Estadísticas del balanceador de cargas

En esta página, se describen las estadísticas de Network Analyzer para los balanceadores de cargas. Para obtener información sobre todos los tipos de estadísticas, consulta Grupos y tipos de estadísticas.

Cómo ver estadísticas en la API de Recommender

Para ver estas estadísticas en gcloud CLI o la API de Recommender, usa el siguiente tipo de estadística:

  • google.networkanalyzer.networkservices.loadBalancerInsight

Necesitas los siguientes permisos:

  • recommender.networkAnalyzerLoadBalancerInsights.list
  • recommender.networkAnalyzerLoadBalancerInsights.get

Para obtener más información sobre el uso de la API de Recommender para las estadísticas de Network Analyzer, consulta Cómo usar la CLI y la API de Recommender.

El firewall de verificación de estado no está configurado

Esta estadística indica que el firewall de verificación de estado no está configurado en la red de VPC que usa el balanceador de cargas. La estadística incluye la siguiente información:

  • Balanceador de cargas: Nombre del balanceador de cargas.
  • Regla de reenvío: Nombre de la regla de reenvío específica.
  • Red: Nombre de la red en la que está configurado el balanceador de cargas.
  • Firewalls de bloqueo: Nombre de los firewalls que bloquean los rangos de direcciones IP de verificación de estado.
  • Backends mal configurados: Backends del balanceador de cargas que no incluyen la regla de firewall que permite los rangos de direcciones IP de verificación de estado.

Recomendaciones

Configura la regla de firewall de verificación de estado para permitir explícitamente que el rango de direcciones IP de verificación de estado acceda a los backends del balanceador de cargas. Si deseas obtener más información, consulta las Reglas de firewall para los balanceadores de cargas.

El rango de direcciones IP de verificación de estado está bloqueado

Esta estadística indica que una regla de firewall configurada por el usuario bloquea el rango de direcciones IP de verificación de estado. En los detalles de las estadísticas, puedes encontrar la regla de firewall que bloquea el rango de direcciones de verificación de estado.

Recomendaciones

Si deseas identificar el rango de direcciones de verificación de estado del tipo de balanceador de cargas, consulta Reglas de firewall para balanceadores de cargas.

  • Si la regla de firewall de bloqueo tiene un rango de direcciones IP más amplio, crea una regla de permiso de mayor prioridad para el rango de direcciones IP de verificación de estado.
  • Si la regla de firewall de bloqueo tiene un rango de direcciones IP igual o menor que el rango de direcciones IP de verificación de estado, quita la regla de firewall de bloqueo.

La configuración de firewall es incoherente

Esta estadística indica que la configuración de firewall es incoherente entre las VMs de backend. El rango de direcciones IP de verificación de estado está permitido en algunas VMs de backend, mientras que se rechaza en otras. Este problema se produce cuando algunas etiquetas de red o cuentas de servicio se modifican por error en algunas VMs de backend. La estadística incluye la siguiente información:

  • Balanceador de cargas: Nombre del balanceador de cargas
  • Regla de reenvío: Nombre de la regla de reenvío específica
  • Red: Nombre de la red en la que está configurado el balanceador de cargas
  • Bloqueo de firewalls: Nombre de los firewalls que bloquean rangos de verificación de estado
  • Firewalls con permisos parciales: Nombre de los firewalls que permiten el tráfico de verificación de estado en las VM de backend configuradas de forma correcta
  • Backends mal configurados: Backends que tienen este problema, en los que la configuración de firewall para el rango de direcciones IP de verificación de estado no funciona de manera correcta

Recomendaciones

Busca las etiquetas mal configuradas mediante la comparación de las etiquetas configuradas en VM de backend mal configuradas con las etiquetas configuradas en las reglas de firewall que permiten parcialmente. Modifica las etiquetas y las cuentas de servicio en las VM de backend mal configuradas para tener los mismos valores que las etiquetas y las cuentas de servicio en las VM de backend que funcionan.

