Insights sur l'équilibreur de charge

Cette page décrit les insights de Network Analyzer pour les équilibreurs de charge. Pour en savoir plus sur tous les types d'insights, consultez la section Groupes et types d'insights.

Afficher les insights dans l'API Recommender

Pour afficher ces insights dans gcloud CLI ou l'API Recommender, utilisez le type d'insight suivant :

• google.networkanalyzer.networkservices.loadBalancerInsight

Vous devez disposer des autorisations suivantes :

• recommender.networkAnalyzerLoadBalancerInsights.list
• recommender.networkAnalyzerLoadBalancerInsights.get

Pour en savoir plus sur l'utilisation de l'API Recommender pour les insights de Network Analyzer, consultez la section Utiliser la CLI et l'API Recommender.

Le pare-feu de vérification de l'état n'est pas configuré

Cet insight indique que le pare-feu de vérification d'état n'est pas configuré sur le réseau VPC utilisé par l'équilibreur de charge. Il inclut les informations suivantes:

• Load balancer (Équilibreur de charge) : nom de l'équilibreur de charge.
• Règle de transfert:nom de la règle de transfert spécifique.
• Réseau:nom du réseau sur lequel l'équilibreur de charge est configuré.
• Pare-feu à l'origine du blocage:nom des pare-feu qui bloquent les plages d'adresses IP de vérification d'état.
• Backends mal configurés:backends de l'équilibreur de charge qui n'incluent pas la règle de pare-feu autorisant les plages d'adresses IP pour les vérifications d'état.

Recommandations

Configurez la règle de pare-feu de vérification d'état pour autoriser explicitement la plage d'adresses IP de vérification d'état à accéder aux backends de l'équilibreur de charge. Pour plus d'informations, consultez la page Règles de pare-feu pour les équilibreurs de charge.

La plage d'adresses IP de la vérification d'état est bloquée

Indique qu'une règle de pare-feu configurée par l'utilisateur bloque la plage d'adresses IP de la vérification d'état. Dans les détails de l'insight, vous pouvez trouver la règle de pare-feu qui bloque la plage d'adresses de la vérification de l'état.

Recommandations

Pour identifier la plage d'adresses de vérification d'état de votre type d'équilibreur de charge, consultez la page Règles de pare-feu pour les équilibreurs de charge.

• Si la règle de pare-feu bloquante possède une plage d'adresses IP plus étendue, créez une règle d'autorisation avec une priorité plus élevée pour la plage d'adresses IP de la vérification d'état.
• Si la règle de pare-feu bloquante est associée à la même plage d'adresses IP que celle de la vérification d'état ou à une plage plus petite, supprimez cette règle de pare-feu.

La configuration du pare-feu est incohérente

Indique que la configuration du pare-feu est incohérente entre les VM de backend. La plage d'adresses IP de la vérification de l'état est autorisée sur certaines VM de backend, tandis qu'elle est refusée sur d'autres. Ce problème survient lorsque des tags réseau ou des comptes de service sont modifiés par erreur sur certaines VM de backend. Cet insight inclut les informations suivantes :

• Équilibreur de charge : nom de l'équilibreur de charge.
• Règle de transfert : nom de la règle de transfert spécifique.
• Réseau : nom du réseau sur lequel l'équilibreur de charge est configuré.
• Pare-feu bloquant la connectivité : nom des pare-feu qui bloquent les plages de vérification d'état.
• Pare-feu avec autorisations partielles : nom des pare-feu qui autorisent le trafic de vérification d'état sur les VM de backend correctement configurées.
• Backends mal configurés : les backends qui présentent ce problème, pour lesquels la configuration de pare-feu pour la plage d'adresses IP de la vérification d'état ne fonctionne pas correctement.

Articles associés

• Filtrer par compte de service ou par tag réseau
• Règles de pare-feu pour les équilibreurs de charge

Recommandations

Recherchez les tags mal configurés, en comparant ceux configurés sur les VM de backend mal configurées avec les tags configurés sur les règles de pare-feu avec autorisations partielles. Modifiez les tags et les comptes de service sur les VM de backend mal configurées pour qu'ils aient les mêmes valeurs que les tags et comptes de service sur les VM de backend opérationnelles.

