Estadísticas del balanceador de cargas

En esta página, se describen las estadísticas de Network Analyzer para los balanceadores de cargas. Para obtener información sobre todos los tipos de estadísticas, consulta Grupos y tipos de estadísticas.

Ve estadísticas en la API de recomendador

Para ver estas estadísticas en gcloud CLI o la API de recomendador, usa el siguiente tipo de estadística:

• google.networkanalyzer.networkservices.loadBalancerInsight

Necesitas los siguientes permisos:

• recommender.networkAnalyzerLoadBalancerInsights.list
• recommender.networkAnalyzerLoadBalancerInsights.get

Si deseas obtener más información sobre el uso de la API de Recommender para las estadísticas de Network Analyzer, consulta Usa la CLI y la API de Recommender.

El firewall de verificación de estado no está configurado

Esta estadística indica que el firewall de verificación de estado no está configurado en la red de VPC que usa el balanceador de cargas. La estadística incluye la siguiente información:

• Balanceador de cargas: Nombre del balanceador de cargas.
• Regla de reenvío: Nombre de la regla de reenvío específica.
• Red: Nombre de la red en la que está configurado el balanceador de cargas.
• Firewalls de bloqueo: Nombre de los firewalls que bloquean los rangos de direcciones IP de verificación de estado.
• Backends mal configurados: Backends del balanceador de cargas que no incluyen la regla de firewall que permite los rangos de direcciones IP de verificación de estado.

Recomendaciones

Configura la regla de firewall de verificación de estado para permitir explícitamente que el rango de direcciones IP de verificación de estado acceda a los backends del balanceador de cargas. Si deseas obtener más información, consulta las Reglas de firewall para los balanceadores de cargas.

El rango de direcciones IP de verificación de estado está bloqueado

Indica que una regla de firewall configurada por el usuario bloquea el rango de direcciones IP de verificación de estado. En los detalles de las estadísticas, puedes encontrar la regla de firewall que bloquea el rango de direcciones de verificación de estado.

Recomendaciones

Si deseas identificar el rango de direcciones de verificación de estado del tipo de balanceador de cargas, consulta Reglas de firewall para balanceadores de cargas.

• Si la regla de firewall de bloqueo tiene un rango de direcciones IP más amplio, crea una regla de permiso de mayor prioridad para el rango de direcciones IP de verificación de estado.
• Si la regla de firewall de bloqueo tiene un rango de direcciones IP igual o menor que el rango de direcciones IP de verificación de estado, quita la regla de firewall de bloqueo.

La configuración de firewall es incoherente

Indica que la configuración de firewall es incoherente entre las VM de backend. El rango de direcciones IP de verificación de estado está permitido en algunas VM de backend, mientras que se rechaza en otras. Este problema se produce cuando algunas etiquetas de red o cuentas de servicio se modifican por error en algunas VM de backend. La estadística incluye la siguiente información:

• Balanceador de cargas: Nombre del balanceador de cargas
• Regla de reenvío: Nombre de la regla de reenvío específica
• Red: Nombre de la red en la que está configurado el balanceador de cargas
• Bloqueo de firewalls: Nombre de los firewalls que bloquean rangos de verificación de estado
• Firewalls con permisos parciales: Nombre de los firewalls que permiten el tráfico de verificación de estado en las VM de backend configuradas de forma correcta
• Backends mal configurados: Backends que tienen este problema, en los que la configuración de firewall para el rango de direcciones IP de verificación de estado no funciona de manera correcta

Temas relacionados

• Filtrado por cuenta de servicio en comparación con etiqueta de red
• Reglas de firewall para balanceadores de cargas

Recomendaciones

Busca las etiquetas mal configuradas mediante la comparación de las etiquetas configuradas en VM de backend mal configuradas con las etiquetas configuradas en las reglas de firewall que permiten parcialmente. Modifica las etiquetas y las cuentas de servicio en las VM de backend mal configuradas para tener los mismos valores que las etiquetas y las cuentas de servicio en las VM de backend que funcionan.

