Registo e monitorização do balanceador de carga de aplicações externo regional (original) (raw)

Ir para o conteúdo principal

Registo e monitorização do balanceador de carga de aplicações externo regional

Este documento mostra como configurar e usar o Cloud Logginge o Cloud Monitoring com equilibradores de carga de aplicações externos regionais.

Pode ativar, desativar e ver registos de um serviço de back-end dobalanceador de carga de aplicações externo.

Ativa ou desativa o registo para cada serviço de back-end. Pode configurar se pretende registar todos os pedidos ou uma fração aleatória de amostras.

Tem de garantir que não tem uma exclusão de registos que se aplique a equilibradores de carga de aplicações externos. Para obter informações sobre como verificar se os registos Cloud HTTP Load Balancer são permitidos, consulte a secçãoFiltros de exclusão.

Amostragem e recolha de registos

Os pedidos (e as respostas correspondentes) processados pelas instâncias de máquinas virtuais (VMs) do back-end do balanceador de carga são amostrados. Estes pedidos com amostragem são, em seguida, processados para gerar registos. Controla a fração dos pedidos que são emitidos como entradas de registo de acordo com o parâmetro logConfig.sampleRate. Quando logConfig.sampleRate é 1.0 (100%), significa que os registos são gerados para todos os pedidos e escritos no Cloud Logging.

Campos opcionais

Os registos de registo contêm campos obrigatórios e campos opcionais. A secção O que é registado indica que campos são opcionais e quais são obrigatórios. Todos os campos obrigatórios estão sempre incluídos. Pode personalizar os campos opcionais que quer manter.

Para obter informações sobre a personalização de campos opcionais, consulte o artigoAtive o registo num novo serviço de back-end.

Ativar o registo num novo serviço de back-end

Consola

  1. Na Google Cloud consola, aceda à página Equilíbrio de carga.
    Aceda a Balanceamento de carga
  2. Clique no nome do balanceador de carga.
  3. Clique em Editar.
  4. Clique em Configuração de back-end.
  5. Selecione Criar um serviço de back-end.
  6. Preencha os campos de serviço de back-end obrigatórios.
  7. Na secção Registo, selecione a caixa de verificação Ativar registo.
  8. Defina uma fração da Taxa de amostragem. Pode definir um número de 0.0 a 1.0, em que 0.0 significa que não são registados pedidos e 1.0 significa que 100% dos pedidos são registados. O valor predefinido é 1.0.
  9. Opcional: para incluir todos os campos opcionais nos registos, na secção Campos opcionais, clique em Incluir todos os campos opcionais.
  10. Para terminar a edição do serviço de back-end, clique em Atualizar.
  11. Para terminar a edição do equilibrador de carga, clique em Atualizar.

gcloud

Crie um serviço de back-end e ative o registo através do comandogcloud compute backend-services create.

gcloud compute backend-services create BACKEND_SERVICE
--region=REGION
--enable-logging
--logging-sample-rate=VALUE
--load-balancing-scheme=EXTERNAL_MANAGED
--logging-optional=LOGGING_OPTIONAL_MODE
--logging-optional-fields=OPTIONAL_FIELDS

onde

Ativar o registo num serviço de back-end existente

Consola

  1. Na Google Cloud consola, aceda à página Equilíbrio de carga.
    Aceda a Balanceamento de carga
  2. Clique no nome do balanceador de carga.
  3. Clique em Editar.
  4. Clique em Configuração de back-end.
  5. Clique em Editar junto ao serviço de back-end.
  6. Na secção Registo, selecione a caixa de verificação Ativar registo.
  7. No campo Taxa de amostragem, defina a probabilidade de amostragem. Pode definir um número de 0.0 a 1.0, em que 0.0 significa que não são registados pedidos e 1.0 significa que 100% dos pedidos são registados. O valor predefinido é 1.0.
  8. Opcional: para incluir todos os campos opcionais nos registos, na secção Campos opcionais, clique em Incluir todos os campos opcionais.
  9. Para terminar a edição do serviço de back-end, clique em Atualizar.
  10. Para terminar a edição do equilibrador de carga, clique em Atualizar.

