Estadísticas del balanceador de cargas

En esta página, se describen las estadísticas de Network Analyzer para los balanceadores de cargas. Para obtener información sobre todos los tipos de estadísticas, consulta Grupos y tipos de estadísticas.

Consulta las estadísticas en la API de Recommender

Para ver estas estadísticas en gcloud CLI o en la API de Recommender, usa el siguiente tipo de estadística:

• google.networkanalyzer.networkservices.loadBalancerInsight

Necesitas estos permisos:

• recommender.networkAnalyzerLoadBalancerInsights.list
• recommender.networkAnalyzerLoadBalancerInsights.get

Para obtener más información sobre el uso de la API de Recommender para las estadísticas de Network Analyzer, consulta Usa la CLI y la API de Recommender.

El firewall de verificación de estado no está configurado

Esta estadística indica que el firewall de verificación de estado no está configurado en la red de VPC que usa el balanceador de cargas. La estadística incluye la siguiente información:

• Balanceador de cargas: Es el nombre del balanceador de cargas.
• Regla de reenvío: Es el nombre de la regla de reenvío específica.
• Red: Es el nombre de la red en la que está configurado el balanceador de cargas.
• Firewalls de bloqueo: Es el nombre de los firewalls que bloquean los rangos de direcciones IP de verificación de estado.
• Backends mal configurados: Son los backends del balanceador de cargas que no incluyen la regla de firewall que permite los rangos de direcciones IP de verificación de estado.

Recomendaciones

Configura la regla de firewall de verificación de estado para permitir de forma explícita el acceso del rango de direcciones IP de verificación de estado a los backends del balanceador de cargas. Si deseas obtener más información, consulta las reglas de firewall para balanceadores de cargas que se indican a continuación.

El rango de direcciones IP de verificación de estado está bloqueado

Esta estadística indica que una regla de firewall configurada por el usuario bloquea el rango de direcciones IP de verificación de estado. En los detalles de las estadísticas, puedes encontrar la regla de firewall que bloquea el rango de direcciones de verificación de estado.

Recomendaciones

Si deseas identificar el rango de direcciones de verificación de estado de tu tipo de balanceador de cargas, consulta Reglas de firewall para balanceadores de cargas.

• Si la regla de firewall de bloqueo tiene un rango de direcciones IP más amplio, crea una regla de permiso de mayor prioridad para el rango de direcciones IP de verificación de estado.
• Si la regla de firewall de bloqueo tiene un rango de direcciones IP igual o menor que el rango de direcciones IP de verificación de estado, quita la regla de firewall de bloqueo.

La configuración de firewall es incoherente

Esta estadística indica que la configuración del firewall es incoherente entre las VMs de backend. El rango de direcciones IP de verificación de estado está permitido en algunas VMs de backend, mientras que se rechaza en otras. Este problema se produce cuando algunas etiquetas de red o cuentas de servicio se modifican por error en algunas VMs de backend. La estadística incluye la siguiente información:

• Balanceador de cargas: Es el nombre del balanceador de cargas.
• Regla de reenvío: Es el nombre de la regla de reenvío específica.
• Red: Es el nombre de la red en la que está configurado el balanceador de cargas.
• Bloqueo de firewalls: Es el nombre de los firewalls que bloquean rangos de verificación de estado.
• Firewalls con permisos parciales: Es el nombre de los firewalls que permiten el tráfico de verificación de estado en las VMs de backend configuradas de forma correcta.
• Backends mal configurados: Son los backends que tienen este problema, en los que la configuración de firewall para el rango de direcciones IP de verificación de estado no funciona de manera correcta

Temas relacionados

• Filtrado por cuenta de servicio en comparación con etiqueta de red
• Reglas de firewall para balanceadores de cargas

Recomendaciones

Busca las etiquetas mal configuradas con la comparación de las etiquetas configuradas en las VMs de backend mal configuradas con las etiquetas configuradas en las reglas de firewall que permiten de forma parcial. Modifica las etiquetas y las cuentas de servicio en las VMs de backend mal configuradas para tener los mismos valores que las etiquetas y las cuentas de servicio en las VMs de backend que funcionan.

