Insights sobre o balanceador de carga

Nesta página, descrevemos os insights do Network Analyzer sobre balanceadores de carga. Para informações sobre todos os tipos de insight, consulte Grupos e tipos de insights.

Conferir insights na API Recommender

Para conferir esses insights na gcloud CLI ou na API Recommender, use o tipo de insight a seguir:

• google.networkanalyzer.networkservices.loadBalancerInsight

Você precisa destas permissões:

• recommender.networkAnalyzerLoadBalancerInsights.list
• recommender.networkAnalyzerLoadBalancerInsights.get

Para mais informações sobre o uso da API Recommender para insights do Network Analyzer, consulte Usar a CLI e a API Recommender.

O firewall de verificação de integridade não está configurado

Esse insight indica que o firewall de verificação de integridade não está configurado na rede VPC que o balanceador de carga está usando. O insight inclui as seguintes informações:

• Balanceador de carga: nome do balanceador de carga.
• Regra de encaminhamento: nome da regra de encaminhamento específica.
• Rede: nome da rede em que o balanceador de carga está configurado.
• Firewalls causando bloqueio: nome dos firewalls que estão bloqueando intervalos de endereços IP da verificação de integridade.
• Back-ends configurados incorretamente: os back-ends do balanceador de carga que não incluem a regra de firewall de permissão para intervalos de endereços IP da verificação de integridade.

Recomendações

Configure a regra de firewall de verificação de integridade para permitir explicitamente que o intervalo de endereços IP da verificação de integridade acesse os back-ends do balanceador de carga. Para mais informações, consulte Regras de firewall para balanceadores de carga.

O intervalo de endereços IP da verificação de integridade está bloqueado

Esse insight indica que uma regra de firewall configurada pelo usuário está bloqueando o intervalo de endereços IP da verificação de integridade. Nos detalhes do insight, é possível encontrar a regra de firewall que bloqueia o intervalo de endereços da verificação de integridade.

Recomendações

Para identificar o intervalo de endereços da verificação de integridade do tipo de balanceador de carga, consulte Regras de firewall para balanceadores de carga.

• Se a regra de firewall que está causando bloqueio tiver um intervalo de endereços IP mais amplo, crie uma regra de permissão com prioridade mais alta para o intervalo de endereços IP da verificação de integridade.
• Se a regra de firewall que está causando bloqueio tiver o mesmo intervalo de endereços IP ou um intervalo menor que o da verificação de integridade, remova essa regra.

A configuração do firewall é inconsistente

Esse insight indica que a configuração do firewall é inconsistente entre as VMs de back-end. O intervalo de endereços IP da verificação de integridade é permitido em algumas VMs de back-end, enquanto ele é negado em outras. Esse problema ocorre quando as tags de rede ou as contas de serviço são modificadas por engano em algumas VMs de back-end. O insight inclui as seguintes informações:

• Balanceador de carga: nome do balanceador de carga.
• Regra de encaminhamento: nome da regra de encaminhamento específica.
• Rede: nome da rede em que o balanceador de carga está configurado.
• Firewalls causando bloqueio: nome dos firewalls que estão bloqueando intervalos de verificação de integridade.
• Firewalls que permitem parte do tráfego: nome dos firewalls que permitem o tráfego de verificação de integridade nas VMs de back-end configuradas corretamente.
• Back-ends configurados incorretamente: os back-ends que têm esse problema, em que a configuração de firewall para o intervalo de endereços IP da verificação de integridade não está funcionando corretamente.

Temas relacionados

• Filtragem por conta de serviço versus tag de rede
• Regras de firewall para balanceadores de carga

Recomendações

Para encontrar as tags configuradas incorretamente, compare as tags configuradas nas VMs de back-end configuradas incorretamente com as tags configuradas nas regras de firewall que permitem parte do tráfego. Modifique as tags e as contas de serviço nas VMs de back-end configuradas incorretamente para que tenham os mesmos valores das tags e das contas de serviço nas VMs de back-end em funcionamento.

