Estatísticas do balanceador de carga

Esta página descreve as estatísticas do analisador de rede para balanceadores de carga. Para ver informações sobre todos os tipos de estatísticas, consulte o artigo Grupos e tipos de estatísticas.

Veja estatísticas na API Recommender

Para ver estas estatísticas na CLI gcloud ou na API Recommender, use o seguinte tipo de estatísticas:

• google.networkanalyzer.networkservices.loadBalancerInsight

Precisa das seguintes autorizações:

• recommender.networkAnalyzerLoadBalancerInsights.list
• recommender.networkAnalyzerLoadBalancerInsights.get

Para mais informações sobre a utilização da API Recommender para estatísticas do Network Analyzer, consulte o artigo Utilize a CLI e a API Recommender.

A firewall de verificação de funcionamento não está configurada

Esta estatística indica que a firewall de verificação de estado não está configurada na rede VPC que o balanceador de carga está a usar. A estatística inclui as seguintes informações:

• Balanceador de carga: nome do balanceador de carga.
• Regra de encaminhamento: nome da regra de encaminhamento específica.
• Rede: nome da rede onde o equilibrador de carga está configurado.
• Firewalls de bloqueio: nome das firewalls que estão a bloquear os intervalos de endereços IP de verificação de funcionamento.
• Back-ends configurados incorretamente: os back-ends do balanceador de carga que não incluem a regra de firewall de permissão para intervalos de endereços IP de verificação de funcionamento.

Recomendações

Configure a regra de firewall de verificação de funcionamento para permitir explicitamente o acesso do intervalo de endereços IP de verificação de funcionamento aos back-ends do balanceador de carga. Para mais informações, consulte o artigo Regras da firewall para balanceadores de carga.

O intervalo de endereços IP da verificação de estado está bloqueado

Esta estatística indica que uma regra de firewall configurada pelo utilizador está a bloquear o intervalo de endereços IP da verificação de estado. Nos detalhes das estatísticas, pode encontrar a regra da firewall que bloqueia o intervalo de endereços da verificação de funcionamento.

Recomendações

Para identificar o intervalo de endereços da verificação de funcionamento do seu tipo de balanceador de carga, consulte o artigo Regras da firewall para balanceadores de carga.

• Se a regra da firewall de bloqueio tiver um intervalo de endereços IP mais amplo, crie uma regra de permissão de prioridade mais elevada para o intervalo de endereços IP de verificação de funcionamento.
• Se a regra de firewall de bloqueio tiver o mesmo intervalo de endereços IP ou um intervalo inferior ao do intervalo de endereços IP da verificação de estado, remova a regra de firewall de bloqueio.

A configuração da firewall é inconsistente

Esta estatística indica que a configuração da firewall é inconsistente entre as VMs de back-end. O intervalo de endereços IP da verificação de funcionamento é permitido em algumas VMs de back-end, enquanto que é recusado noutras. Este problema ocorre quando as etiquetas de rede ou as contas de serviço são modificadas por engano em algumas VMs de back-end. A estatística inclui as seguintes informações:

• Balanceador de carga: nome do balanceador de carga
• Regra de encaminhamento: nome da regra de encaminhamento específica
• Rede: nome da rede onde o balanceador de carga está configurado
• Bloqueio de firewalls: nome das firewalls que estão a bloquear os intervalos de verificação de estado
• Permitir parcialmente firewalls: nome das firewalls que permitem o tráfego de verificação de estado nas VMs de back-end configuradas corretamente
• Back-ends configurados incorretamente: back-ends que têm este problema, em que a configuração da firewall para o intervalo de endereços IP da verificação de estado não está a funcionar corretamente

Tópicos relacionados

• Filtrar por conta de serviço em comparação com etiqueta de rede
• Regras de firewall para balanceadores de carga

Recomendações

Encontre as etiquetas configuradas incorretamente comparando as etiquetas configuradas nas VMs de back-end configuradas incorretamente com as etiquetas configuradas nas regras de firewall parcialmente permitidas. Modifique as etiquetas e as contas de serviço nas VMs de back-end configuradas incorretamente para terem os mesmos valores que as etiquetas e as contas de serviço nas VMs de back-end em funcionamento.