gcloud

Ative o registo num serviço de back-end existente com o comando gcloud compute backend-services update.

gcloud compute backend-services update BACKEND_SERVICE
--region=REGION
--enable-logging
--logging-sample-rate=VALUE
--logging-optional=LOGGING_OPTIONAL_MODE
--logging-optional-fields=OPTIONAL_FIELDS

onde

Desativar ou modificar o registo num serviço de back-end existente

Consola

  1. Na Google Cloud consola, aceda à página Equilíbrio de carga.
    Aceda a Balanceamento de carga
  2. Clique no nome do balanceador de carga.
  3. Clique em Editar.
  4. Clique em Configuração de back-end.
  5. Clique em Editar junto ao serviço de back-end.
  6. Para desativar o registo por completo, na secção Registo, desmarque a caixa de verificação Ativar registo.
  7. Se deixar o registo ativado, pode definir uma fração de taxa de amostragem diferente. Pode definir um número de 0.0 a 1.0, em que 0.0 significa que não são registados pedidos e 1.0 significa que 100% dos pedidos são registados. O valor predefinido é 1.0. Por exemplo, 0.2 significa que 20% dos pedidos de amostra geram registos.
  8. Para terminar a edição do serviço de back-end, clique em Atualizar.
  9. Para terminar a edição do equilibrador de carga, clique em Atualizar.

gcloud: modo regional

Desative o registo num serviço de back-end com o comandogcloud compute backend-services update.

Desativar o registo completamente

gcloud compute backend-services update BACKEND_SERVICE
--region=REGION
--no-enable-logging

onde

Ativar o registo de campos opcionais num serviço de back-end existente

gcloud compute backend-services update BACKEND_SERVICE
--region=REGION
--enable-logging
--logging-sample-rate=VALUE
--logging-optional=LOGGING_OPTIONAL_MODE
--logging-optional-fields=OPTIONAL_FIELDS

onde

Atualizar o modo opcional de registo de CUSTOM para outros

gcloud compute backend-services update BACKEND_SERVICE
--region=REGION
--enable-logging
--logging-sample-rate=VALUE
--logging-optional=LOGGING_OPTIONAL_MODE
--logging-optional-fields=

onde

Modificar a taxa de amostragem de registo

gcloud compute backend-services update BACKEND_SERVICE
--region=REGION
--logging-sample-rate=VALUE

Ver registos

Os registos HTTP(S) são indexados primeiro por uma regra de encaminhamento e, em seguida, por um mapa de URLs.

Para ver os registos, aceda à página Explorador de registos:

Aceda ao Explorador de registos

Os campos de registo do tipo booleano normalmente só aparecem se tiverem um valor de true. Se um campo booleano tiver um valor de false, esse campo é omitido do registo.

A codificação UTF-8 é aplicada aos campos de registo. Os carateres que não são carateres UTF-8 são substituídos por pontos de interrogação.Para balanceadores de carga de aplicações externos regionais, pode exportarmétricas baseadas em registos através de registos de recursos (resource.type="http_external_regional_lb_rule").

O que é registado

As entradas de registo do balanceador de carga de aplicações externo contêm informações úteis para monitorizar e depurar o seu tráfego HTTP(S). Os registos de registo contêm campos obrigatórios, que são os campos predefinidos de todos os registos de registo.

Os registos contêm campos opcionais que adicionam informações adicionais sobre o seu tráfego HTTP(S). Os campos opcionais podem ser omitidos para poupar custos de armazenamento.

Alguns campos de registo estão num formato de vários campos, com mais do que um elemento de dados num determinado campo. Por exemplo, o campo tls está no formato TlsInfo, que contém o protocolo TLS e a cifra TLS num único campo. Estes campos de vários campos estão descritos na tabela de formato de registo seguinte.

