En esta página, se describen las estadísticas de Network Analyzer para los balanceadores de cargas. Para obtener información sobre todos los tipos de estadísticas, consulta Grupos y tipos de estadísticas.
Cómo ver estadísticas en la API de Recommender
Para ver estas estadísticas en la CLI de gcloud o la API de Recommender, usa el siguiente tipo de estadística:
google.networkanalyzer.networkservices.loadBalancerInsight
Necesitas los siguientes permisos:
recommender.networkAnalyzerLoadBalancerInsights.list
recommender.networkAnalyzerLoadBalancerInsights.get
Si deseas obtener más información sobre el uso de la API de Recommender para Estadísticas de Network Analyzer, consulta Usa la CLI y la API del recomendador.
El firewall de verificación de estado no está configurado
Esta estadística indica que el firewall de verificación de estado no está configurado en la red de VPC que usa el balanceador de cargas. La estadística incluye la siguiente información:
- Balanceador de cargas: Nombre del balanceador de cargas.
- Regla de reenvío: Nombre de la regla de reenvío específica.
- Red: Nombre de la red en la que está configurado el balanceador de cargas.
- Firewalls de bloqueo: Nombre de los firewalls que bloquean los rangos de direcciones IP de verificación de estado.
- Backends mal configurados: Backends del balanceador de cargas que no incluyen la regla de firewall que permite los rangos de direcciones IP de verificación de estado.
Recomendaciones
Configura la regla de firewall de verificación de estado para permitir explícitamente que el rango de direcciones IP de verificación de estado acceda a los backends del balanceador de cargas. Si deseas obtener más información, consulta las Reglas de firewall para los balanceadores de cargas.
El rango de direcciones IP de verificación de estado está bloqueado
Esta estadística indica que una regla de firewall configurada por el usuario bloquea la y el rango de direcciones IP de verificación de estado. Desde los detalles de la estadística, puedes encontrar la regla de firewall que bloquea el rango de direcciones de verificación de estado.
Recomendaciones
Si deseas identificar el rango de direcciones de verificación de estado del tipo de balanceador de cargas, consulta Reglas de firewall para balanceadores de cargas.
- Si la regla de firewall de bloqueo tiene un rango de direcciones IP más amplio, crea una regla de permiso de mayor prioridad para el rango de direcciones IP de verificación de estado.
- Si la regla de firewall de bloqueo tiene un rango de direcciones IP igual o menor que el rango de direcciones IP de verificación de estado, quita la regla de firewall de bloqueo.
La configuración de firewall es incoherente
Esta estadística indica que la configuración del firewall no es coherente las VMs de backend. El rango de direcciones IP de verificación de estado se permite en algunas VMs de backend mientras que en otros se rechaza. Este problema ocurre cuando las etiquetas de red las cuentas se modifican por error en algunas VMs de backend. La estadística incluye la siguiente información:
- Balanceador de cargas: Nombre del balanceador de cargas
- Regla de reenvío: Nombre de la regla de reenvío específica
- Red: Nombre de la red en la que está configurado el balanceador de cargas
- Bloqueo de firewalls: Nombre de los firewalls que bloquean rangos de verificación de estado
- Firewalls con permisos parciales: Nombre de los firewalls que permiten el tráfico de verificación de estado en las VM de backend configuradas de forma correcta
- Backends mal configurados: Backends que tienen este problema, en los que la configuración de firewall para el rango de direcciones IP de verificación de estado no funciona de manera correcta
Temas relacionados
- Filtrado por cuenta de servicio en comparación con etiqueta de red
- Reglas de firewall para balanceadores de cargas
Recomendaciones
Busca las etiquetas mal configuradas mediante la comparación de las etiquetas configuradas en VM de backend mal configuradas con las etiquetas configuradas en las reglas de firewall que permiten parcialmente. Modifica las etiquetas y las cuentas de servicio en las VM de backend mal configuradas para tener los mismos valores que las etiquetas y las cuentas de servicio en las VM de backend que funcionan.
