Insights: Load Balancer

Auf dieser Seite werden die Network Analyzer-Statistiken für Load-Balancer beschrieben. Informationen zu allen Statistiktypen finden Sie unter Statistikgruppen und -typen.

Statistiken in der Recommender API ansehen

Verwenden Sie den folgenden Insight-Typ, um diese Insights in der gcloud-Kommandozeile oder der Recommender API anzuzeigen:

• google.networkanalyzer.networkservices.loadBalancerInsight

Sie benötigen die folgenden Berechtigungen:

• recommender.networkAnalyzerLoadBalancerInsights.list
• recommender.networkAnalyzerLoadBalancerInsights.get

Weitere Informationen zur Verwendung der Recommender API für Insights zu Netzwerkanalyse finden Sie unter Recommender-Befehlszeile und API verwenden.

Firewall für Systemdiagnosen ist nicht konfiguriert

Bedeutet, dass die Firewall für die Systemdiagnose nicht in dem VPC-Netzwerk konfiguriert ist, das vom Load-Balancer verwendet wird. Die Statistik enthält folgende Informationen:

• Load-Balancer: Name des Load-Balancers.
• Weiterleitungsregel: Name der jeweiligen Weiterleitungsregel.
• Netzwerk: Name des Netzwerks, in dem der Load-Balancer konfiguriert ist.
• Blockierende Firewalls: Name der Firewalls, die IP-Adressbereiche der Systemdiagnose blockieren.
• Falsch konfigurierte Back-Ends: Die Back-Ends des Load-Balancers, die die Firewallregel für Zulassungs-IP-Adressbereiche nicht enthalten.

Empfehlungen

Konfigurieren Sie die Systemdiagnose-Regel, um den IP-Adressbereich der Systemdiagnose explizit Zugriff auf die Load-Balancer-Back-Ends zu gewähren. Weitere Informationen finden Sie unter Firewallregeln für Load-Balancer.

IP-Adressbereich der Systemdiagnose ist blockiert

Gibt an, dass eine vom Nutzer konfigurierte Firewallregel den IP-Adressbereich der Systemdiagnose blockiert. In den Statistikdetails finden Sie die Firewallregel, die den Adressbereich der Systemdiagnose blockiert.

Empfehlungen

Informationen zum Ermitteln des Adressbereichs der Systemdiagnose für den Load-Balancer-Typ finden Sie unter Firewallregeln für Load-Balancer.

• Wenn die blockierende Firewallregel einen größeren IP-Adressbereich hat, erstellen Sie eine Zulassungsregel mit höherer Priorität für den IP-Adressbereich der Systemdiagnose.
• Wenn die blockierende Firewallregel den gleichen oder einen kleineren IP-Adressbereich als der IP-Adressbereich der Systemdiagnose hat, entfernen Sie die blockierende Firewallregel.

Firewallkonfiguration ist inkonsistent

Gibt an, dass die Firewallkonfiguration zwischen Backend-VMs inkonsistent ist. Der IP-Adressbereich der Systemdiagnose ist auf einigen Backend-VMs zulässig, auf anderen hingegen nicht. Dieses Problem tritt auf, wenn Netzwerk-Tags oder Dienstkonten auf einigen Backend-VMs versehentlich geändert wurden. Die Statistik enthält folgende Informationen:

• Load-Balancer: Name des Load-Balancers.
• Weiterleitungsregel: Name der jeweiligen Weiterleitungsregel.
• Netzwerk: Name des Netzwerks, in dem der Load-Balancer konfiguriert ist.
• Blockierende Firewalls: Name der Firewalls, die Systemdiagnosebereiche blockieren.
• Teilweise zulassende Firewalls: Name der Firewalls, die Systemdiagnose-Traffic auf den ordnungsgemäß konfigurierten Backend-VMs zulassen.
• Falsch konfigurierte Back-Ends: Back-Ends, die dieses Problem haben und bei denen die Firewallkonfiguration für den IP-Adressbereich der Systemdiagnose nicht ordnungsgemäß funktioniert.

