Insights: Load Balancer

Auf dieser Seite werden die Network Analyzer-Statistiken für Load Balancer beschrieben. Informationen zu allen Arten von Statistiken finden Sie unter Statistikgruppen und ‑typen.

Statistiken in der Recommender API ansehen

Verwenden Sie den folgenden Insight-Typ, um diese Insights in der gcloud-Kommandozeile oder der Recommender API anzuzeigen:

  • google.networkanalyzer.networkservices.loadBalancerInsight

Sie benötigen die folgenden Berechtigungen:

  • recommender.networkAnalyzerLoadBalancerInsights.list
  • recommender.networkAnalyzerLoadBalancerInsights.get

Weitere Informationen zur Verwendung der Recommender API für Insights zu Netzwerkanalyse finden Sie unter Recommender-Befehlszeile und API verwenden.

Firewall für Systemdiagnosen ist nicht konfiguriert

Bedeutet, dass die Firewall für die Systemdiagnose nicht in dem VPC-Netzwerk konfiguriert ist, das vom Load-Balancer verwendet wird. Die Statistik enthält folgende Informationen:

  • Load-Balancer: Name des Load-Balancers.
  • Weiterleitungsregel: Name der jeweiligen Weiterleitungsregel.
  • Netzwerk: Name des Netzwerks, in dem der Load-Balancer konfiguriert ist.
  • Blockierende Firewalls: Name der Firewalls, die IP-Adressbereiche der Systemdiagnose blockieren.
  • Falsch konfigurierte Back-Ends: Die Back-Ends des Load-Balancers, die die Firewallregel für Zulassungs-IP-Adressbereiche nicht enthalten.

Empfehlungen

Konfigurieren Sie die Systemdiagnose-Regel, um den IP-Adressbereich der Systemdiagnose explizit Zugriff auf die Load-Balancer-Back-Ends zu gewähren. Weitere Informationen finden Sie unter Firewallregeln für Load-Balancer.

IP-Adressbereich der Systemdiagnose ist blockiert

Diese Information gibt an, dass eine vom Nutzer konfigurierte Firewallregel den IP-Adressbereich der Systemdiagnose blockiert. In den Statistikdetails finden Sie die Firewallregel, die den Adressbereich der Systemdiagnose blockiert.

Empfehlungen

Informationen zum Ermitteln des Adressbereichs der Systemdiagnose für den Load-Balancer-Typ finden Sie unter Firewallregeln für Load-Balancer.

  • Wenn die blockierende Firewallregel einen größeren IP-Adressbereich hat, erstellen Sie eine Zulassungsregel mit höherer Priorität für den IP-Adressbereich der Systemdiagnose.
  • Wenn die blockierende Firewallregel den gleichen oder einen kleineren IP-Adressbereich als der IP-Adressbereich der Systemdiagnose hat, entfernen Sie die blockierende Firewallregel.

Firewallkonfiguration ist inkonsistent

Diese Information gibt an, dass die Firewallkonfiguration zwischen den Backend-VMs inkonsistent ist. Der IP-Adressbereich der Systemdiagnose ist auf einigen Backend-VMs zulässig, auf anderen hingegen nicht. Dieses Problem tritt auf, wenn Netzwerk-Tags oder Dienstkonten auf einigen Backend-VMs versehentlich geändert wurden. Die Statistik enthält folgende Informationen:

  • Load-Balancer: Name des Load-Balancers.
  • Weiterleitungsregel: Name der jeweiligen Weiterleitungsregel.
  • Netzwerk: Name des Netzwerks, in dem der Load-Balancer konfiguriert ist.
  • Blockierende Firewalls: Name der Firewalls, die Systemdiagnosebereiche blockieren.
  • Teilweise zulassende Firewalls: Name der Firewalls, die Systemdiagnose-Traffic auf den ordnungsgemäß konfigurierten Backend-VMs zulassen.
  • Falsch konfigurierte Back-Ends: Back-Ends, die dieses Problem haben und bei denen die Firewallkonfiguration für den IP-Adressbereich der Systemdiagnose nicht ordnungsgemäß funktioniert.

Empfehlungen

Finden Sie die falsch konfigurierten Tags, indem Sie die auf falsch konfigurierten Backend-VMs konfigurierten Tags mit den Tags vergleichen, die für die teilweise zulässigen Firewallregeln konfiguriert sind. Ändern Sie die Tags und Dienstkonten auf den falsch konfigurierten Backend-VMs so, dass sie dieselben Werte wie die Tags und Dienstkonten auf den funktionierenden Backend-VMs haben.