La plage d'adresses IP de la vérification d'état est partiellement bloquée

Indique que tous les backends ont partiellement bloqué le trafic sur la plage de vérification d'état. Le trafic de vérification d'état est autorisé pour certaines plages d'adresses IP de vérification d'état, et refusé pour d'autres. Il inclut les informations suivantes:

• Équilibreur de charge : nom de l'équilibreur de charge.
• Règle de transfert : nom de la règle de transfert spécifique.
• Réseau : nom du réseau sur lequel l'équilibreur de charge est configuré.
• Pare-feu bloquant la connectivité : nom des pare-feu qui bloquent les plages de vérification d'état.
• Pare-feu avec autorisations partielles : nom des pare-feu qui autorisent le trafic de vérification d'état sur les VM de backend correctement configurées.
• Backends mal configurés : les backends qui présentent ce problème, pour lesquels la configuration de pare-feu pour la plage de vérification d'état ne fonctionne pas correctement.
• Plages dont la vérification d'état est bloquée : plages d'adresses IP pour lesquelles le trafic de vérification d'état est bloqué.

Articles associés

• Règles de pare-feu pour les équilibreurs de charge

Recommandations

Comparez les plages d'adresses IP de vos règles de pare-feu avec autorisations partielles à la plage d'adresses IP de vérification d'état pour votre type d'équilibreur de charge. Si des plages d'adresses IP sont manquantes, ajoutez-les à votre règle de pare-feu autorisant le trafic. Si cet insight est toujours renvoyé, assurez-vous que la priorité des règles de pare-feu avec autorisations partielles est supérieure à celle de la règle de pare-feu refusant le trafic.

Le mode d'équilibrage du service de backend rompt l'affinité de session

Cet insight est déclenché lorsque le service de backend d'un équilibreur de charge basé sur un proxy a une affinité de session autre que NONE et possède un ou plusieurs backends de groupes d'instances utilisant le mode d'équilibrage UTILIZATION. L'affinité de session peut être rompue lorsque le trafic vers l'équilibreur de charge est faible. L'équilibreur de charge supprime également une partie des sessions lorsque la quantité de backends change quand des backends sont ajoutés ou supprimés de l'équilibreur de charge, par exemple en cas d'échec ou suivant la réussite de la vérification d'état. Le nombre de sessions supprimées est proportionnel à la quantité de backends en cours de modification. Ces modifications rompent également l'affinité de session pour ces sessions.

Cet insight inclut les informations suivantes:

• Service de backend: le service de backend concerné.
• Règles de transfert: règles de transfert qui dirigent le trafic vers ce service de backend.
• Affinité de session: affinité de session utilisée par le service de backend.
• Backends concernés: backends utilisant le mode d'équilibrage UTILIZATION.

Articles associés

• Perte d'affinité de session avec le mode d'équilibrage de l'utilisation
• Modes d'équilibrage acceptés par type d'équilibreur de charge

Recommandations

Pour utiliser une affinité de session autre que NONE, vous devez utiliser les modes d'équilibrage RATE ou CONNECTION. Cette opération n'est possible qu'avec Google Cloud CLI ou l'API Compute Engine, et non avec la console Google Cloud.

Pour les services de backend d'équilibreur de charge proxy qui utilisent les protocoles HTTP, HTTPS ou HTTP/2, définissez le mode d'équilibrage sur RATE en utilisant la commande gcloud compute backend-services update-backend et choisissez l'option mode d'équilibrage du débit.

L'exemple de code suivant montre comment utiliser cette commande pour passer en mode RATE :

gcloud compute backend-services update-backend BACKEND_SERVICE_NAME \
    BACKEND_SERVICE_SCOPE \
    --instance-group=INSTANCE_GROUP_NAME \
    INSTANCE_GROUP_SCOPE \
    --balancing-mode=RATE \
    TARGET_CAPACITY

Pour les services de backend d'équilibreur de charge proxy qui utilisent des protocoles non HTTP (tels que TCP ou SSL), définissez le mode d'équilibrage sur CONNECTION en utilisant la commande gcloud compute backend-services update-backend et choisissez l'option mode d'équilibrage de connexion.