Campo Formato do campo Tipo de campo: obrigatório ou opcional Descrição
severity insertID timestamp logName LogEntry Obrigatória Os campos gerais, conforme descrito numa entrada de registo.
httpRequest HttpRequest Obrigatória Um protocolo comum para registar pedidos HTTP.
recurso MonitoredResource Obrigatória O MonitoredResource é o tipo de recurso associado a uma entrada de registo. O MonitoredResourceDescriptor descreve o esquema de um objeto MonitoredResource através da utilização de um nome de tipo e um conjunto de etiquetas. Para mais informações, consulte o artigo Etiquetas de recursos.
jsonPayload objeto (formato Struct) Obrigatória O payload da entrada do registo expresso como um objeto JSON. O objeto JSON contém os seguintes campos: proxyStatus tls backendTargetProjectNumber mtls authzPolicyInfo backendNetworkName orca_load_report
de string Obrigatória O campo proxyStatus contém uma string que especifica o motivo pelo qual o Application Load Balancer externo regional devolveu o HttpRequest.status. O campo não é registado se o valor for uma string vazia. Isto pode acontecer se o proxy ou o back-end não devolverem um código de estado ou se o código de estado devolvido não for 0, 4_xx_ ou 5_xx_. O campo proxyStatus tem duas partes: Erro proxyStatus Opcional: detalhes de proxyStatus
AuthzPolicyInfo Obrigatória O campo authzPolicyInfo armazena informações sobre o resultado da política de autorização. Estas informações só estão disponíveis para equilibradores de carga de aplicações externos regionais que tenham ativado as políticas de autorização. Para mais informações, consulte o que é registado para as políticas de autorização.
TlsInfo Opcional O campo tls contém o campo TlsInfo que especifica os metadados TLS para a ligação entre o cliente e o balanceador de carga. Este campo só está disponível se o cliente estiver a usar a encriptação TLS/SSL. Use o parâmetro --logging-optional-fields para especificar os elementos que têm de ser registados: tls.protocol tls.cipher Não pode definir --logging-optional-fields comotls para especificar todos os elementos.
MtlsInfo Opcional O campo mtls contém o valor MtlsInfo que especifica os metadados mTLS para a ligação entre o cliente e o balanceador de carga. Este campo só está disponível se o balanceador de carga usar o TLS mútuo (mTLS) de front-end.
de string Obrigatória O campo backendNetworkName especifica a rede de VPC do back-end.
OrcaLoadReport Opcional O campo orca_load_report contém alguns ou todos os elementos do relatório de carregamento ORCA devolvido pelo back-end. Este campo só está presente se o back-end devolver um relatório de carga da ORCA e tiver configurado o balanceador de carga para registar o relatório de carga da ORCA. Use o parâmetro --logging-optional-fields para especificar qual dos seguintes elementos do relatório de carregamento do ORCA tem de ser registado: orca_load_report.cpu_utilization orca_load_report.mem_utilization orca_load_report.request_cost orca_load_report.utilization orca_load_report.rps_fractional orca_load_report.eps orca_load_report.named_metrics orca_load_report.application_utilization Também pode definir --logging-optional-fields comoorca_load_report para especificar que todos os elementos têm de ser registados.

Formato do campo TlsInfo

Campo Formato do campo Tipo de campo: obrigatório ou opcional Descrição
protocol de string Opcional Protocolo TLS que os clientes usam para estabelecer uma ligação com o equilibrador de carga. Os valores possíveis são TLSv1,TLSv1.1, TLSv1.2, TLSv1.3, ou QUIC. Este valor é definido como NULL se o cliente não estiver a usar a encriptação TLS/SSL.
cipher de string Opcional Cifra TLS que os clientes usam para estabelecer uma ligação com o balanceador de carga. Este valor é definido como NULL se o cliente não estiver a usar HTTP(S) ou se o cliente não estiver a usar a encriptação TLS/SSL.