IP-Adressbereich der Systemdiagnose ist teilweise blockiert

Diese Statistik gibt an, dass alle Back-Ends den Traffic im Bereich der Systemdiagnose teilweise blockiert haben. Der Systemdiagnose-Traffic ist für einige IP-Adressbereiche der Systemdiagnose zulässig und für andere IP-Adressbereiche der Systemdiagnose abgelehnt. Die Statistik enthält folgende Informationen:

  • Load-Balancer: Name des Load-Balancers.
  • Weiterleitungsregel: Name der jeweiligen Weiterleitungsregel.
  • Netzwerk: Name des Netzwerks, in dem der Load-Balancer konfiguriert ist.
  • Blockierende Firewalls: Name der Firewalls, die Systemdiagnosebereiche blockieren.
  • Teilweise zulassende Firewalls: Name der Firewalls, die Systemdiagnose-Traffic auf den ordnungsgemäß konfigurierten Backend-VMs zulassen.
  • Falsch konfigurierte Back-Ends: Back-Ends, die dieses Problem haben und bei denen die Firewallkonfiguration für den Systemdiagnosebereich nicht ordnungsgemäß funktioniert.
  • Blockierte Systemdiagnosebereiche: IP-Adressbereiche, in denen der Traffic der Systemdiagnose blockiert ist.

Empfehlungen

Vergleichen Sie die IP-Adressbereiche in Ihren teilweise zulässigen Firewallregeln mit dem IP-Adressbereich der Systemdiagnose für Ihren Load-Balancer-Typ. Wenn IP-Adressbereiche fehlen, fügen Sie sie der zulässigen Firewallregel hinzu. Wenn die Statistik bestehen bleibt, prüfen Sie, ob die Priorität der teilweise zulässigen Firewallregeln höher ist als die Priorität der Firewallregel, die den Zugriff verweigert.

Backend-Dienst-Balancing-Modus unterbricht die Sitzungsaffinität

Diese Statistik wird ausgelöst, wenn der Backend-Dienst eines proxybasierten Load-Balancers eine andere Sitzungsaffinität als NONE hat und ein oder mehrere Instanzgruppen-Backends im Balancing-Modus UTILIZATION hat. Die Sitzungsaffinität kann unterbrochen werden, wenn der Traffic zum Load-Balancer niedrig ist. Der Load-Balancer löscht auch einen Teil der Sitzungen, wenn sich die Anzahl der Back-Ends ändert, wenn Back-Ends hinzugefügt oder entfernt werden, z. B. bei einem Fehler bei der Systemdiagnose oder bei einem nachfolgenden Erfolg. Die Anzahl der zu löschenden Sitzungen hängt von der Anzahl der sich ändernden Back-Ends ab. Solche Änderungen unterbrechen auch die Sitzungsaffinität für diese Sitzungen.

Dies enthält folgende Informationen:

  • Backend-Dienst: Der betroffene Backend-Dienst.
  • Weiterleitungsregeln: Die Weiterleitungsregeln, die Traffic an diesen Backend-Dienst weiterleiten.
  • Sitzungsaffinität: Die vom Backend-Dienst verwendete Sitzungsaffinität.
  • Betroffene Back-Ends: Die Back-Ends, die den Balancing-Modus UTILIZATION verwenden.

Empfehlungen

Wenn Sie eine andere Sitzungsaffinität als NONE verwenden möchten, müssen Sie entweder den Balancing-Modus RATE oder CONNECTION verwenden. Sie können diesen Vorgang nur mit der Google Cloud-Befehlszeile oder der Compute Engine API ausführen und nicht mit der Google Cloud Console.

Wechseln Sie für Backend-Dienste des Proxy-Load-Balancers, die die HTTP-, HTTPS- oder HTTP/2-Protokolle verwenden, den Balancing-Modus mit dem Befehl gcloud compute backend-services update-backend auf RATE und wählen Sie den Rate-Balancing-Modus.

Das folgende Codebeispiel zeigt, wie Sie mit diesem Befehl den Modus in RATE wechseln:

gcloud compute backend-services update-backend BACKEND_SERVICE_NAME \
    BACKEND_SERVICE_SCOPE \
    --instance-group=INSTANCE_GROUP_NAME \
    INSTANCE_GROUP_SCOPE \
    --balancing-mode=RATE \
    TARGET_CAPACITY

Für Backend-Dienste des Proxy-Load-Balancers, die Nicht-HTTP-Protokolle wie TCP oder SSL verwenden, wechseln Sie zum Balancing-Modus zu CONNECTION, indem Sie den Befehl gcloud compute backend-services update-backend verwenden und den Balancing-Modus „Verbindung” auswählen.

Das folgende Codebeispiel zeigt, wie Sie mit diesem Befehl den Modus in CONNECTION wechseln:

gcloud compute backend-services update-backend BACKEND_SERVICE_NAME \
    BACKEND_SERVICE_SCOPE \
    --instance-group=INSTANCE_GROUP_NAME \
    INSTANCE_GROUP_SCOPE \
    --balancing-mode=CONNECTION \
    TARGET_CAPACITY

Ersetzen Sie in beiden Beispielen Folgendes:

  • BACKEND_SERVICE_NAME: der Name des Backend-Dienstes
  • BACKEND_SERVICE_SCOPE: der Bereich des Backend-Dienstes. Verwenden Sie für globale Backend-Dienste --global. Verwenden Sie für regionale Backend-Dienste --region=REGION und ersetzen Sie REGION durch die Region.
  • INSTANCE_GROUP_NAME: Der Name der Backend-Instanzgruppe.
  • INSTANCE_GROUP_SCOPE: Standort der Instanzgruppe. Verwenden Sie für regional verwaltete Instanzgruppen --region=REGION und ersetzen Sie REGION durch die Region. Verwenden Sie für zonale Instanzgruppen --zone=ZONE und ersetzen Sie ZONE durch die Zone.
  • TARGET_CAPACITY: Eine Zielrate oder Spezifikation der Zielverbindung. Verwenden Sie für den Balancing Modus „Rate” die Flags --max-rate= oder --max-rate-per-instance=, die in der Übersicht der Backend-Dienste auf Balancing-Modus „Rate” verweisen. Verwenden Sie für den Balancing-Modus „Verbindung” das Flag --max-connections= oder --max-connections-per-instance=, die in der Übersicht der Backend-Dienste auf Balancing-Modus „Verbindung”.

Der Backend-Dienst verwendet unterschiedliche Ports für Systemdiagnose und Traffic.

Der Load-Balancer führt Systemdiagnosen an einigen Back-Ends an einem anderen Port durch und nicht an dem benannten Port, der vom Load-Balancer zum Bereitstellen von Traffic verwendet wird. Diese Konfiguration kann problematisch sein, es sei denn, Sie haben den Load-Balancer so konfiguriert, dass er absichtlich einen anderen Port verwendet.

Dies enthält folgende Informationen:

  • Backend-Dienst: Der betroffene Backend-Dienst.
  • Weiterleitungsregeln: Die Weiterleitungsregeln, die Traffic an den Backend-Dienst weiterleiten.
  • Name des Bereitstellungsports: Der Portname, den der Backend-Dienst für Diensttraffic verwendet.
  • Systemdiagnose: Die vom Backend-Dienst verwendete Systemdiagnose.
  • Systemdiagnosenummer: Der von der Systemdiagnose verwendete Port.
  • Betroffene Back-Ends: Die Instanzgruppen, auf denen der Bereitstellungsport vom Port der Systemdiagnose abweicht.

Siehe Kategorie und Portspezifikation.

Empfehlungen

Konfigurieren Sie die Systemdiagnose mit der Spezifikation für den Bereitstellungsport, damit die Systemdiagnose denselben Port verwendet, den der Backend-Dienst verwendet. Das folgende Codebeispiel zeigt, wie Sie mit Google Cloud CLI-Befehlen Ihre Systemdiagnose für die Verwendung des Bereitstellungsports aktualisieren:

gcloud compute health-checks update PROTOCOL HEALTH_CHECK_NAME \
      HEALTH_CHECK_SCOPE \
      --use-serving-port

Dabei gilt:

  • PROTOCOL: Das von der Systemdiagnose verwendete Protokoll.
  • HEALTH_CHECK_NAME: Der Name der Systemdiagnose.
  • HEALTH_CHECK_SCOPE: Bereich der Systemdiagnose. Verwenden Sie für globale Systemdiagnosen --global. Verwenden Sie für regionale Systemdiagnosen --region=REGION und ersetzen Sie REGION durch die Region.

SSL-Zertifikate sind nicht mit Load Balancern verknüpft

Das bedeutet, dass Ihr Projekt von Google verwaltete SSL-Zertifikate hat, die nicht mit einem Load Balancer verknüpft sind, der entweder SSL- oder HTTPS-Traffic verarbeitet. Von Google verwaltete SSL-Zertifikate können erst verwendet werden, wenn sie einem Load Balancer zugewiesen sind. Die Liste der nicht verknüpften Zertifikate finden Sie in den Statistikdetails.

Empfehlungen

Sie können ein von Google verwaltetes SSL-Zertifikat vor, während oder nach der Erstellung des Load Balancers erstellen. Um ACTIVE zu werden, muss das von Google verwaltete SSL-Zertifikat einem Load Balancer zugeordnet sein, und zwar dem Zielproxy des Load Balancers.

Nachdem Sie Ihr SSL-Zertifikat erstellt haben und es sich im Status PROVISIONING befindet, können Sie es beim Erstellen des Load Balancers verwenden oder einen vorhandenen Load Balancer damit aktualisieren. Weitere Informationen zu Ihrem von Google verwalteten Zertifikat finden Sie unter Fehlerbehebung bei von Google verwalteten SSL-Zertifikaten.

SSL-Zertifikate, die mit einem Load Balancer verknüpft sind, der Port 443 nicht freigibt

Das bedeutet, dass Ihr Projekt von Google verwaltete SSL-Zertifikate enthält, die nicht richtig funktionieren, weil der Port 443 nicht über die zugehörigen Weiterleitungsregeln freigegeben wird. Eine Liste dieser Zertifikate finden Sie in den Statistikdetails.

Empfehlungen

Erstellen Sie beim Erstellen oder Aktualisieren eines Load Balancers eine Weiterleitungsregel mit Port 443.