Estadísticas del balanceador de carga

En esta página se describen las estadísticas de Network Analyzer para balanceadores de carga. Para obtener información sobre todos los tipos de estadísticas, consulta el artículo Grupos y tipos de estadísticas.

Ver estadísticas en la API Recommender

Para ver estas estadísticas en la CLI de gcloud o en la API Recommender, usa el siguiente tipo de estadística:

• google.networkanalyzer.networkservices.loadBalancerInsight

Necesitas los siguientes permisos:

• recommender.networkAnalyzerLoadBalancerInsights.list
• recommender.networkAnalyzerLoadBalancerInsights.get

Para obtener más información sobre cómo usar la API Recommender para obtener estadísticas de Analizador de redes, consulta el artículo Usar la CLI y la API Recommender.

El cortafuegos de comprobación del estado no está configurado

Esta información indica que el cortafuegos de comprobación de estado no está configurado en la red VPC que usa el balanceador de carga. La estadística incluye la siguiente información:

• Balanceador de carga: nombre del balanceador de carga.
• Regla de reenvío: nombre de la regla de reenvío específica.
• Red: nombre de la red en la que se ha configurado el balanceador de carga.
• Cortafuegos de bloqueo: nombre de los cortafuegos que bloquean los intervalos de direcciones IP de comprobación del estado.
• Backends mal configurados: los backends del balanceador de carga que no incluyen la regla de cortafuegos que permite los intervalos de direcciones IP de comprobación del estado.

Recomendaciones

Configura la regla de cortafuegos de comprobación del estado para permitir explícitamente que el intervalo de direcciones IP de comprobación del estado acceda a los backends del balanceador de carga. Para obtener más información, consulta las reglas de cortafuegos para balanceadores de carga.

El intervalo de direcciones IP de la comprobación del estado está bloqueado

Este dato indica que una regla de cortafuegos configurada por el usuario está bloqueando el intervalo de direcciones IP de comprobación del estado. En los detalles de la estadística, puede encontrar la regla de cortafuegos que bloquea el intervalo de direcciones de la comprobación de estado.

Recomendaciones

Para identificar el intervalo de direcciones de comprobación del estado de tu tipo de balanceador de carga, consulta las reglas de cortafuegos para balanceadores de carga.

• Si la regla de cortafuegos de bloqueo tiene un intervalo de direcciones IP más amplio, crea una regla de permiso con mayor prioridad para el intervalo de direcciones IP de la comprobación del estado.
• Si la regla de cortafuegos de bloqueo tiene el mismo intervalo de direcciones IP o uno más pequeño que el intervalo de direcciones IP de la comprobación del estado, elimine la regla de cortafuegos de bloqueo.

La configuración del cortafuegos no es coherente

Esta estadística indica que la configuración del cortafuegos no es coherente entre las VMs de backend. El intervalo de direcciones IP de la comprobación del estado está permitido en algunas VMs de backend, pero no en otras. Este problema se produce cuando las etiquetas de red o las cuentas de servicio se modifican por error en algunas máquinas virtuales del backend. La estadística incluye la siguiente información:

• Balanceador de carga: nombre del balanceador de carga
• Regla de reenvío: nombre de la regla de reenvío específica
• Red: nombre de la red en la que está configurado el balanceador de carga.
• Cortafuegos responsables del bloqueo: nombre de los cortafuegos que bloquean los intervalos de comprobación del estado
• Cortafuegos parcialmente permitidos: nombre de los cortafuegos que permiten el tráfico de comprobación del estado en las VMs de backend configuradas correctamente
• Back-ends mal configurados: back-ends que tienen este problema, en el que la configuración del firewall para el intervalo de direcciones IP de la comprobación de estado no funciona correctamente.

Temas relacionados

• Filtrar por cuenta de servicio o por etiqueta de red
• Reglas de cortafuegos para balanceadores de carga

Recomendaciones

Para encontrar las etiquetas mal configuradas, compare las etiquetas configuradas en las máquinas virtuales de backend mal configuradas con las etiquetas configuradas en las reglas de cortafuegos que permiten el acceso parcialmente. Modifica las etiquetas y las cuentas de servicio de las máquinas virtuales de backend mal configuradas para que tengan los mismos valores que las etiquetas y las cuentas de servicio de las máquinas virtuales de backend que funcionan correctamente.