El rango de direcciones IP de verificación de estado está bloqueado de forma parcial

Esta estadística indica que todos los backends tienen tráfico bloqueado de forma parcial en el rango de verificación de estado. El tráfico de verificación de estado está permitido para algunos rangos de direcciones IP de verificación de estado y se rechaza para otros rangos de direcciones IP de verificación de estado. La estadística incluye la siguiente información:

• Balanceador de cargas: Es el nombre del balanceador de cargas.
• Regla de reenvío: Es el nombre de la regla de reenvío específica.
• Red: Es el nombre de la red en la que está configurado el balanceador de cargas.
• Bloqueo de firewalls: Es el nombre de los firewalls que bloquean rangos de verificación de estado.
• Firewalls con permisos parciales: Es el nombre de los firewalls que permiten el tráfico de verificación de estado en las VMs de backend configuradas de forma correcta.
• Backends mal configurados: Son los backends que tienen este problema, en los que la configuración de firewall para el rango de verificación de estado no funciona de manera correcta
• Rangos de verificaciones de estado bloqueados: Son los rangos de direcciones IP en los que está bloqueado el tráfico de verificación de estado

Temas relacionados

• Reglas de firewall para balanceadores de cargas

Recomendaciones

Compara los rangos de direcciones IP en las reglas de firewall que permiten de forma parcial con el rango de direcciones IP de verificación de estado para tu tipo de balanceador de cargas. Si faltan rangos de direcciones IP, agrégalos a tu regla de firewall de permiso. Si la estadística persiste, asegúrate de que la prioridad de las reglas de firewall que permite de forma parcial sea mayor que la de la regla de firewall que rechaza.

El modo de balanceo del servicio de backend interrumpe la afinidad de sesión

Esta estadística se activa cuando el servicio de backend de un balanceador de cargas basado en proxy tiene una afinidad de sesión que no es NONE y tiene uno o más backends de grupos de instancias que usan el modo de balanceo UTILIZATION. La afinidad de sesión puede interrumpirse cuando el tráfico hacia el balanceador de cargas es bajo. El balanceador de cargas también descarta una parte de las sesiones cuando cambia la cantidad de backends, por ejemplo, cuando se agregan o quitan backends del balanceador de cargas, como en los casos de una falla en la verificación de estado o un éxito posterior. La cantidad de sesiones que se descartan es proporcional a la cantidad de backends que cambian. Estos cambios también interrumpen la afinidad de sesión para esas sesiones.

Esta estadística incluye la siguiente información:

• Servicio de backend: Es el servicio de backend afectado.
• Reglas de reenvío: Son las reglas de reenvío que dirigen el tráfico a este servicio de backend.
• Afinidad de sesión: Es la afinidad de sesión que usa el servicio de backend.
• Backends afectados: Son los backends que usan el modo de balanceo UTILIZATION.

Temas relacionados

• Pérdida de la afinidad de sesión con el modo de balanceo de uso
• Modos de balanceo admitidos por tipo de balanceador de cargas

Recomendaciones

Para usar una afinidad de sesión distinta de NONE, debes usar los modos de balanceo RATE o CONNECTION. Solo puedes hacer esta operación con Google Cloud CLI o la API de Compute Engine, no en la consola de Google Cloud .

Para los servicios de backend del balanceador de cargas de proxy que usan los protocolos HTTP, HTTPS o HTTP/2, cambia el modo de balanceo por RATE con el comando gcloud compute backend-services update-backend y elige el modo de balanceo de tasa.

En la siguiente muestra de código, se muestra cómo usar este comando para cambiar el modo a RATE:

gcloud compute backend-services update-backend BACKEND_SERVICE_NAME \
    BACKEND_SERVICE_SCOPE \
    --instance-group=INSTANCE_GROUP_NAME \
    INSTANCE_GROUP_SCOPE \
    --balancing-mode=RATE \
    TARGET_CAPACITY

Para los servicios de backend del balanceador de cargas de proxy que usan protocolos que no son HTTP (como TCP o SSL), cambia el modo de balanceo por CONNECTION con el comando gcloud compute backend-services update-backend y elige el modo de balanceo de conexiones.

En la siguiente muestra de código, se muestra cómo usar este comando para cambiar el modo a CONNECTION:

gcloud compute backend-services update-backend BACKEND_SERVICE_NAME \
    BACKEND_SERVICE_SCOPE \
    --instance-group=INSTANCE_GROUP_NAME \
    INSTANCE_GROUP_SCOPE \
    --balancing-mode=CONNECTION \
    TARGET_CAPACITY

En ambos ejemplos, reemplaza la siguiente información:

• BACKEND_SERVICE_NAME: Es el nombre del servicio de backend.
• BACKEND_SERVICE_SCOPE: Es el alcance del servicio de backend. Para los servicios de backend globales, usa --global. Para los servicios de backend regionales, usa --region=REGION y reemplaza REGION por la región.
• INSTANCE_GROUP_NAME: Es el nombre del grupo de instancias de backend.
• INSTANCE_GROUP_SCOPE: Es la ubicación del grupo de instancias. Para los grupos de instancias administrados regionales, usa --region=REGION y reemplaza REGION por la región. Para los grupos de instancias zonales, usa --zone=ZONE y reemplaza ZONE por la zona.
• TARGET_CAPACITY: Es una tasa objetivo o una especificación de conexión objetivo. Para el modo de balanceo de tasa, usa las marcas --max-rate= o --max-rate-per-instance=, como se indica en Modo de balanceo de tasa en la descripción general de los servicios de backend. Para el modo de balanceo de conexiones descartadas, usa las marcas --max-connections= o --max-connections-per-instance=, como se indica en Modo de balanceo de conexiones en la descripción general de los servicios de backend.

El servicio de backend usa puertos diferentes para la verificación de estado y el tráfico

El balanceador de cargas hace verificaciones de estado en algunos backends en un puerto diferente y no en el puerto con nombre que usa el balanceador de cargas para entregar tráfico. Esta configuración puede ser problemática, a menos que hayas configurado el balanceador de cargas para que use un puerto diferente a propósito.

Esta estadística incluye la siguiente información:

• Servicio de backend: Es el servicio de backend afectado.
• Reglas de reenvío: Son las reglas de reenvío que dirigen el tráfico al servicio de backend.
• Nombre del puerto de entrega: Es el nombre del puerto que usa el servicio de backend para el tráfico de servicio.
• Verificación de estado: Es la verificación de estado que usa el servicio de backend.
• Número del puerto de la verificación de estado: Es el puerto que usa la verificación de estado.
• Backends afectados: Son los grupos de instancias en los que el puerto de entrega es diferente del puerto de verificación de estado.

Temas relacionados

Consulta Categoría y especificación de puerto.

Recomendaciones

Configura la verificación de estado con la especificación de uso del puerto de entrega para que la verificación de estado use el mismo puerto que el servicio de backend. En la siguiente muestra de código, se muestra cómo usar los comandos de Google Cloud CLI para actualizar la verificación de estado y usar el puerto de servicio:

gcloud compute health-checks update PROTOCOL HEALTH_CHECK_NAME \
      HEALTH_CHECK_SCOPE \
      --use-serving-port

Reemplaza lo siguiente:

• PROTOCOL: Es el protocolo que usa la verificación de estado.
• HEALTH_CHECK_NAME: Es el nombre de la verificación de estado.
• HEALTH_CHECK_SCOPE: Es el alcance de la verificación de estado. Para las verificaciones de estado globales, usa --global. Para las verificaciones de estado regionales, usa --region=REGION y reemplaza REGION por la región.

Los certificados SSL no están asociados con los balanceadores de cargas

Esto indica que tu proyecto tiene certificados SSL administrados por Google que no están asociados a un balanceador de cargas que controle el tráfico SSL o HTTPS. Los certificados SSL administrados por Google no se pueden usar hasta que se adjunten a un balanceador de cargas. Puedes ver la lista de certificados no adjuntos en los detalles de la estadística.

Temas relacionados

• Usa certificados SSL administrados por Google.
• Soluciona problemas relacionados con los certificados SSL administrados por Google.

Recomendaciones

Puedes crear un certificado SSL administrado por Google antes o después de crear el balanceador de cargas, o bien durante el proceso de creación. Para convertirse en ACTIVE, el certificado SSL administrado por Google debe estar asociado con un balanceador de cargas, en particular, el proxy de destino del balanceador de cargas.

Una vez que el certificado SSL se haya creado y esté en el estado PROVISIONING, puedes usarlo durante la creación del balanceador de cargas o para actualizar uno existente. Para obtener más información sobre tu certificado administrado por Google, consulta Soluciona problemas de certificados SSL administrados por Google.

Certificados SSL asociados a un balanceador de cargas que no expone el puerto 443

Esto indica que tu proyecto tiene certificados SSL administrados por Google que no funcionan de forma correcta porque las reglas de reenvío asociadas a ellos no exponen el puerto 443. Puedes ver una lista de estos certificados en los detalles de la estadística.

Temas relacionados

• Crea una regla de reenvío.
• Soluciona problemas relacionados con certificados administrados por Google.

Recomendaciones

Crea una regla de reenvío con el puerto 443 cuando crees o actualices un balanceador de cargas.