El rango de direcciones IP de verificación de estado está bloqueado parcialmente
Esta estadística indica que todos los backends tienen tráfico bloqueado de forma parcial en el rango de verificación de estado. Se permite el tráfico de verificación de estado para alguna IP de verificación de estado de direcciones IP y denegados para otros rangos de direcciones IP de verificación de estado. La conclusión incluye la siguiente información:
- Balanceador de cargas: Nombre del balanceador de cargas
- Regla de reenvío: Nombre de la regla de reenvío específica
- Red: Nombre de la red en la que está configurado el balanceador de cargas
- Bloqueo de firewalls: Nombre de los firewalls que bloquean rangos de verificación de estado
- Firewalls con permisos parciales: Nombre de los firewalls que permiten el tráfico de verificación de estado en las VM de backend configuradas de forma correcta
- Backends mal configurados: Backends que tienen este problema, en los que la configuración de firewall para el rango de verificación de estado no funciona de manera correcta
- Rangos de verificaciones de estado bloqueados: Rangos de direcciones IP en los que está bloqueado el tráfico de verificación de estado
Temas relacionados
Recomendaciones
Compara los rangos de direcciones IP en las reglas de firewall que permiten parcialmente con el rango de direcciones IP de verificación de estado para tu tipo de balanceador de cargas. Si faltan rangos de direcciones IP, agrégalos a tu regla de firewall de permiso. Si la estadística persiste, asegúrate de que la prioridad de las reglas de firewall que se permiten parcialmente sea mayor que la de la regla de firewall que rechaza.
El modo de balanceo del servicio de backend interrumpe la afinidad de sesión
Esta estadística se activa cuando el servicio de backend
de un balanceador de cargas basado en proxy
una afinidad de sesión distinta de NONE
y tiene uno o más backends de grupos de instancias
con el modo de balanceo UTILIZATION
. La afinidad de sesión puede fallar cuando
tráfico al balanceador de cargas es bajo.
El balanceador de cargas también descarta una parte de las sesiones cuando cambia la cantidad de backends cuando se agregan o quitan backends del balanceador de cargas, como en el caso de una falla en la verificación de estado o un éxito consecuente. La cantidad de
de sesiones descartadas es proporcional a la cantidad de backends
cambian. Estos cambios también interrumpen la afinidad de sesión para esas sesiones.
Esta estadística incluye la siguiente información:
- Servicio de backend: Es el servicio de backend afectado.
- Reglas de reenvío: Son las reglas de reenvío que dirigen el tráfico a este. servicio de backend.
- Afinidad de sesión: la afinidad de sesión que usa el servicio de backend
- Backends afectados: Los backends que usan el balanceo
UTILIZATION
.
Temas relacionados
- Pérdida de afinidad de sesión con el modo de balanceo de uso
- Modos de balanceo admitidos por tipo de balanceador de cargas
Recomendaciones
Para usar una afinidad de sesión distinta de NONE
, debes usar RATE
o
Modos de balanceo de CONNECTION
. Puedes realizar esta operación solo con Google Cloud CLI o la API de Compute Engine, no en la consola de Google Cloud.
Para los servicios de backend del balanceador de cargas de proxy que usan los protocolos HTTP, HTTPS o HTTP/2, cambia el modo de balanceo a RATE
con el comando gcloud compute backend-services update-backend
y elige el modo de balanceo de frecuencia.
En la siguiente muestra de código, se muestra cómo usar este comando para cambiar el modo a RATE
:
gcloud compute backend-services update-backend BACKEND_SERVICE_NAME \ BACKEND_SERVICE_SCOPE \ --instance-group=INSTANCE_GROUP_NAME \ INSTANCE_GROUP_SCOPE \ --balancing-mode=RATE \ TARGET_CAPACITY
Para servicios de backend de balanceador de cargas de proxy que usan protocolos que no son HTTP
(como TCP o SSL), cambia el modo de balanceo a CONNECTION
mediante el
el comando gcloud compute backend-services update-backend
y elige la
modo de balanceo de conexiones.
En la siguiente muestra de código, se indica cómo usar este comando para cambiar el modo a
CONNECTION
:
gcloud compute backend-services update-backend BACKEND_SERVICE_NAME \ BACKEND_SERVICE_SCOPE \ --instance-group=INSTANCE_GROUP_NAME \ INSTANCE_GROUP_SCOPE \ --balancing-mode=CONNECTION \ TARGET_CAPACITY
En ambos ejemplos, reemplaza lo siguiente:
- BACKEND_SERVICE_NAME: Es el nombre del servicio de backend.
- BACKEND_SERVICE_SCOPE: Es el permiso del servicio de backend. Para todo el mundo
servicios de backend, usa
--global
. Para servicios de backend regionales, usa--region=
REGION y reemplaza REGION por la región. - INSTANCE_GROUP_NAME: Es el nombre del grupo de instancias de backend.