Formato do campo MtlsInfo

Campo Formato do campo Tipo de campo: obrigatório ou opcional Descrição
clientCertPresent booleano Opcional true se o cliente tiver fornecido um certificado durante o handshake TLS; caso contrário, false.
clientCertChainVerified booleano Opcional true se a cadeia de certificados de cliente for validada em relação a um TrustStore configurado; caso contrário, false.
clientCertError de string Opcional Strings predefinidas que representam as condições de erro. Para mais informações sobre as strings de erro, consulteModo de validação do cliente.
clientCertSha256Fingerprint de string Opcional Impressão digital SHA-256 codificada em Base64 do certificado do cliente.
clientCertSerialNumber de string Opcional O número de série do certificado de cliente. Se o número de série tiver mais de 50 bytes, a stringclient_cert_serial_number_exceeded_size_limit é adicionada aclient_cert_error e o número de série é definido como uma string vazia.
clientCertValidStartTime de string Opcional Data/hora (formato de string de data RFC 3339) antes da qual o certificado de cliente não é válido. Por exemplo, 2022-07-01T18:05:09+00:00.
clientCertValidEndTime de string Opcional Data/hora (formato de string de data RFC 3339) após a qual o certificado de cliente não é válido. Por exemplo, 2022-07-01T18:05:09+00:00.
clientCertSpiffeId de string Opcional OID SPIFFE do campo de nome alternativo de entidade (SAN). Se o valor não for válido ou exceder 2048 bytes, o ID SPIFFE é definido como uma string vazia. Se o SPIFFE ID tiver mais de 2048 bytes, a stringclient_cert_spiffe_id_exceeded_size_limit é adicionada aclient_cert_error.
clientCertUriSans de string Opcional Lista separada por vírgulas e codificada em Base64 das extensões SAN do tipo URI. As extensões SAN são extraídas do certificado de cliente. O SPIFFE ID não está incluído no campo client_cert_uri_sans. Se o campo client_cert_uri_sans tiver mais de 512 bytes, a string client_cert_uri_sans_exceeded_size_limit é adicionada a client_cert_error e a lista separada por vírgulas é definida como uma string vazia.
clientCertDnsnameSans de string Opcional Lista codificada em Base64 separada por vírgulas das extensões SAN do tipo DNSName. As extensões SAN são extraídas do certificado de cliente. Se o campo client_cert_dnsname_sans tiver mais de 512 bytes, a string client_cert_dnsname_sans_exceeded_size_limit é adicionada a client_cert_error e a lista separada por vírgulas é definida como uma string vazia.
clientCertIssuerDn de string Opcional Campo Issuer completo codificado em Base64 do certificado. Se o campo client_cert_issuer_dn tiver mais de 512 bytes, a string client_cert_issuer_dn_exceeded_size_limit é adicionada a client_cert_error eclient_cert_issuer_dn é definida como uma string vazia.
clientCertSubjectDn de string Opcional Campo Subject completo codificado em Base64 do certificado. Se o campo client_cert_subject_dn tiver mais de 512 bytes, a string client_cert_subject_dn_exceeded_size_limit é adicionada a client_cert_error eclient_cert_subject_dn é definida como uma string vazia.
clientCertLeaf de string Opcional O certificado de folha do cliente para uma ligação mTLS estabelecida em que o certificado passou na validação. A codificação do certificado está em conformidade com a RFC 9440: o certificado DER binário é codificado através de Base64 (sem quebras de linha, espaços ou outros carateres fora do alfabeto Base64) e delimitado com dois pontos de cada lado. Se client_cert_leaf exceder 16 KB sem codificação, a string client_cert_validated_leaf_exceeded_size_limit é adicionada a client_cert_error e client_cert_leaf é definida como uma string vazia.
clientCertChain de string Opcional A lista de certificados delimitada por vírgulas, na ordem TLS padrão, da cadeia de certificados de cliente para uma ligação mTLS estabelecida em que o certificado de cliente passou na validação, não incluindo o certificado principal. A codificação de certificados está em conformidade com a normaRFC 9440. Se o tamanho combinado de client_cert_leaf eclient_cert_chain antes da codificação Base64 exceder 16 KB, a string client_cert_validated_chain_exceeded_size_limit é adicionada a client_cert_error e client_cert_chain é definida como uma string vazia.

Etiquetas de recursos

A tabela seguinte lista as etiquetas de recursos pararesource.type="http_external_regional_lb_rule".