Weitere Informationen

• Nach Dienstkonto oder Netzwerktag filtern
• Firewallregeln für Load-Balancer

Empfehlungen

Finden Sie die falsch konfigurierten Tags, indem Sie die auf falsch konfigurierten Backend-VMs konfigurierten Tags mit den Tags vergleichen, die für die teilweise zulässigen Firewallregeln konfiguriert sind. Ändern Sie die Tags und Dienstkonten auf den falsch konfigurierten Backend-VMs so, dass sie dieselben Werte wie die Tags und Dienstkonten auf den funktionierenden Backend-VMs haben.

IP-Adressbereich der Systemdiagnose ist teilweise blockiert

Gibt an, dass alle Back-Ends den Traffic im Bereich der Systemdiagnose teilweise blockiert haben. Der Systemdiagnose-Traffic ist für einige IP-Adressbereiche der Systemdiagnose zulässig und für andere IP-Adressbereiche der Systemdiagnose abgelehnt. Die Statistik enthält folgende Informationen:

• Load-Balancer: Name des Load-Balancers.
• Weiterleitungsregel: Name der jeweiligen Weiterleitungsregel.
• Netzwerk: Name des Netzwerks, in dem der Load-Balancer konfiguriert ist.
• Blockierende Firewalls: Name der Firewalls, die Systemdiagnosebereiche blockieren.
• Teilweise zulassende Firewalls: Name der Firewalls, die Systemdiagnose-Traffic auf den ordnungsgemäß konfigurierten Backend-VMs zulassen.
• Falsch konfigurierte Back-Ends: Back-Ends, die dieses Problem haben und bei denen die Firewallkonfiguration für den Systemdiagnosebereich nicht ordnungsgemäß funktioniert.
• Blockierte Systemdiagnosebereiche: IP-Adressbereiche, in denen der Traffic der Systemdiagnose blockiert ist.

Weitere Informationen

• Firewallregeln für Load-Balancer

Empfehlungen

Vergleichen Sie die IP-Adressbereiche in Ihren teilweise zulässigen Firewallregeln mit dem IP-Adressbereich der Systemdiagnose für Ihren Load-Balancer-Typ. Wenn IP-Adressbereiche fehlen, fügen Sie sie der zulässigen Firewallregel hinzu. Wenn die Statistik bestehen bleibt, prüfen Sie, ob die Priorität der teilweise zulässigen Firewallregeln höher ist als die Priorität der Firewallregel, die den Zugriff verweigert.

Backend-Dienst-Balancing-Modus unterbricht die Sitzungsaffinität

Diese Statistik wird ausgelöst, wenn der Backend-Dienst eines proxybasierten Load-Balancers eine andere Sitzungsaffinität als NONE hat und ein oder mehrere Instanzgruppen-Backends im Balancing-Modus UTILIZATION hat. Die Sitzungsaffinität kann unterbrochen werden, wenn der Traffic zum Load-Balancer niedrig ist. Der Load-Balancer löscht auch einen Teil der Sitzungen, wenn sich die Anzahl der Back-Ends ändert, wenn Back-Ends hinzugefügt oder entfernt werden, z. B. bei einem Fehler bei der Systemdiagnose oder bei einem nachfolgenden Erfolg. Die Anzahl der zu löschenden Sitzungen hängt von der Anzahl der sich ändernden Back-Ends ab. Solche Änderungen unterbrechen auch die Sitzungsaffinität für diese Sitzungen.

Dies enthält folgende Informationen:

• Backend-Dienst: Der betroffene Backend-Dienst.
• Weiterleitungsregeln: Die Weiterleitungsregeln, die Traffic an diesen Backend-Dienst weiterleiten.
• Sitzungsaffinität: Die vom Backend-Dienst verwendete Sitzungsaffinität.
• Betroffene Back-Ends: Die Back-Ends, die den Balancing-Modus UTILIZATION verwenden.