- INSTANCE_GROUP_SCOPE: Es la ubicación del grupo de instancias.
Para los grupos de instancias administrados regionales, usa
--region=
REGION, y reemplaza REGION por la región. Para los grupos de instancias zonales, usa--zone=
ZONE y reemplaza ZONE por la zona. - TARGET_CAPACITY: Es una tasa objetivo o una especificación de conexión objetivo. Para el modo de balanceo de tasas, usa las marcas
--max-rate=
o--max-rate-per-instance=
, y consulta Modo de balanceo de tasas en la descripción general de los servicios de backend. Para el modo de balanceo de conexiones de caída, usa las marcas--max-connections=
o--max-connections-per-instance=
, consulta Modo de balanceo de conexiones en la descripción general de los servicios de backend.
El servicio de backend usa puertos diferentes para la verificación de estado y el tráfico
El balanceador de cargas realiza verificaciones de estado en algunos backends de un puerto diferente y no en el puerto con nombre que usa el balanceador de cargas para entregar tráfico. Esta configuración puede ser problemática, a menos que hayas configurado el balanceador de cargas para que use un puerto diferente de forma intencional.
Esta estadística incluye la siguiente información:
- Servicio de backend: Es el servicio de backend afectado.
- Reglas de reenvío: Son las reglas de reenvío que dirigen el tráfico al backend. servicio.
- Nombre del puerto de entrega: Es el nombre del puerto que usa el servicio de backend para el tráfico de servicio.
- Verificación de estado: Es la verificación de estado que usa el servicio de backend.
- Número de puerto de la verificación de estado: Es el puerto que usa la verificación de estado.
- Backends afectados: Son los grupos de instancias en los que se encuentra el puerto de entrega. diferente del puerto de verificación de estado.
Temas relacionados
Consulta Categoría y especificación de puerto.
Recomendaciones
Configura la verificación de estado con la especificación de usar el puerto de entrega para que la verificación de estado use el mismo puerto que usa el servicio de backend. En la siguiente muestra de código, se muestra cómo usar los comandos de Google Cloud CLI para actualizar la verificación de estado para usar el puerto de publicación:
gcloud compute health-checks update PROTOCOL HEALTH_CHECK_NAME \ HEALTH_CHECK_SCOPE \ --use-serving-port
Reemplaza lo siguiente:
- PROTOCOL: Es el protocolo que usa la verificación de estado.
- HEALTH_CHECK_NAME: Es el nombre de la verificación de estado.
- HEALTH_CHECK_SCOPE: El permiso de la verificación de estado. Para todo el mundo
de estado, usa
--global
. Para las verificaciones de estado regionales, Usa--region=
REGION y reemplaza REGION por la región.
Los certificados SSL no están asociados con los balanceadores de cargas
Esto indica que tu proyecto tiene certificados SSL administrados por Google que no están asociados con un balanceador de cargas que maneja tráfico SSL o HTTPS. Los certificados SSL administrados por Google no se pueden usar hasta que se conectadas a un balanceador de cargas. Puedes ver la lista de certificados no adjuntos en los detalles de la estadística.
Temas relacionados
- Usa certificados SSL administrados por Google
- Soluciona problemas de certificados SSL administrados por Google
Recomendaciones
Puedes crear un certificado SSL administrado por Google antes, durante o después de crear el balanceador de cargas. Para convertirse en ACTIVE
, el certificado SSL administrado por Google debe estar asociado con un balanceador de cargas, en particular, el proxy de destino del balanceador de cargas.
Después de crear tu certificado SSL y que esté en el estado PROVISIONING
,
puedes usarlo durante la creación del balanceador de cargas o puedes usarlo para
actualizar un balanceador de cargas existente. Para obtener más información sobre tu
certificado administrado por Google; consulta Solucionar problemas de SSL administrada por Google
certificados.
Certificados SSL asociados con un balanceador de cargas que no expone el puerto 443
Esto indica que tu proyecto tiene certificados SSL administrados por Google que no están
funcionan correctamente porque las reglas de reenvío asociadas a ellos no
exponer el puerto 443
. Puedes ver una lista de estos certificados en la
detalles de estadísticas.
Temas relacionados
Recomendaciones
Crea una regla de reenvío con el puerto 443
durante la creación
o la actualización de un balanceador de cargas.