan backend load balancer proxy yang menggunakan protokol non-HTTP (seperti TCP atau SSL), alihkan mode balancing ke CONNECTION menggunakan perintah gcloud compute backend-services update-backend dan pilih mode balancing koneksi.

Contoh kode berikut menunjukkan cara menggunakan perintah ini untuk mengalihkan mode ke CONNECTION:

gcloud compute backend-services update-backend BACKEND_SERVICE_NAME \
    BACKEND_SERVICE_SCOPE \
    --instance-group=INSTANCE_GROUP_NAME \
    INSTANCE_GROUP_SCOPE \
    --balancing-mode=CONNECTION \
    TARGET_CAPACITY

Pada kedua contoh, ganti kode berikut:

• BACKEND_SERVICE_NAME: nama layanan backend.
• BACKEND_SERVICE_SCOPE: cakupan layanan backend. Untuk layanan backend global, gunakan --global. Untuk layanan backend regional, gunakan --region=REGION, dengan mengganti REGION dengan region.
• INSTANCE_GROUP_NAME: nama grup instance backend.
• INSTANCE_GROUP_SCOPE: lokasi grup instance. Untuk grup instance terkelola regional, gunakan --region=REGION, dengan mengganti REGION dengan region. Untuk grup instance zona, gunakan --zone=ZONE, dengan mengganti ZONE dengan zona.
• TARGET_CAPACITY: spesifikasi koneksi target atau kecepatan target. Untuk mode penyeimbangan kapasitas, gunakan tanda --max-rate= atau --max-rate-per-instance=, dengan merujuk ke Mode penyeimbangan kapasitas dalam ringkasan Layanan backend. Untuk mode balancing koneksi drop, gunakan tanda --max-connections= atau --max-connections-per-instance=, dengan merujuk ke Mode balancing koneksi di ringkasan Layanan backend.

Layanan backend menggunakan port yang berbeda untuk health check dan traffic

Load balancer melakukan health check pada beberapa backend di port yang berbeda, bukan di port bernama yang digunakan oleh load balancer untuk menyalurkan traffic. Konfigurasi ini dapat bermasalah kecuali jika Anda telah mengonfigurasi load balancer untuk menggunakan port yang berbeda secara sengaja.

Insight ini mencakup informasi berikut:

• Layanan backend: Layanan backend yang terpengaruh.
• Aturan penerusan: Aturan penerusan yang mengarahkan traffic ke layanan backend.
• Nama port layanan: Nama port yang digunakan layanan backend untuk traffic layanan.
• Health check: Health check yang digunakan oleh layanan backend.
• Nomor port health check: Port yang digunakan oleh health check.
• Backend yang terpengaruh: Grup instance yang port penayangannya berbeda dengan port health check.

Topik terkait

Lihat Spesifikasi kategori dan port.

Rekomendasi

Konfigurasikan health check dengan spesifikasi port yang digunakan sehingga health check menggunakan port yang sama dengan yang digunakan layanan backend. Contoh kode berikut menunjukkan cara menggunakan perintah Google Cloud CLI untuk mengupdate pemeriksaan kesehatan Anda agar menggunakan port penayangan:

gcloud compute health-checks update PROTOCOL HEALTH_CHECK_NAME \
      HEALTH_CHECK_SCOPE \
      --use-serving-port

Ganti kode berikut:

• PROTOCOL: protokol yang digunakan oleh health check.
• HEALTH_CHECK_NAME: nama health check.
• HEALTH_CHECK_SCOPE: cakupan health check. Untuk health check global, gunakan --global. Untuk health check regional, gunakan --region=REGION, dengan mengganti REGION dengan region.

Sertifikat SSL tidak dikaitkan dengan load balancer

Hal ini menunjukkan bahwa project Anda memiliki sertifikat SSL yang dikelola Google yang tidak terkait dengan load balancer yang menangani traffic SSL atau HTTPS. Sertifikat SSL yang dikelola Google tidak dapat digunakan hingga sertifikat tersebut disertakan ke load balancer. Anda dapat melihat daftar sertifikat yang tidak terpasang di detail insight.

Topik terkait

• Menggunakan sertifikat SSL yang dikelola Google
• Memecahkan masalah sertifikat SSL yang dikelola Google

Rekomendasi

Anda dapat membuat sertifikat SSL yang dikelola Google sebelum, selama, atau setelah membuat load balancer. Agar menjadi ACTIVE, sertifikat SSL yang dikelola Google harus dikaitkan dengan load balancer, khususnya proxy target load balancer.

Setelah membuat sertifikat SSL dan sertifikat tersebut berada dalam status PROVISIONING, Anda dapat menggunakannya selama pembuatan load balancer, atau Anda dapat menggunakannya untuk mengupdate load balancer yang ada. Untuk informasi selengkapnya tentang sertifikat yang dikelola Google, lihat Memecahkan masalah sertifikat SSL yang dikelola Google.

Sertifikat SSL yang terkait dengan load balancer yang tidak mengekspos port 443

Hal ini menunjukkan bahwa project Anda memiliki sertifikat SSL yang dikelola Google yang tidak berfungsi dengan benar karena aturan penerusan yang terkait dengannya tidak mengekspos port 443. Anda dapat melihat daftar sertifikat ini di detail insight.

Topik terkait

• Membuat aturan penerusan
• Memecahkan masalah sertifikat yang dikelola Google

Rekomendasi

Buat aturan penerusan menggunakan port 443 saat Anda membuat atau memperbarui load balancer.