Risolvi i problemi relativi ai bilanciatori del carico di rete passthrough esterni regionali

Questa guida descrive come risolvere i problemi di configurazione per un Cloud de Confiance by S3NS bilanciatore del carico di rete passthrough esterno regionale. Prima di esaminare i problemi, consulta le seguenti pagine:

Risolvi i problemi comuni di Network Analyzer

Network Analyzer monitora automaticamente la configurazione di rete VPC e rileva sia le configurazioni non ottimali sia quelle errate. Identifica gli errori di rete, fornisce informazioni sulla causa principale e suggerisce possibili soluzioni. Per scoprire di più sui diversi scenari di configurazione errata rilevati automaticamente da Network Analyzer, consulta Approfondimenti sul bilanciatore del carico nella documentazione di Network Analyzer.

Network Analyzer è disponibile nella Cloud de Confiance console come parte di Network Intelligence Center.

Vai a Network Analyzer

Risolvi i problemi di configurazione

I backend hanno modalità di bilanciamento incompatibili

Quando crei un bilanciatore del carico, potresti visualizzare il seguente errore:

Validation failed for instance group INSTANCE_GROUP:

backend services 1 and 2 point to the same instance group
but the backends have incompatible balancing_mode. Values should be the same.

Questo accade quando provi a utilizzare lo stesso backend in due bilanciatori del carico diversi e i backend non hanno modalità di bilanciamento compatibili.

Per ulteriori informazioni, consulta le seguenti risorse:

Risolvi i problemi di connettività generali

Se non riesci a connetterti al bilanciatore del carico di rete passthrough esterno regionale, controlla i seguenti problemi comuni:

  • Verifica le regole firewall.

    Per scoprire come configurare le regole firewall richieste dal bilanciatore del carico di rete passthrough esterno regionale, consulta Configurazione delle regole firewall.

  • Verifica che l'agente guest di Google sia in esecuzione sulla VM di backend. Se riesci a connetterti a una VM di backend integra, ma non riesci a connetterti al bilanciatore del carico, è possibile che l'agente guest di Google (in precedenza, l'ambiente guest di Windows o l'ambiente guest di Linux) sulla VM non sia in esecuzione o non sia in grado di comunicare con il server di metadati (metadata.google.internal, 169.254.169.254).

    Controlla quanto segue:

    • Assicurati che l'agente guest di Google sia installato ed eseguito sulla VM di backend.
    • Assicurati che le regole firewall all'interno del sistema operativo guest della VM di backend (iptables o Firewall di Windows) non blocchino l'accesso al server di metadati.

  • Verifica che le VM di backend accettino i pacchetti inviati al bilanciatore del carico. Ogni VM di backend deve essere configurata per accettare i pacchetti inviati al bilanciatore del carico. Ciò significa che la destinazione dei pacchetti inviati alle VM di backend è l'indirizzo IP del bilanciatore del carico. Nella maggior parte dei casi, questa operazione viene implementata con una route locale.

    Per le VM create da Cloud de Confiance immagini, l'agente guest installa la route locale per l'indirizzo IP del bilanciatore del carico. Le istanze di Google Kubernetes Engine basate su Container-Optimized OS implementano questa operazione utilizzando iptables invece.

    Su una VM di backend Linux, puoi verificare la presenza della route locale eseguendo il seguente comando. Sostituisci LOAD_BALANCER_IP con l'indirizzo IP del bilanciatore del carico:

    sudo ip route list table local | grep LOAD_BALANCER_IP

  • Verifica l'indirizzo IP del servizio e l'associazione delle porte sulle VM di backend. I pacchetti inviati a un bilanciatore del carico di rete passthrough esterno regionale arrivano alle VM di backend con l'indirizzo IP di destinazione del bilanciatore del carico stesso. Questo tipo di bilanciatore del carico non è un proxy e questo è il comportamento previsto.

    Per visualizzare i servizi in ascolto su una porta, esegui il seguente comando:

    netstat -nl | grep ':PORT'

    Il software in esecuzione sulla VM di backend deve eseguire le seguenti operazioni:

    • Ascolto (associazione) all'indirizzo IP del bilanciatore del carico o a qualsiasi indirizzo IP (0.0.0.0 o ::)
    • Ascolto (associazione) a una porta inclusa nella regola di forwarding del bilanciatore del carico

    Per testare questa operazione, connettiti a una VM di backend utilizzando SSH o RDP. Esegui poi i seguenti test utilizzando curl, telnet o uno strumento simile:

    • Prova a raggiungere il servizio contattandolo utilizzando l'indirizzo IP interno della VM di backend stessa, 127.0.0.1 o localhost.
    • Prova a raggiungere il servizio contattandolo utilizzando l'indirizzo IP della regola di forwarding del bilanciatore del carico.

  • Verifica che il traffico del controllo di integrità possa raggiungere le VM di backend. Per verificare che il traffico del controllo di integrità raggiunga le VM di backend, abilita il logging del controllo di integrità e cerca le voci di log riuscite.

Risolvi i problemi del VPC condiviso

Se utilizzi un VPC condiviso e non riesci a creare un nuovo bilanciatore del carico di rete passthrough esterno regionale in una determinata subnet, la causa potrebbe essere una policy dell'organizzazione. Nella policy dell'organizzazione, aggiungi la subnet all'elenco delle subnet consentite o contatta l'amministratore dell'organizzazione. Per ulteriori informazioni, consulta il constraints/compute.restrictSharedVpcSubnetworks vincolo.

Risolvi i problemi di failover

Se hai configurato il failover per un bilanciatore del carico di rete passthrough esterno regionale, segui questi passaggi per verificare la configurazione:

  • Assicurati di comprendere la selezione del backend e il monitoraggio delle connessioni tracking e i concetti di failover.
  • Assicurati di aver designato almeno un backend di failover.
  • Esamina i backend integri utilizzando la Cloud de Confiance console o gcloud compute backend-services get-health per determinare quali VM sono backend idonei.
  • Assicurati che il rapporto di failover sia impostato correttamente.
  • Non è consigliabile utilizzare i gruppi di istanze gestite con la scalabilità automatica abilitata insieme al failover, perché la scalabilità automatica modifica il numero di backend primari, backend di failover o entrambi. Ciò può comportare una modifica imprevista dell'insieme di backend idonei perché il rapporto di failover è fisso.
  • Se una VM client è anche una VM di backend con bilanciamento del carico, le connessioni all'indirizzo IP della regola di forwarding del bilanciatore del carico vengono inviate alla VM di backend stessa. Per ulteriori informazioni, consulta Test da un singolo client.

Risolvi i problemi di logging

Se configuri il logging per un bilanciatore del carico di rete passthrough esterno regionale, potrebbero verificarsi i seguenti problemi:

  • Le misurazioni RTT, come i valori dei byte, potrebbero mancare in alcuni log se non vengono campionati pacchetti sufficienti per acquisire l'RTT. È più probabile che ciò accada per le connessioni a basso volume.
  • I valori RTT sono disponibili solo per i flussi TCP.
  • Alcuni pacchetti vengono inviati senza payload. Se vengono campionati pacchetti solo di intestazione, il valore dei byte è 0.