Campo Tipo Descrição
backend_name de string O nome do grupo de instâncias ou do NEG de back-end. No entanto, a etiqueta está vazia para umaligação TLS com falha.
backend_scope de string O âmbito do back-end (um nome de zona ou um nome de região). Pode serUNKNOWN sempre que backend_name for desconhecido.
backend_scope_type de string O âmbito do back-end (REGION/ZONE). Pode ser UNKNOWN sempre que backend_name for desconhecido.
backend_target_name de string O nome do back-end selecionado para processar o pedido, com base na regra de caminho do mapa de URLs ou na regra de trajeto que corresponde ao pedido.
backend_target_type de string O tipo de alvo de back-end. Pode ser BACKEND_SERVICE ouUNKNOWN é devolvido se o back-end não tiver sido atribuído.
backend_type de string O tipo de grupo de back-end. Pode ser INSTANCE_GROUP,NETWORK_ENDPOINT_GROUP ou UNKNOWN é devolvido se o back-end não tiver sido atribuído.
forwarding_rule_name de string O nome do objeto da regra de encaminhamento.
matched_url_path_rule de string A regra de caminho do mapa de URLs ou a regra de trajeto configurada como parte da chave do mapa de URLs. Pode ser UNMATCHED ou UNKNOWN como alternativas. UNMATCHED refere-se a um pedido que não corresponde a nenhuma regra de caminho do URL, pelo que usa a regra de caminho predefinida. UNKNOWN indica um erro interno ou uma ligação TLS com falha.
network_name de string O nome da rede VPC do balanceador de carga.
project_id de string O identificador do Google Cloud projeto associado a este recurso.
region de string A região na qual o balanceador de carga está definido.
target_proxy_name de string O nome do objeto proxy de destino referenciado pela regra de encaminhamento.
url_map_name de string O nome do objeto do mapa de URLs configurado para selecionar um serviço de back-end. Para uma ligação TLS com falha,url_map_name está vazio.

Campo de erro proxyStatus

O campo proxyStatus contém uma string que especifica o motivo pelo qual o balanceador de carga devolveu um erro. Existem duas partes no campo proxyStatus: proxyStatus error e proxyStatus details. Esta secção descreve as strings suportadas no campo proxyStatus error.

O campo proxyStatus erroraplica-se aos seguintes balanceadores de carga:

Filtrar esta tabela:

Erro proxyStatus Descrição Códigos de resposta acompanhantes comuns
destination_unavailable O balanceador de carga considera o back-end indisponível. Por exemplo: As tentativas recentes de comunicação com o back-end falharam ou uma verificação do estado de funcionamento pode ter resultado numa falha. 500, 503
connection_timeout A tentativa do balanceador de carga de abrir uma ligação ao back-end excedeu o tempo limite. 504
connection_terminated A ligação do balanceador de carga ao back-end terminou antes de ser recebida uma resposta completa. Este proxyStatus error é devolvido em qualquer um dos seguintes cenários: A ligação do balanceador de carga ao back-end terminou antes de ser recebida uma resposta completa. A ligação TLS falhou no handshake SSL e o cliente não estabeleceu uma ligação com o balanceador de carga. 0, 502, 503
connection_refused A ligação do balanceador de carga ao back-end é recusada. 502, 503
connection_limit_reached O balanceador de carga está configurado para limitar o número de ligações que tem ao back-end, e esse limite foi excedido. Este proxyStatus error é devolvido durante qualquer um dos seguintes cenários: Se qualquer back-end estiver no modo de manutenção, não é possível encaminhar o tráfego para o back-end. Se o pedido tiver um limite de taxa local. O Envoy está a processar condições de erro, como a falta de memória. 502, 503
destination_not_found O equilibrador de carga não consegue determinar o back-end adequado a usar para este pedido. Por exemplo, o back-end pode não estar configurado. 500, 404
dns_error O equilibrador de carga encontrou um erro de DNS ao tentar encontrar um endereço IP para o nome do anfitrião do back-end. 502, 503
proxy_configuration_error O balanceador de carga encontrou um erro de configuração interno. 500
proxy_internal_error O balanceador de carga encontrou um erro interno. O erro pode dever-se a um reinício agendado do proxy que gere as ligações. 0, 500, 502
proxy_internal_response O balanceador de carga gerou a resposta sem tentar estabelecer ligação ao back-end. Qualquer código de estado, consoante o tipo de problema. Por exemplo, o código de estado 410 significa que o back-end está indisponível devido a pagamentos em atraso.
http_response_timeout O balanceador de carga atingiu um limite de tempo limite do serviço de back-end configurado enquanto aguardava a resposta completa do back-end. 504, 408
http_request_error O balanceador de carga encontrou um erro HTTP 4xx, o que indica problemas com o pedido do cliente. 400, 403, 405, 406, 408, 411, 413, 414, 415, 416, 417 ou 429
http_protocol_error O equilibrador de carga encontrou um erro de protocolo HTTP ao comunicar com o back-end. 502
tls_protocol_error O equilibrador de carga encontrou um erro de TLS durante o handshake de TLS. 0
tls_certificate_error O balanceador de carga encontrou um erro no momento da validação do certificado apresentado pelo servidor ou pelo cliente quando o mTLS está ativado. 0
tls_alert_received O balanceador de carga encontrou um alerta TLS fatal durante o handshake TLS. 0