O intervalo de endereços IP da verificação de estado está parcialmente bloqueado

Esta estatística indica que todos os back-ends bloquearam parcialmente o tráfego no intervalo de verificação do estado. O tráfego de verificações de funcionamento é permitido para alguns intervalos de endereços IP de verificações de funcionamento e negado para outros intervalos de endereços IP de verificações de funcionamento. A estatística inclui as seguintes informações:

• Balanceador de carga: nome do balanceador de carga
• Regra de encaminhamento: nome da regra de encaminhamento específica
• Rede: nome da rede onde o balanceador de carga está configurado
• Bloqueio de firewalls: nome das firewalls que estão a bloquear os intervalos de verificação de estado
• Permitir parcialmente firewalls: nome das firewalls que permitem o tráfego de verificação de estado nas VMs de back-end configuradas corretamente
• Back-ends configurados incorretamente: back-ends que têm este problema, em que a configuração da firewall para o intervalo de verificação do estado não está a funcionar corretamente
• Intervalos de verificações de funcionamento bloqueados: intervalos de endereços IP onde o tráfego de verificações de funcionamento está bloqueado

Tópicos relacionados

• Regras de firewall para balanceadores de carga

Recomendações

Compare os intervalos de endereços IP nas regras de firewall parcialmente permitidas com o intervalo de endereços IP da verificação de estado do seu tipo de equilibrador de carga. Se faltarem intervalos de endereços IP, adicione-os à regra de firewall de autorização. Se a estatística permanecer, certifique-se de que a prioridade das regras de firewall que permitem parcialmente é superior à prioridade da regra de firewall que nega.

O modo de balanceamento do serviço de back-end interrompe a afinidade de sessão

Esta estatística é acionada quando o serviço de back-end de um equilibrador de carga baseado em proxy tem uma afinidade de sessão diferente de NONE e tem um ou mais back-ends de grupos de instâncias que usam o modo de equilíbrio de carga UTILIZATION. A afinidade de sessão pode falhar quando o tráfego para o equilibrador de carga é baixo. O balanceador de carga também rejeita uma parte das sessões quando a quantidade de back-ends muda quando os back-ends são adicionados ou removidos do balanceador de carga, como nos casos de uma falha na verificação de estado ou um sucesso consequente. O número de sessões que estão a ser interrompidas é proporcional ao número de back-ends que estão a ser alterados. Estas alterações também interrompem a afinidade de sessão para essas sessões.

Esta estatística inclui as seguintes informações:

• Serviço de back-end: o serviço de back-end afetado.
• Regras de encaminhamento: as regras de encaminhamento que direcionam o tráfego para este serviço de back-end.
• Afinidade de sessão: a afinidade de sessão usada pelo serviço de back-end.
• Back-ends afetados: os back-ends que usam o modo de equilíbrio de carga UTILIZATION.

Tópicos relacionados

• Perder a afinidade da sessão com o modo de equilíbrio da utilização
• Modos de balanceamento suportados por tipo de balanceador de carga

Recomendações

Para usar uma afinidade de sessão diferente de NONE, tem de usar os modos de equilíbrio RATE ou CONNECTION. Só pode realizar esta operação com a CLI gcloud ou a API Compute Engine, e não na Google Cloud consola.

Para serviços de back-end do balanceador de carga de proxy que usam os protocolos HTTP, HTTPS ou HTTP/2, mude o modo de balanceamento para RATE usando o comando gcloud compute backend-services update-backend e escolhendo o modo de balanceamento de taxa.

O seguinte exemplo de código mostra como usar este comando para mudar o modo para RATE:

gcloud compute backend-services update-backend BACKEND_SERVICE_NAME \
    BACKEND_SERVICE_SCOPE \
    --instance-group=INSTANCE_GROUP_NAME \
    INSTANCE_GROUP_SCOPE \
    --balancing-mode=RATE \
    TARGET_CAPACITY

Para serviços de back-end do balanceador de carga de proxy que usam protocolos não HTTP (como TCP ou SSL), altere o modo de balanceamento para CONNECTION usando o comando gcloud compute backend-services update-backend e escolhendo o modo de balanceamento de ligações.

O seguinte exemplo de código mostra como usar este comando para mudar o modo para CONNECTION:

gcloud compute backend-services update-backend BACKEND_SERVICE_NAME \
    BACKEND_SERVICE_SCOPE \
    --instance-group=INSTANCE_GROUP_NAME \
    INSTANCE_GROUP_SCOPE \
    --balancing-mode=CONNECTION \
    TARGET_CAPACITY

Em ambos os exemplos, substitua o seguinte:

• BACKEND_SERVICE_NAME: o nome do serviço de back-end.
• BACKEND_SERVICE_SCOPE: o âmbito do serviço de back-end. Para serviços de back-end globais, use --global. Para serviços de back-end regionais, use --region=REGION, substituindo REGION pela região.
• INSTANCE_GROUP_NAME: o nome do grupo de instâncias de back-end.
• INSTANCE_GROUP_SCOPE: a localização do grupo de instâncias. Para grupos de instâncias geridos regionais, use --region=REGION, substituindo REGION pela região. Para grupos de instâncias zonais, use --zone=ZONE, substituindo ZONE pela zona.
• TARGET_CAPACITY: uma taxa alvo ou uma especificação de ligação alvo. Para o modo de equilíbrio de taxas, use os flags --max-rate= ou --max-rate-per-instance=, consultando o Modo de equilíbrio de taxas na vista geral dos serviços de back-end. Para o modo de equilíbrio de ligações de eliminação, use os flags --max-connections= ou --max-connections-per-instance=, que se referem ao modo de equilíbrio de ligações na vista geral dos serviços de back-end.

O serviço de back-end usa portas diferentes para a verificação de funcionamento e o tráfego

O balanceador de carga está a realizar verificações de estado de funcionamento em alguns back-ends numa porta diferente e não na porta com nome usada pelo balanceador de carga para publicar tráfego. Esta configuração pode ser problemática, a menos que tenha configurado o equilibrador de carga para usar uma porta diferente propositadamente.

Esta estatística inclui as seguintes informações:

• Serviço de back-end: o serviço de back-end afetado.
• Regras de encaminhamento: as regras de encaminhamento que direcionam o tráfego para o serviço de back-end.
• Nome da porta de publicação: o nome da porta que o serviço de back-end usa para o tráfego de serviço.
• Verificação de funcionamento: a verificação de funcionamento usada pelo serviço de back-end.
• Número da porta de verificação de funcionamento: a porta usada pela verificação de funcionamento.
• Back-ends afetados: os grupos de instâncias nos quais a porta de fornecimento é diferente da porta de verificação de funcionamento.

Tópicos relacionados

Consulte a especificação de categoria e porta.

Recomendações

Configure a verificação de funcionamento com a especificação da porta de publicação para que a verificação de funcionamento use a mesma porta que o serviço de back-end usa. O exemplo de código seguinte mostra como usar os comandos da CLI Google Cloud para atualizar a verificação de funcionamento de modo a usar a porta de publicação:

gcloud compute health-checks update PROTOCOL HEALTH_CHECK_NAME \
      HEALTH_CHECK_SCOPE \
      --use-serving-port

Substitua o seguinte:

• PROTOCOL: o protocolo usado pela verificação de funcionamento.
• HEALTH_CHECK_NAME: o nome da verificação de funcionamento.
• HEALTH_CHECK_SCOPE: o âmbito da verificação de funcionamento. Para verificações de funcionamento globais, use --global. Para verificações de saúde regionais, use --region=REGION, substituindo REGION pela região.

Os certificados SSL não estão associados a equilibradores de carga

Isto indica que o seu projeto tem certificados SSL geridos pela Google que não estão associados a um balanceador de carga que processa tráfego SSL ou HTTPS. Não é possível usar certificados SSL geridos pela Google até que os certificados sejam anexados a um equilibrador de carga. Pode ver a lista de certificados não associados nos detalhes das estatísticas.

Tópicos relacionados

• Use certificados SSL geridos pela Google
• Resolva problemas de certificados SSL geridos pela Google

Recomendações

Pode criar um certificado SSL gerido pela Google antes, durante ou depois de criar o equilibrador de carga. Para se tornar ACTIVE, o certificado SSL gerido pela Google tem de estar associado a um equilibrador de carga, especificamente ao proxy de destino do equilibrador de carga.

Depois de criar o certificado SSL e este estar no estado PROVISIONING, pode usá-lo durante a criação do equilibrador de carga ou pode usá-lo para atualizar um equilibrador de carga existente. Para mais informações sobre o seu certificado gerido pela Google, consulte o artigo Resolva problemas com certificados SSL geridos pela Google.

Certificados SSL associados a um equilibrador de carga que não expõe a porta 443

Isto indica que o seu projeto tem certificados SSL geridos pela Google que não estão a funcionar corretamente porque as regras de encaminhamento associadas não expõem a porta 443. Pode ver uma lista destes certificados nos detalhes das estatísticas.

Tópicos relacionados

• Crie uma regra de encaminhamento
• Resolva problemas de certificados geridos pela Google

Recomendações

Crie uma regra de encaminhamento usando a porta 443 quando estiver a criar ou atualizar um balanceador de carga.