El rango de direcciones IP de verificación de estado está bloqueado parcialmente

Esta estadística indica que todos los backends tienen tráfico parcialmente bloqueado en el rango de verificación de estado. El tráfico de verificación de estado está permitido para algunos rangos de direcciones IP de verificación de estado y se rechaza para otros rangos de direcciones IP de verificación de estado. La estadística incluye la siguiente información:

  • Balanceador de cargas: Nombre del balanceador de cargas
  • Regla de reenvío: Nombre de la regla de reenvío específica
  • Red: Nombre de la red en la que está configurado el balanceador de cargas
  • Bloqueo de firewalls: Nombre de los firewalls que bloquean rangos de verificación de estado
  • Firewalls con permisos parciales: Nombre de los firewalls que permiten el tráfico de verificación de estado en las VM de backend configuradas de forma correcta
  • Backends mal configurados: Backends que tienen este problema, en los que la configuración de firewall para el rango de verificación de estado no funciona de manera correcta
  • Rangos de verificaciones de estado bloqueados: Rangos de direcciones IP en los que está bloqueado el tráfico de verificación de estado

Recomendaciones

Compara los rangos de direcciones IP en las reglas de firewall que permiten parcialmente con el rango de direcciones IP de verificación de estado para tu tipo de balanceador de cargas. Si faltan rangos de direcciones IP, agrégalos a tu regla de firewall de permiso. Si la estadística persiste, asegúrate de que la prioridad de las reglas de firewall que se permiten parcialmente sea mayor que la de la regla de firewall que rechaza.

El modo de balanceo del servicio de backend interrumpe la afinidad de sesión

Esta estadística se activa cuando el servicio de backend de un balanceador de cargas basado en proxy tiene una afinidad de sesión distinta de NONE y tiene uno o más backends de grupos de instancias que usan el modo de balanceo UTILIZATION. La afinidad de sesión puede interrumpirse cuando el tráfico al balanceador de cargas es bajo. El balanceador de cargas también descarta una parte de las sesiones cuando cambia la cantidad de backends cuando se agregan o quitan backends del balanceador de cargas, como en el caso de una falla en la verificación de estado o un éxito consecuente. La cantidad de sesiones que se descartan es proporcional a la cantidad de backends que cambian. Estos cambios también interrumpen la afinidad de sesión para esas sesiones.

Esta estadística incluye la siguiente información:

  • Servicio de backend: Es el servicio de backend afectado.
  • Reglas de reenvío: Son las reglas de reenvío que dirigen el tráfico a este servicio de backend.
  • Afinidad de sesión: Es la afinidad de sesión que usa el servicio de backend.
  • Backends afectados: Son los backends que usan el modo de balanceo UTILIZATION.

Recomendaciones

Para usar una afinidad de sesión distinta de NONE, debes usar los modos de balanceo RATE o CONNECTION. Puedes realizar esta operación solo con Google Cloud CLI o la API de Compute Engine, no en la consola de Google Cloud.

Para los servicios de backend del balanceador de cargas de proxy que usan los protocolos HTTP, HTTPS o HTTP/2, cambia el modo de balanceo a RATE con el comando gcloud compute backend-services update-backend y elige el modo de balanceo de frecuencia.

En la siguiente muestra de código, se muestra cómo usar este comando para cambiar el modo a RATE:

gcloud compute backend-services update-backend BACKEND_SERVICE_NAME \
    BACKEND_SERVICE_SCOPE \
    --instance-group=INSTANCE_GROUP_NAME \
    INSTANCE_GROUP_SCOPE \
    --balancing-mode=RATE \
    TARGET_CAPACITY

Para los servicios de backend del balanceador de cargas de proxy que usan protocolos que no son HTTP (como TCP o SSL), cambia el modo de balanceo a CONNECTION con el comando gcloud compute backend-services update-backend y elige el modo de balanceo de conexiones.

En la siguiente muestra de código, se muestra cómo usar este comando para cambiar el modo a CONNECTION:

gcloud compute backend-services update-backend BACKEND_SERVICE_NAME \
    BACKEND_SERVICE_SCOPE \
    --instance-group=INSTANCE_GROUP_NAME \
    INSTANCE_GROUP_SCOPE \
    --balancing-mode=CONNECTION \
    TARGET_CAPACITY

En ambos ejemplos, reemplaza lo siguiente:

  • BACKEND_SERVICE_NAME: Es el nombre del servicio de backend.
  • BACKEND_SERVICE_SCOPE: Es el alcance del servicio de backend. Para los servicios de backend globales, usa --global. Para servicios de backend regionales, usa --region=REGION y reemplaza REGION por la región.
  • INSTANCE_GROUP_NAME: Es el nombre del grupo de instancias de backend.
  • INSTANCE_GROUP_SCOPE: Es la ubicación del grupo de instancias. Para los grupos de instancias administrados regionales, usa --region=REGION y reemplaza REGION por la región. Para los grupos de instancias zonales, usa --zone=ZONE y reemplaza ZONE por la zona.
  • TARGET_CAPACITY: Es una tasa objetivo o una especificación de conexión objetivo. Para el modo de balanceo de tasas, usa las marcas --max-rate= o --max-rate-per-instance=, y consulta Modo de balanceo de tasas en la descripción general de los servicios de backend. Para el modo de balanceo de conexión de descarte, usa las marcas --max-connections= o --max-connections-per-instance=, y consulta Modo de balanceo de conexión en la descripción general de los servicios de backend.

El servicio de backend usa puertos diferentes para la verificación de estado y el tráfico

El balanceador de cargas realiza verificaciones de estado en algunos backends de un puerto diferente y no en el puerto con nombre que usa el balanceador de cargas para entregar tráfico. Esta configuración puede ser problemática, a menos que hayas configurado el balanceador de cargas para que use un puerto diferente de forma intencional.

Esta estadística incluye la siguiente información:

  • Servicio de backend: Es el servicio de backend afectado.
  • Reglas de reenvío: Son las reglas de reenvío que dirigen el tráfico al servicio de backend.
  • Nombre del puerto de entrega: Es el nombre del puerto que usa el servicio de backend para el tráfico del servicio.
  • Verificación de estado: Es la verificación de estado que usa el servicio de backend.
  • Número de puerto de la verificación de estado: Es el puerto que usa la verificación de estado.
  • Backends afectados: Son los grupos de instancias en los que el puerto de entrega es diferente del puerto de verificación de estado.

Consulta Categoría y especificación de puerto.

Recomendaciones

Configura la verificación de estado con la especificación de uso del puerto de entrega para que use el mismo puerto que el servicio de backend. En la siguiente muestra de código, se muestra cómo usar los comandos de Google Cloud CLI para actualizar la verificación de estado para usar el puerto de publicación:

gcloud compute health-checks update PROTOCOL HEALTH_CHECK_NAME \
      HEALTH_CHECK_SCOPE \
      --use-serving-port

Reemplaza lo siguiente:

  • PROTOCOL: Es el protocolo que usa la verificación de estado.
  • HEALTH_CHECK_NAME: Es el nombre de la verificación de estado.
  • HEALTH_CHECK_SCOPE: Es el alcance de la verificación de estado. Para verificaciones de estado globales, usa --global. Para las verificaciones de estado regionales, usa --region=REGION y reemplaza REGION por la región.

Los certificados SSL no están asociados con los balanceadores de cargas.

Esto indica que tu proyecto tiene certificados SSL administrados por Google que no están asociados con un balanceador de cargas que controla el tráfico SSL o HTTPS. Los certificados SSL administrados por Google no se pueden usar hasta que se adjunten a un balanceador de cargas. Puedes ver la lista de certificados no adjuntos en los detalles de las estadísticas.

Recomendaciones

Puedes crear un certificado SSL administrado por Google antes, durante o después de crear el balanceador de cargas. Para convertirse en ACTIVE, el certificado SSL administrado por Google debe estar asociado con un balanceador de cargas, en particular, el proxy de destino del balanceador de cargas.

Una vez que el certificado se haya creado y esté en el estado PROVISIONING, puedes usarlo durante la creación del balanceador de cargas, o puedes usarlo para actualizar un balanceador de cargas existente. Para obtener más información sobre tu certificado administrado por Google, consulta Cómo solucionar problemas de certificados SSL administrados por Google.

Certificados SSL asociados con un balanceador de cargas que no expone el puerto 443

Esto indica que tu proyecto tiene certificados SSL administrados por Google que no funcionan correctamente porque las reglas de reenvío asociadas con ellos no exponen el puerto 443. Puedes ver una lista de estos certificados en los detalles de las estadísticas.

Recomendaciones

Crea una regla de reenvío con el puerto 443 cuando crees o actualices un balanceador de cargas.