El intervalo de direcciones IP de la comprobación del estado está bloqueado parcialmente

Esta información indica que todos los back-ends han bloqueado parcialmente el tráfico en el intervalo de comprobación de estado. El tráfico de comprobación del estado se permite en algunos intervalos de direcciones IP de comprobación del estado y se deniega en otros. La estadística incluye la siguiente información:

• Balanceador de carga: nombre del balanceador de carga
• Regla de reenvío: nombre de la regla de reenvío específica
• Red: nombre de la red en la que está configurado el balanceador de carga.
• Cortafuegos responsables del bloqueo: nombre de los cortafuegos que bloquean los intervalos de comprobación del estado
• Cortafuegos parcialmente permitidos: nombre de los cortafuegos que permiten el tráfico de comprobación del estado en las VMs de backend configuradas correctamente
• Backends mal configurados: backends que tienen este problema, en el que la configuración del firewall para el intervalo de comprobación del estado no funciona correctamente.
• Intervalos de comprobación del estado bloqueados: intervalos de direcciones IP en los que se bloquea el tráfico de comprobación del estado.

Temas relacionados

• Reglas de cortafuegos para balanceadores de carga

Recomendaciones

Compara los intervalos de direcciones IP de las reglas de cortafuegos que permiten el acceso parcial con el intervalo de direcciones IP de comprobación del estado de tu tipo de balanceador de carga. Si faltan intervalos de direcciones IP, añádelos a la regla de cortafuegos que permite el acceso. Si la información sigue apareciendo, asegúrate de que la prioridad de las reglas de cortafuegos que permiten el acceso parcialmente sea mayor que la de la regla de cortafuegos que lo deniega.

El modo de balanceo del servicio de backend interrumpe la afinidad de sesión

Esta estadística se activa cuando el servicio de backend de un balanceador de carga basado en proxy tiene una afinidad de sesión distinta de NONE y tiene uno o varios backends de grupo de instancias que usan el modo de balanceo UTILIZATION. La afinidad de sesión puede interrumpirse cuando el tráfico al balanceador de carga es bajo. El balanceador de carga también elimina una parte de las sesiones cuando cambia la cantidad de back-ends al añadir o quitar back-ends del balanceador de carga, como en los casos de un error de comprobación del estado o un éxito posterior. La cantidad de sesiones que se pierden es proporcional a la cantidad de back-ends que cambian. Estos cambios también interrumpen la afinidad de sesión de esas sesiones.

Esta estadística incluye la siguiente información:

• Servicio de backend: el servicio de backend afectado.
• Reglas de reenvío: las reglas de reenvío que dirigen el tráfico a este servicio de backend.
• Afinidad de sesión: la afinidad de sesión que usa el servicio de backend.
• Backends afectados: los backends que usan el modo de balanceo UTILIZATION.

Temas relacionados

• Pérdida de la afinidad de sesión con el modo de balanceo de la utilización
• Modos de balanceo admitidos por tipo de balanceador de carga

Recomendaciones

Para usar una afinidad de sesión que no sea NONE, debes usar los modos de balanceo RATE o CONNECTION. Solo puedes realizar esta operación con la CLI de Google Cloud o la API de Compute Engine, no en la consola de Google Cloud .

En los servicios de backend de balanceadores de carga de proxy que usan los protocolos HTTP, HTTPS o HTTP/2, cambia el modo de balanceo a RATE con el comando gcloud compute backend-services update-backend y elige el modo de balanceo por tasa.

En el siguiente código de ejemplo se muestra cómo usar este comando para cambiar el modo a RATE:

gcloud compute backend-services update-backend BACKEND_SERVICE_NAME \
    BACKEND_SERVICE_SCOPE \
    --instance-group=INSTANCE_GROUP_NAME \
    INSTANCE_GROUP_SCOPE \
    --balancing-mode=RATE \
    TARGET_CAPACITY

En el caso de los servicios de backend de balanceadores de carga de proxy que usan protocolos no HTTP (como TCP o SSL), cambia el modo de balanceo a CONNECTION con el comando gcloud compute backend-services update-backend y elige el modo de balanceo de conexiones.