El rango de direcciones IP de verificación de estado está bloqueado parcialmente

Indica que todos los backends tienen tráfico parcialmente bloqueado en el rango de verificación de estado. El tráfico de verificación de estado está permitido para algunos rangos de direcciones IP de verificación de estado y se rechaza para otros rangos de direcciones IP de verificación de estado. La estadística incluye la siguiente información:

• Balanceador de cargas: Nombre del balanceador de cargas
• Regla de reenvío: Nombre de la regla de reenvío específica
• Red: Nombre de la red en la que está configurado el balanceador de cargas
• Bloqueo de firewalls: Nombre de los firewalls que bloquean rangos de verificación de estado
• Firewalls con permisos parciales: Nombre de los firewalls que permiten el tráfico de verificación de estado en las VM de backend configuradas de forma correcta
• Backends mal configurados: Backends que tienen este problema, en los que la configuración de firewall para el rango de verificación de estado no funciona de manera correcta
• Rangos de verificaciones de estado bloqueados: Rangos de direcciones IP en los que está bloqueado el tráfico de verificación de estado

Temas relacionados

• Reglas de firewall para balanceadores de cargas

Recomendaciones

Compara los rangos de direcciones IP en las reglas de firewall que permiten parcialmente con el rango de direcciones IP de verificación de estado para tu tipo de balanceador de cargas. Si faltan rangos de direcciones IP, agrégalos a tu regla de firewall de permiso. Si la estadística persiste, asegúrate de que la prioridad de las reglas de firewall que se permiten parcialmente sea mayor que la de la regla de firewall que rechaza.

El modo de balanceo del servicio de backend interrumpe la afinidad de sesión

Esta estadística se activa cuando el servicio de backend de un balanceador de cargas basado en proxy tiene una afinidad de sesión distinta de NONE y tiene uno o más backends de grupos de instancias que usan el modo de balanceo UTILIZATION. La afinidad de sesión puede interrumpirse cuando el tráfico al balanceador de cargas es bajo. El balanceador de cargas también descarta una parte de las sesiones cuando la cantidad de backends cambia cuando se agregan o quitan backends del balanceador de cargas, como en casos de una falla de la verificación de estado o un éxito consecuente. La cantidad de sesiones que se descartan es proporcional a la cantidad de backends que cambian. Estos cambios también interrumpen la afinidad de sesión para esas sesiones.

Esta estadística incluye la siguiente información:

• Servicio de backend: Es el servicio de backend afectado.
• Reglas de reenvío: Las reglas de reenvío que dirigen el tráfico a este servicio de backend.
• Afinidad de sesión: la afinidad de sesión que usa el servicio de backend.
• Backends afectados: Los backends que usan el modo de balanceo UTILIZATION.

Temas relacionados

• Pérdida de la afinidad de sesión con el modo de balanceo de uso
• Modos de balanceo admitidos por tipo de balanceador de cargas

Recomendaciones

Para usar una afinidad de sesión distinta de NONE, debes usar los modos de balanceo RATE o CONNECTION. Puedes realizar esta operación solo con Google Cloud CLI o la API de Compute Engine, no en la consola de Google Cloud.

Para los servicios de backend del balanceador de cargas de proxy que usan los protocolos HTTP, HTTPS o HTTP/2, cambia el modo de balanceo a RATE mediante el comando gcloud compute backend-services update-backend y elige el modo de balanceo de frecuencias.

En la siguiente muestra de código, se indica cómo usar este comando para cambiar el modo a RATE:

gcloud compute backend-services update-backend BACKEND_SERVICE_NAME \
    BACKEND_SERVICE_SCOPE \
    --instance-group=INSTANCE_GROUP_NAME \
    INSTANCE_GROUP_SCOPE \
    --balancing-mode=RATE \
    TARGET_CAPACITY

Para los servicios de backend del balanceador de cargas de proxy que usan protocolos que no son HTTP (como TCP o SSL), cambia el modo de balanceo a CONNECTION mediante el comando gcloud compute backend-services update-backend y elige el modo de balanceo de conexiones.

En la siguiente muestra de código, se indica cómo usar este comando para cambiar el modo a CONNECTION:

gcloud compute backend-services update-backend BACKEND_SERVICE_NAME \
    BACKEND_SERVICE_SCOPE \
    --instance-group=INSTANCE_GROUP_NAME \
    INSTANCE_GROUP_SCOPE \
    --balancing-mode=CONNECTION \
    TARGET_CAPACITY

En ambos ejemplos, reemplaza lo siguiente:

• BACKEND_SERVICE_NAME: Es el nombre del servicio de backend.
• BACKEND_SERVICE_SCOPE: El permiso del servicio de backend Para servicios de backend globales, usa --global. Para los servicios de backend regionales, usa --region=REGION y reemplaza REGION por la región.
• INSTANCE_GROUP_NAME: Es el nombre del grupo de instancias de backend.
• INSTANCE_GROUP_SCOPE: Es la ubicación del grupo de instancias. Para los grupos de instancias administrados regionales, usa --region=REGION y reemplaza REGION por la región. Para grupos de instancias zonales, usa --zone=ZONE y reemplaza ZONE por la zona.
• TARGET_CAPACITY: Es una tarifa objetivo o una especificación de conexión objetivo. Para el modo de balanceo de tarifas, usa las marcas --max-rate= o --max-rate-per-instance=, consultando el modo de balanceo de tarifas en la descripción general de los servicios de backend. Para el modo de balanceo de conexiones de soltar, usa las marcas --max-connections= o --max-connections-per-instance=. Para ello, consulta Modo de balanceo de conexiones en la descripción general de los servicios de backend.

El servicio de backend usa puertos diferentes para la verificación de estado y el tráfico

El balanceador de cargas realiza verificaciones de estado en algunos backends en un puerto diferente y no en el puerto con nombre que usa el balanceador de cargas para entregar tráfico. Esta configuración puede ser problemática, a menos que hayas configurado el balanceador de cargas para usar un puerto diferente de manera deliberada.

Esta estadística incluye la siguiente información:

• Servicio de backend: Es el servicio de backend afectado.
• Reglas de reenvío: Las reglas de reenvío que dirigen el tráfico al servicio de backend.
• Nombre del puerto de entrega: Es el nombre del puerto que usa el servicio de backend para el tráfico del servicio.
• Verificación de estado: Es la verificación de estado que usa el servicio de backend.
• Número de puerto de la verificación de estado: Es el puerto que usa la verificación de estado.
• Backends afectados: Son los grupos de instancias en los que el puerto de entrega es diferente del puerto de verificación de estado.

Temas relacionados

Consulta Categoría y especificación de puerto.

Recomendaciones

Configura la verificación de estado con la especificación de puerto de servicio de uso para que la verificación de estado use el mismo puerto que usa el servicio de backend. En la siguiente muestra de código, se indica cómo usar los comandos de Google Cloud CLI a fin de actualizar la verificación de estado para usar el puerto de entrega:

gcloud compute health-checks update PROTOCOL HEALTH_CHECK_NAME \
      HEALTH_CHECK_SCOPE \
      --use-serving-port

Reemplaza lo siguiente:

• PROTOCOL: Es el protocolo que usa la verificación de estado.
• HEALTH_CHECK_NAME: Es el nombre de la verificación de estado.
• HEALTH_CHECK_SCOPE: Es el alcance de la verificación de estado. Para las verificaciones de estado globales, usa --global. Para las verificaciones de estado regional, usa --region=REGION y reemplaza REGION por la región.

Los certificados SSL no están asociados con balanceadores de cargas

Esto indica que el proyecto tiene certificados SSL administrados por Google que no están asociados con un balanceador de cargas que controle tráfico SSL o HTTPS. Los certificados SSL administrados por Google no se pueden usar hasta que los certificados se adjunten a un balanceador de cargas. Puedes ver la lista de certificados no adjuntos en los detalles de la estadística.

Temas relacionados

• Usa certificados SSL administrados por Google
• Soluciona problemas de certificados SSL administrados por Google

Recomendaciones

Puedes crear un certificado SSL administrado por Google antes, durante o después de crear el balanceador de cargas. Para convertirse en ACTIVE, el certificado SSL administrado por Google debe estar asociado a un balanceador de cargas, en particular, el proxy de destino del balanceador de cargas.

Una vez que creaste el certificado SSL y este se encuentra en el estado PROVISIONING, puedes usarlo durante la creación del balanceador de cargas o puedes usarlo para actualizar un balanceador de cargas existente. Para obtener más información sobre el certificado administrado por Google, consulta Soluciona problemas relacionados con los certificados SSL administrados por Google.

Los certificados SSL asociados con un balanceador de cargas no exponen el puerto 443.

Esto indica que tu proyecto tiene certificados SSL administrados por Google que no funcionan correctamente porque las reglas de reenvío asociadas a ellos no exponen el puerto 443. Puedes ver una lista de estos certificados en los detalles de las estadísticas.

Temas relacionados

• Crea una regla de reenvío
• Soluciona problemas de certificados administrados por Google

Recomendaciones

Crea una regla de reenvío con el puerto 443 cuando crees o actualices un balanceador de cargas.