O intervalo de endereços IP da verificação de integridade está parcialmente bloqueado

Esse insight indica que todos os back-ends bloquearam parcialmente o tráfego no intervalo de verificação de integridade. O tráfego da verificação de integridade é permitido para alguns intervalos de endereços IP da verificação de integridade e negado para outros. O insight inclui as seguintes informações:

• Balanceador de carga: nome do balanceador de carga.
• Regra de encaminhamento: nome da regra de encaminhamento específica.
• Rede: nome da rede em que o balanceador de carga está configurado.
• Firewalls causando bloqueio: nome dos firewalls que estão bloqueando intervalos de verificação de integridade.
• Firewalls que permitem parte do tráfego: nome dos firewalls que permitem o tráfego de verificação de integridade nas VMs de back-end configuradas corretamente.
• Back-ends configurados incorretamente: os back-ends que têm esse problema, em que a configuração do firewall para o intervalo da verificação de integridade não está funcionando corretamente.
• Intervalos de verificação de integridade bloqueados: intervalos de endereços IP em que o tráfego de verificação de integridade está bloqueado.

Temas relacionados

• Regras de firewall para balanceadores de carga

Recomendações

Compare os intervalos de endereços IP nas regras de firewall que permitem parte do tráfego com o intervalo de endereços IP da verificação de integridade para o tipo de balanceador de carga. Se estiverem faltando intervalos de endereços IP, adicione-os à sua regra de firewall que permite o tráfego. Se o insight persistir, verifique se a prioridade da regra de firewall que permite parte do tráfego é maior do que a da regra de firewall de negação.

O modo de balanceamento do serviço de back-end interrompe a afinidade da sessão

Esse insight é acionado quando o serviço de back-end de um balanceador de carga baseado em proxy tem uma afinidade de sessão diferente de NONE e tem um ou mais back-ends de grupo de instâncias usando o modo de balanceamento UTILIZATION. A afinidade da sessão pode ser interrompida quando o tráfego para o balanceador de carga é baixo. O balanceador de carga também descarta uma parte das sessões quando a quantidade de back-ends muda, quando os back-ends são adicionados ou removidos do balanceador de carga, como em casos de falha na verificação de integridade ou em um resultado subsequente. O número de sessões descartadas é proporcional à quantidade de back-ends alterados. Essas mudanças também afetam a afinidade das sessões.

Esse insight inclui as seguintes informações:

• Serviço de back-end: o serviço de back-end afetado.
• Regras de encaminhamento: as regras de encaminhamento que direcionam o tráfego para esse serviço de back-end.
• Afinidade da sessão: a afinidade da sessão usada pelo serviço de back-end.
• Back-ends afetados: os back-ends que usam o modo de balanceamento UTILIZATION.

Temas relacionados

• Perda de afinidade da sessão com o modo de balanceamento de utilização
• Modos de balanceamento compatíveis por tipo de balanceador de carga

Recomendações

Para usar uma afinidade de sessão diferente de NONE, use os modos de balanceamento RATE ou CONNECTION. Só é possível realizar essa operação com a CLI do Google Cloud ou com a API Compute Engine, não no console do Google Cloud .

Para serviços de back-end com balanceador de carga de proxy que usam os protocolos HTTP, HTTPS ou HTTP/2, alterne o modo de balanceamento para RATE usando a gcloud compute backend-services update-backend e selecionando o modo de balanceamento de taxa.

O exemplo de código a seguir mostra como usar esse comando para alternar o modo para RATE:

gcloud compute backend-services update-backend BACKEND_SERVICE_NAME \
    BACKEND_SERVICE_SCOPE \
    --instance-group=INSTANCE_GROUP_NAME \
    INSTANCE_GROUP_SCOPE \
    --balancing-mode=RATE \
    TARGET_CAPACITY

Para serviços de back-end com balanceador de carga de proxy que usam protocolos não HTTP (como TCP ou SSL), alterne o modo de balanceamento para CONNECTION usando o comando gcloud compute backend-services update-backend e escolhendo o modo de balanceamento de conexão.

O exemplo de código a seguir mostra como usar esse comando para alternar o modo para CONNECTION:

gcloud compute backend-services update-backend BACKEND_SERVICE_NAME \
    BACKEND_SERVICE_SCOPE \
    --instance-group=INSTANCE_GROUP_NAME \
    INSTANCE_GROUP_SCOPE \
    --balancing-mode=CONNECTION \
    TARGET_CAPACITY

Nos dois exemplos, substitua o seguinte:

• BACKEND_SERVICE_NAME: o nome do serviço de back-end.
• BACKEND_SERVICE_SCOPE: o escopo do serviço de back-end. Para serviços de back-end globais, use --global. Para serviços de back-end regionais, use --region=REGION, substituindo REGION pela região.
• INSTANCE_GROUP_NAME: o nome do grupo de instâncias de back-end.
• INSTANCE_GROUP_SCOPE: a localização do grupo de instâncias. Para grupos gerenciados de instâncias regionais, use --region=REGION, substituindo REGION pela região. Para grupos de instâncias zonais, use --zone=ZONE, substituindo ZONE pela zona.
• TARGET_CAPACITY: é uma especificação de meta de taxa ou de conexão. Para o modo de balanceamento de taxa, use as sinalizações --max-rate= ou --max-rate-per-instance=, fazendo referência ao modo de balanceamento de taxa na visão geral dos serviços de back-end. Para o modo de balanceamento por queda de conexão, use as sinalizações --max-connections= ou --max-connections-per-instance=, mencionando o modo de balanceamento de conexão na visão geral dos serviços de back-end.

O serviço de back-end usa portas diferentes para a verificação de integridade e o tráfego

O balanceador de carga está fazendo verificações de integridade em alguns back-ends em uma porta diferente, e não na porta nomeada usada pelo balanceador de carga para exibir o tráfego. Essa configuração pode ser problemática, a menos que você tenha configurado o balanceador de carga para usar uma porta diferente intencionalmente.

Esse insight inclui as seguintes informações:

• Serviço de back-end: o serviço de back-end afetado.
• Regras de encaminhamento: as regras de encaminhamento que direcionam o tráfego para o serviço de back-end.
• Nome da porta de exibição: o nome da porta que o serviço de back-end usa para o tráfego do serviço.
• Verificação de integridade: a verificação de integridade usada pelo serviço de back-end.
• Número da porta de verificação de integridade: a porta usada pela verificação de integridade.
• Back-ends afetados: os grupos de instâncias em que a porta de exibição é diferente da porta de verificação de integridade.

Temas relacionados

Consulte Especificação de categoria e porta.

Recomendações

Configure a verificação de integridade com a especificação "usar porta de serviço". Assim, ela usará a mesma porta que o serviço de back-end. O exemplo de código a seguir mostra como usar os comandos da CLI do Google Cloud para atualizar a verificação de integridade e usar a porta de serviço:

gcloud compute health-checks update PROTOCOL HEALTH_CHECK_NAME \
      HEALTH_CHECK_SCOPE \
      --use-serving-port

Substitua:

• PROTOCOL: o protocolo usado pela verificação de integridade.
• HEALTH_CHECK_NAME: o nome da verificação de integridade.
• HEALTH_CHECK_SCOPE: o escopo da verificação de integridade. Para verificações de integridade globais, use --global. Para verificações de integridade regionais, use --region=REGION, substituindo REGION pela região.

Os certificados SSL não estão associados a balanceadores de carga

Isso indica que seu projeto tem certificados SSL gerenciados pelo Google que não estão associados a um balanceador de carga que lida com tráfego SSL ou HTTPS. Os certificados SSL gerenciados pelo Google não podem ser usados até que estejam anexados a um balanceador de carga. Confira a lista de certificados não anexados nos detalhes do insight.

Temas relacionados

• Usar certificados SSL gerenciados pelo Google
• Resolver problemas de certificados SSL gerenciados pelo Google

Recomendações

É possível criar um certificado SSL gerenciado pelo Google antes, durante ou depois de criar o balanceador de carga. Para se tornar ACTIVE, o certificado SSL gerenciado pelo Google precisa estar associado a um balanceador de carga, especificamente ao proxy de destino do balanceador de carga.

Depois que você criar seu certificado SSL e ele estiver no estado PROVISIONING, será possível usá-lo durante a criação do balanceador de carga ou para atualizar um balanceador de carga atual. Para mais informações sobre seu certificado gerenciado pelo Google, consulte Resolver problemas em certificados SSL gerenciados pelo Google.

Certificados SSL associados a um balanceador de carga que não expõe a porta 443

Isso indica que seu projeto tem certificados SSL gerenciados pelo Google que não estão funcionando corretamente porque as regras de encaminhamento associadas a eles não expõem a porta 443. Confira uma lista desses certificados nos detalhes do insight.

Temas relacionados

• Criar uma regra de encaminhamento
• Resolver problemas em certificados gerenciados pelo Google

Recomendações

Crie uma regra de encaminhamento usando a porta 443 ao criar ou atualizar um balanceador de carga.