En el siguiente ejemplo de código se muestra cómo usar este comando para cambiar el modo a CONNECTION:

gcloud compute backend-services update-backend BACKEND_SERVICE_NAME \
    BACKEND_SERVICE_SCOPE \
    --instance-group=INSTANCE_GROUP_NAME \
    INSTANCE_GROUP_SCOPE \
    --balancing-mode=CONNECTION \
    TARGET_CAPACITY

En ambos ejemplos, sustituye lo siguiente:

• BACKEND_SERVICE_NAME: el nombre del servicio de backend.
• BACKEND_SERVICE_SCOPE: el ámbito del servicio de backend. Para los servicios backend globales, usa --global. En el caso de los servicios backend regionales, usa --region=REGION y sustituye REGION por la región.
• INSTANCE_GROUP_NAME: el nombre del grupo de instancias de backend.
• INSTANCE_GROUP_SCOPE: la ubicación del grupo de instancias. En el caso de los grupos de instancias gestionadas regionales, usa --region=REGION, sustituyendo REGION por la región. En el caso de los grupos de instancias zonales, usa --zone=ZONE y sustituye ZONE por la zona.
• TARGET_CAPACITY: una tasa o una especificación de conexión objetivo. En el modo de balanceo de carga basado en la frecuencia, usa las marcas --max-rate= o --max-rate-per-instance=. Consulta la sección Modo de balanceo de carga basado en la frecuencia del artículo sobre los servicios de backend. En el modo de balanceo de carga de conexión de abandono, usa las marcas --max-connections= o --max-connections-per-instance=. Consulta la sección Modo de balanceo de carga de conexión del artículo sobre los servicios de backend.

El servicio de backend usa puertos diferentes para la comprobación del estado y el tráfico

El balanceador de carga está realizando comprobaciones del estado en algunos backends en un puerto diferente y no en el puerto con nombre que utiliza el balanceador de carga para servir tráfico. Esta configuración puede dar problemas a menos que hayas configurado el balanceador de carga para que use otro puerto a propósito.

Esta estadística incluye la siguiente información:

• Servicio de backend: el servicio de backend afectado.
• Reglas de reenvío: las reglas de reenvío que dirigen el tráfico al servicio de backend.
• Nombre del puerto de servicio: nombre del puerto que usa el servicio de backend para el tráfico de servicio.
• Comprobación del estado: la comprobación del estado que usa el servicio backend.
• Número de puerto de comprobación del estado: el puerto que usa la comprobación del estado.
• Backends afectados: los grupos de instancias en los que el puerto de servicio es diferente del puerto de comprobación del estado.

Temas relacionados

Consulta la especificación de categorías y puertos.

Recomendaciones

Configura la comprobación del estado con la especificación del puerto de servicio para que la comprobación del estado use el mismo puerto que el servicio de backend. En el siguiente ejemplo de código se muestra cómo usar los comandos de la CLI de Google Cloud para actualizar la comprobación de estado y usar el puerto de servicio:

gcloud compute health-checks update PROTOCOL HEALTH_CHECK_NAME \
      HEALTH_CHECK_SCOPE \
      --use-serving-port

Haz los cambios siguientes:

• PROTOCOL: el protocolo usado por la comprobación de estado.
• HEALTH_CHECK_NAME: el nombre de la comprobación del estado.
• HEALTH_CHECK_SCOPE: el ámbito de la comprobación del estado. Para las comprobaciones de estado globales, usa --global. En el caso de las comprobaciones del estado regionales, utiliza --region=REGION y sustituye REGION por la región.

Los certificados SSL no están asociados a balanceadores de carga

Esto indica que tu proyecto tiene certificados SSL gestionados por Google que no están asociados a un balanceador de carga que gestione tráfico SSL o HTTPS. Los certificados SSL gestionados por Google no se pueden usar hasta que se adjunten a un balanceador de carga. Puedes ver la lista de certificados no adjuntos en los detalles de la estadística.

Temas relacionados

• Usar certificados SSL gestionados por Google
• Solucionar problemas de certificados SSL gestionados por Google

Recomendaciones

Puedes crear un certificado SSL gestionado por Google antes, durante o después de crear el balanceador de carga. Para convertirse en ACTIVE, el certificado SSL gestionado por Google debe asociarse a un balanceador de carga, concretamente al proxy de destino del balanceador de carga.

Una vez que haya creado su certificado SSL y esté en el estado PROVISIONING, podrá usarlo durante la creación de su balanceador de carga o para actualizar un balanceador de carga que ya tenga. Para obtener más información sobre tu certificado gestionado por Google, consulta el artículo Solucionar problemas de certificados SSL gestionados por Google.

Certificados SSL asociados a un balanceador de carga que no expone el puerto 443

Esto indica que tu proyecto tiene certificados SSL gestionados por Google que no funcionan correctamente porque las reglas de reenvío asociadas a ellos no exponen el puerto 443. Puedes ver una lista de estos certificados en los detalles de la estadística.

Temas relacionados

• Crear una regla de reenvío
• Solucionar problemas con los certificados gestionados por Google

Recomendaciones

Crea una regla de reenvío con el puerto 443 cuando crees o actualices un balanceador de carga.