Weitere Informationen

• Sitzungsaffinität mit Balancing-Modus „Auslastung”
• Unterstützte Balancing-Modi nach Load-Balancer-Typ

Empfehlungen

Wenn Sie eine andere Sitzungsaffinität als NONE verwenden möchten, müssen Sie entweder den Balancing-Modus RATE oder CONNECTION verwenden. Sie können diesen Vorgang nur mit der Google Cloud-Befehlszeile oder der Compute Engine API ausführen und nicht mit der Google Cloud Console.

Wechseln Sie für Backend-Dienste des Proxy-Load-Balancers, die die HTTP-, HTTPS- oder HTTP/2-Protokolle verwenden, den Balancing-Modus mit dem Befehl gcloud compute backend-services update-backend auf RATE und wählen Sie den Rate-Balancing-Modus.

Das folgende Codebeispiel zeigt, wie Sie mit diesem Befehl den Modus in RATE wechseln:

gcloud compute backend-services update-backend BACKEND_SERVICE_NAME \
    BACKEND_SERVICE_SCOPE \
    --instance-group=INSTANCE_GROUP_NAME \
    INSTANCE_GROUP_SCOPE \
    --balancing-mode=RATE \
    TARGET_CAPACITY

Für Backend-Dienste des Proxy-Load-Balancers, die Nicht-HTTP-Protokolle wie TCP oder SSL verwenden, wechseln Sie zum Balancing-Modus zu CONNECTION, indem Sie den Befehl gcloud compute backend-services update-backend verwenden und den Balancing-Modus „Verbindung” auswählen.

Das folgende Codebeispiel zeigt, wie Sie mit diesem Befehl den Modus in CONNECTION wechseln:

gcloud compute backend-services update-backend BACKEND_SERVICE_NAME \
    BACKEND_SERVICE_SCOPE \
    --instance-group=INSTANCE_GROUP_NAME \
    INSTANCE_GROUP_SCOPE \
    --balancing-mode=CONNECTION \
    TARGET_CAPACITY

Ersetzen Sie in beiden Beispielen Folgendes:

• BACKEND_SERVICE_NAME: der Name des Backend-Dienstes
• BACKEND_SERVICE_SCOPE: der Bereich des Backend-Dienstes. Verwenden Sie für globale Backend-Dienste --global. Verwenden Sie für regionale Backend-Dienste --region=REGION und ersetzen Sie REGION durch die Region.
• INSTANCE_GROUP_NAME: Der Name der Backend-Instanzgruppe.
• INSTANCE_GROUP_SCOPE: Standort der Instanzgruppe. Verwenden Sie für regional verwaltete Instanzgruppen --region=REGION und ersetzen Sie REGION durch die Region. Verwenden Sie für zonale Instanzgruppen --zone=ZONE und ersetzen Sie ZONE durch die Zone.
• TARGET_CAPACITY: Eine Zielrate oder Spezifikation der Zielverbindung. Verwenden Sie für den Balancing Modus „Rate” die Flags --max-rate= oder --max-rate-per-instance=, die in der Übersicht der Backend-Dienste auf Balancing-Modus „Rate” verweisen. Verwenden Sie für den Balancing-Modus „Verbindung” das Flag --max-connections= oder --max-connections-per-instance=, die in der Übersicht der Backend-Dienste auf Balancing-Modus „Verbindung”.

Der Backend-Dienst verwendet unterschiedliche Ports für Systemdiagnose und Traffic.

Der Load-Balancer führt Systemdiagnosen an einigen Back-Ends an einem anderen Port durch und nicht an dem benannten Port, der vom Load-Balancer zum Bereitstellen von Traffic verwendet wird. Diese Konfiguration kann problematisch sein, es sei denn, Sie haben den Load-Balancer so konfiguriert, dass er absichtlich einen anderen Port verwendet.