Campo de detalhes proxyStatus

O campo proxyStatus contém uma string que especifica o motivo pelo qual o balanceador de carga devolveu um erro. Existem duas partes no campo proxyStatus: proxyStatus error e proxyStatus details. O campo proxyStatus details é opcional e é apresentado apenas quando estão disponíveis informações adicionais. Esta secção descreve as strings suportadas no campo proxyStatus details.

O campo proxyStatus detailsaplica-se aos seguintes balanceadores de carga:

Filtrar esta tabela:

proxyStatus details Descrição Códigos de estado de resposta comuns
client_disconnected_before_any_response A ligação ao cliente foi interrompida antes de o balanceador de carga enviar qualquer resposta. 0
backend_connection_closed O back-end fechou inesperadamente a respetiva ligação ao balanceador de carga. Isto pode acontecer se o balanceador de carga estiver a enviar tráfego para outra entidade, como uma aplicação de terceiros com um limite de tempo de TCP inferior ao limite de tempo de 10 minutos (600 segundos) do balanceador de carga. 502
failed_to_connect_to_backend O equilibrador de carga não conseguiu estabelecer ligação ao back-end. Esta falha inclui exceder o limite de tempo durante a fase de ligação. 503
failed_to_pick_backend O equilibrador de carga não conseguiu selecionar um back-end em bom estado para processar o pedido. 502
response_sent_by_backend O pedido HTTP foi encaminhado com êxito para o back-end e o back-end devolveu a resposta. O código de estado HTTP é definido pelo software em execução no back-end.
client_timed_out A ligação entre o balanceador de carga e o cliente excedeu o tempo limite de inatividade. Para mais informações sobre o balanceador de carga de aplicações externo regional, consulte o artigoLimite de tempo limite de keep-alive HTTP do cliente. Para mais informações sobre o balanceador de carga de aplicações interno, consulte o artigoLimite de tempo limite de keep-alive de HTTP do cliente. 0, 408
backend_timeout O back-end excedeu o tempo limite durante a geração de uma resposta. 502
http_protocol_error_from_backend_response A resposta do back-end contém um erro do protocolo HTTP. 501, 502
http_protocol_error_from_request O pedido do cliente contém um erro do protocolo HTTP. 400, 503
http_version_not_supported A versão do protocolo HTTP não é suportada. Apenas são suportados os protocolos HTTP 1.1 e 2.0. 400
handled_by_identity_aware_proxy Esta resposta foi gerada peloIdentity-Aware Proxy (IAP) durante a validação da identidade do cliente antes de permitir o acesso. 200, 302, 400, 401, 403, 500, 502
invalid_request_headers Os cabeçalhos de pedidos HTTP recebidos de um cliente contêm, pelo menos, um caráter que não é permitido ao abrigo de uma especificação HTTP aplicável. Por exemplo, os nomes dos campos de cabeçalho que incluem aspas duplas (") ou quaisquer carateres fora do intervalo ASCII padrão (ou seja, qualquer byte >= 0x80) são inválidos. Para mais informações, consulte: O "5.5. Secção "Valores dos campos" da RFC 9110 O "5. Secção "Sintaxe dos campos" do RFC 9112 O "8.2.1. Secção "Validade dos campos" do RFC 9113 400, 404
ip_detection_failed Não foi possível detetar o endereço IP original. Qualquer código de estado possível, consoante a natureza da falha. O valor tem de estar entre 400 e 599.
request_body_too_large O corpo do pedido HTTP excedeu o comprimento máximo suportado pelo balanceador de carga. 413, 507
request_header_timeout O cabeçalho do pedido excedeu o tempo limite porque o equilibrador de carga não recebeu o pedido completo no prazo de 5 segundos. 408, 504
denied_by_security_policy O balanceador de carga recusou este pedido devido a uma política de segurança do Google Cloud Armor. 403
throttled_by_security_policy O pedido foi bloqueado por uma regra de limitação do Cloud Armor. 429