L'exemple de code suivant montre comment utiliser cette commande pour passer en mode CONNECTION :

gcloud compute backend-services update-backend BACKEND_SERVICE_NAME \
    BACKEND_SERVICE_SCOPE \
    --instance-group=INSTANCE_GROUP_NAME \
    INSTANCE_GROUP_SCOPE \
    --balancing-mode=CONNECTION \
    TARGET_CAPACITY

Dans les deux exemples, remplacez les éléments suivants :

• BACKEND_SERVICE_NAME : nom du service de backend.
• BACKEND_SERVICE_SCOPE : champ d'application du service de backend. Pour les services de backend globaux, utilisez --global. Pour les services de backend régionaux, utilisez --region=REGION, en remplaçant REGION par la région.
• INSTANCE_GROUP_NAME : nom du groupe d'instances backend.
• INSTANCE_GROUP_SCOPE : emplacement du groupe d'instances. Pour les groupes d'instances gérés régionaux, utilisez --region=REGION, en remplaçant REGION par la région. Pour les groupes d'instances zonaux, utilisez --zone=ZONE, en remplaçant ZONE par la zone.
• TARGET_CAPACITY : débit cible ou spécification de connexion cible. Pour le mode d'équilibrage du débit, utilisez les options --max-rate= ou --max-rate-per-instance=, en vous reportant à la section Mode d'équilibrage du débit de la présentation des services de backend. Pour le mode d'équilibrage de connexion, utilisez les options --max-connections= ou --max-connections-per-instance=, en vous reportant à la section Mode d'équilibrage de connexion de la présentation des services de backend.

Le service de backend utilise des ports différents pour la vérification d'état et pour le trafic

L'équilibreur de charge vérifie l'état de certains backends sur un port différent du port nommé avec lequel il diffuse le trafic. Cette configuration peut poser problème, sauf si vous avez configuré l'équilibreur de charge de façon à utiliser un port différent délibérément.

Cet insight inclut les informations suivantes:

• Service de backend: le service de backend concerné.
• Règles de transfert: règles de transfert qui dirigent le trafic vers le service de backend.
• Nom du port de diffusion: nom du port utilisé par le service de backend pour le trafic du service.
• Vérification de l'état: vérification de l'état utilisée par le service de backend.
• Numéro de port de la vérification d'état: port utilisé par la vérification d'état.
• Backends concernés: groupes d'instances sur lesquels le port de diffusion est différent du port de vérification de l'état.

Articles associés

Consultez la section Spécifier des catégories et des ports.

Recommandations

Configurez la vérification d'état avec la spécification "utiliser le port de diffusion" afin qu'elle utilise le même port que celui utilisé par le service de backend. L'exemple de code suivant montre comment utiliser la commande Google Cloud CLI pour mettre à jour la vérification d'état afin qu'elle utilise le port de diffusion :

gcloud compute health-checks update PROTOCOL HEALTH_CHECK_NAME \
      HEALTH_CHECK_SCOPE \
      --use-serving-port

Remplacez les éléments suivants :

• PROTOCOL : protocole utilisé par la vérification d'état.
• HEALTH_CHECK_NAME : nom de la vérification d'état.
• HEALTH_CHECK_SCOPE : champ d'application de la vérification d'état. Pour les vérifications d'état globales, utilisez --global. Pour les vérifications d'état régionales, utilisez --region=REGION, en remplaçant REGION par la région.

Les certificats SSL ne sont pas associés aux équilibreurs de charge

Cela indique que votre projet dispose de certificats SSL gérés par Google qui ne sont pas associés à un équilibreur de charge qui gère le trafic SSL ou HTTPS. Les certificats SSL gérés par Google ne peuvent pas être utilisés tant qu'ils ne sont pas associés à un équilibreur de charge. Vous pouvez afficher la liste des certificats non associés dans les détails de l'insight.

Articles associés

• Utiliser des certificats SSL gérés par Google
• Résoudre les problèmes liés aux certificats SSL gérés par Google

Recommandations

Vous pouvez créer un certificat SSL géré par Google avant, pendant ou après la création de votre équilibreur de charge. Pour devenir ACTIVE, le certificat SSL géré par Google doit être associé à un équilibreur de charge, en particulier son proxy cible.

Une fois que vous avez créé votre certificat SSL et qu'il est passé à l'état PROVISIONING, vous pouvez l'utiliser lors de la création de votre équilibreur de charge ou pour mettre à jour un équilibreur de charge existant. Pour en savoir plus sur votre certificat géré par Google, consultez la page Résoudre les problèmes liés aux certificats SSL gérés par Google.

Les certificats SSL associés à un équilibreur de charge n'exposent pas le port 443

Cela indique que votre projet dispose de certificats SSL gérés par Google qui ne fonctionnent pas correctement, car les règles de transfert qui leur sont associées n'exposent pas le port 443. Vous pouvez consulter la liste de ces certificats dans les détails des insights.

Articles associés

• Créer une règle de transfert
• Résoudre les problèmes liés aux certificats gérés par Google

Recommandations

Créez une règle de transfert à l'aide du port 443 lorsque vous créez ou mettez à jour un équilibreur de charge.