Dies enthält folgende Informationen:

• Backend-Dienst: Der betroffene Backend-Dienst.
• Weiterleitungsregeln: Die Weiterleitungsregeln, die Traffic an den Backend-Dienst weiterleiten.
• Name des Bereitstellungsports: Der Portname, den der Backend-Dienst für Diensttraffic verwendet.
• Systemdiagnose: Die vom Backend-Dienst verwendete Systemdiagnose.
• Systemdiagnosenummer: Der von der Systemdiagnose verwendete Port.
• Betroffene Back-Ends: Die Instanzgruppen, auf denen der Bereitstellungsport vom Port der Systemdiagnose abweicht.

Weitere Informationen

Siehe Kategorie und Portspezifikation.

Empfehlungen

Konfigurieren Sie die Systemdiagnose mit der Spezifikation für den Bereitstellungsport, damit die Systemdiagnose denselben Port verwendet, den der Backend-Dienst verwendet. Das folgende Codebeispiel zeigt, wie Sie mit Google Cloud CLI-Befehlen Ihre Systemdiagnose für die Verwendung des Bereitstellungsports aktualisieren:

gcloud compute health-checks update PROTOCOL HEALTH_CHECK_NAME \
      HEALTH_CHECK_SCOPE \
      --use-serving-port

Ersetzen Sie Folgendes:

• PROTOCOL: Das von der Systemdiagnose verwendete Protokoll.
• HEALTH_CHECK_NAME: Der Name der Systemdiagnose.
• HEALTH_CHECK_SCOPE: Bereich der Systemdiagnose. Verwenden Sie für globale Systemdiagnosen --global. Verwenden Sie für regionale Systemdiagnosen --region=REGION und ersetzen Sie REGION durch die Region.

SSL-Zertifikate sind nicht mit Load-Balancern verknüpft.

Dies weist darauf hin, dass Ihr Projekt von Google verwaltete SSL-Zertifikate hat, die keinem Load-Balancer zugeordnet sind, der entweder SSL- oder HTTPS-Traffic verarbeitet. Von Google verwaltete SSL-Zertifikate können erst verwendet werden, wenn die Zertifikate an einen Load-Balancer angehängt sind. Eine Liste der nicht angehängten Zertifikate finden Sie in den Statistikdetails.

Weitere Informationen

• Von Google verwaltete SSL-Zertifikate verwenden
• Fehlerbehebung für von Google verwaltete SSL-Zertifikate

Empfehlungen

Sie können ein von Google verwaltetes SSL-Zertifikat vor, während oder nach dem Erstellen des Load-Balancers erstellen. Um ACTIVE zu werden, muss das von Google verwaltete SSL-Zertifikat einem Load-Balancer zugeordnet sein, insbesondere dem Zielproxy des Load-Balancers.

Nachdem Sie Ihr SSL-Zertifikat erstellt haben und es den Status PROVISIONING hat, können Sie es beim Erstellen des Load-Balancers verwenden oder es verwenden, um einen vorhandenen Load-Balancer zu aktualisieren. Weitere Informationen zu Ihrem von Google verwalteten Zertifikat finden Sie unter Fehlerbehebung bei von Google verwalteten SSL-Zertifikaten.

SSL-Zertifikate, die mit einem Load-Balancer verknüpft sind, geben Port 443 nicht frei

Dies weist darauf hin, dass von Google verwaltete SSL-Zertifikate Ihres Projekts nicht ordnungsgemäß funktionieren, da die damit verbundenen Weiterleitungsregeln den Port 443 nicht freigeben. Eine Liste dieser Zertifikate finden Sie in den Statistikdetails.

Weitere Informationen

• Weiterleitungsregel erstellen
• Fehlerbehebung für von Google verwaltete Zertifikate

Empfehlungen

Erstellen Sie eine Weiterleitungsregel mit Port 443, wenn Sie einen Load-Balancer erstellen oder aktualisieren.