client_cert_chain_invalid_eku O certificado do cliente ou o respetivo emissor não temutilização de chave alargada que inclua clientAuth. Para mais informações, consulte o artigoErros registados para ligações fechadas. 0
client_cert_chain_max_name_constraints_exceeded Um certificado intermédio fornecido para validação tinha mais de 10 restrições de nomes. Para mais informações, consulte o artigo Erros registados para ligações fechadas. 0
client_cert_invalid_rsa_key_size Um certificado de folha ou intermédio de cliente tinha um tamanho da chave RSA inválido. Para mais informações, consulte o artigo Erros registados para ligações fechadas. 0
client_cert_not_provided O cliente não forneceu o certificado pedido durante a negociação. Para mais informações, consulte o artigo Erros registados para ligações fechadas. 0
client_cert_pki_too_large A infraestrutura de chaves públicas a usar para validação tem mais de três certificados intermédios que partilham o mesmo Subject e Subject Public Key Info. Para mais informações, consulte o artigo Erros registados para ligações fechadas. 0
client_cert_unsupported_elliptic_curve_key Um certificado intermédio ou de cliente está a usar uma curva elíptica não suportada. Para mais informações, consulte o artigo Erros registados para ligações fechadas. 0
client_cert_unsupported_key_algorithm Um certificado de cliente ou intermédio está a usar um algoritmo não RSA ou não ECDSA. Para mais informações, consulte o artigo Erros registados para ligações fechadas. 0
client_cert_validation_failed O certificado de cliente não passa na validação com o TrustConfig. Para mais informações, consulte o artigo Erros registados para ligações fechadas. 0
client_cert_validation_not_performed Configurou o TLS mútuo sem configurar um TrustConfig. Para mais informações, consulte o artigo Erros registados para ligações fechadas. 0
client_cert_validation_search_limit_exceeded O limite de profundidade ou iteração foi atingido ao tentar validar a cadeia de certificados. Para mais informações, consulte o artigo Erros registados para ligações fechadas. 0
client_cert_validation_timed_out O limite de tempo foi excedido (200 ms) durante a validação da cadeia de certificados. Para mais informações, consulte o artigo Erros registados para ligações fechadas. 0
tls_version_not_supported A versão do protocolo TLS é reconhecida, mas não é suportada. O erro resulta numa ligação TLS fechada. 0
unknown_psk_identity Os servidores enviam este erro quando é necessário o estabelecimento de chaves PSK, mas o cliente não fornece uma identidade PSK aceitável. O erro resulta numa ligação TLS fechada. 0
no_application_protocol Enviado pelos servidores quando uma extensão "application_layer_protocol_negotiation" anuncia apenas protocolos que o servidor não suporta. Consulte a extensão de negociação do protocolo da camada de aplicação TLS. O erro resulta numa ligação TLS fechada. 0
no_certificate Não foi encontrado nenhum certificado. O erro resulta numa ligação TLS fechada. 0
bad_certificate Um certificado é inválido ou contém assinaturas que não foi possível validar. O erro resulta numa ligação TLS fechada. 0
unsupported_certificate Um certificado é de um tipo não suportado. O erro resulta numa ligação TLS fechada. 0
certificate_revoked Um certificado foi revogado pelo respetivo signatário. O erro resulta numa ligação TLS fechada. 0
certificate_expired Um certificado expirou ou não é válido. O erro resulta numa ligação TLS fechada. 0
certificate_unknown Surgiram alguns problemas não especificados durante o processamento do certificado, o que o torna inaceitável. O erro resulta numa ligação TLS fechada. 0
unknown_ca Foi recebida uma cadeia de certificados válida ou parcial, mas não é possível aceitar o certificado porque não é possível localizar o certificado da CA ou este não corresponde a uma âncora de confiança conhecida. O erro resulta numa ligação TLS fechada. 0
unexpected_message Uma mensagem imprópria, como uma mensagem de handshake incorreta ou dados de aplicação prematuros foram recebidos. O erro resulta numa ligação TLS fechada. 0
bad_record_mac É recebido um registo que não pode ser desprotegido. O erro resulta numa ligação TLS fechada. 0
record_overflow Foi recebido um registo TLSCiphertext com um comprimento superior a 214+256 bytes ou um registo foi descifrado para um registo TLSPlaintext com mais de 214 bytes (ou algum outro limite negociado). O erro resulta numa ligação TLS fechada. 0
handshake_failure Não é possível negociar um conjunto aceitável de parâmetros de segurança com base nas opções disponíveis. O erro resulta numa ligação TLS fechada. 0
illegal_parameter Um campo na sincronização estava incorreto ou era inconsistente com outros campos. O erro resulta numa ligação TLS fechada. 0
access_denied Foi recebido um certificado ou uma PSK válida, mas quando o controlo de acesso foi aplicado, o cliente não prosseguiu com a negociação. O erro resulta numa ligação TLS fechada. 0
decode_error Não foi possível descodificar uma mensagem porque alguns campos estão fora do intervalo especificado ou o comprimento da mensagem está incorreto. O erro resulta numa ligação TLS fechada. 0
decrypt_error Falha de uma operação criptográfica de handshake (não ao nível do registo), incluindo: Não conseguir validar corretamente uma assinatura ou uma mensagem concluída ou um binder PSK. O erro resulta numa ligação TLS fechada. 0
insufficient_security Uma negociação falhou especificamente porque o servidor requer parâmetros mais seguros do que os suportados pelo cliente. O erro resulta numa ligação TLS fechada. 0
inappropriate_fallback Enviado por um servidor em resposta a uma tentativa de repetição de ligação inválida de um cliente. O erro resulta numa ligação TLS fechada. 0
user_cancelled O utilizador cancelou a sincronização por algum motivo não relacionado com uma falha de protocolo. O erro resulta numa ligação TLS fechada. 0
missing_extension Enviadas por pontos finais que recebem uma mensagem de handshake que não contém uma extensão obrigatória para envio para a versão TLS oferecida ou outros parâmetros negociados. O erro resulta numa ligação TLS fechada. 0
unsupported_extension Enviado por pontos finais que recebem qualquer mensagem de handshake que contenha uma extensão conhecida por ser proibida para inclusão na determinada mensagem de handshake ou que inclua extensões em ServerHello ou Certificate que não foi oferecida primeiro no ClientHello ou CertificateRequest correspondente. O erro resulta numa ligação TLS fechada. 0
unrecognized_name Enviado pelos servidores quando não existe nenhum servidor que possa ser identificado pelo nome fornecido pelo cliente através da extensão "server_name". Consulte as definições da extensão TLS. 0
bad_certificate_status_response Enviado pelos clientes quando é fornecida uma resposta OCSP inválida ou inaceitável pelo servidor através da extensão "status_request". Consulte as definições da extensão TLS. O erro resulta numa ligação TLS fechada. 0
load_balancer_configured_resource_limits_reached O balanceador de carga atingiu os limites de recursos configurados, como o número máximo de ligações. 0

Entradas do registo de ligação TLS falhada

Quando a ligação TLS entre o cliente e o equilibrador de carga falha antes de ser selecionado qualquer back-end, as entradas de registo registam os erros. Pode configurar os serviços de back-end com diferentes taxas de amostragem de registos. Quando uma ligação TLS falha, a taxa de amostragem do registo de ligações TLS com falhas é a taxa de amostragem mais elevada para qualquer serviço de back-end. Por exemplo, se tiver configurado dois serviços de back-end com a taxa de amostragem de registo como 0.3 e 0.5, a taxa de amostragem de registo de ligação TLS com falha é 0.5.

Pode identificar ligações TLS com falhas verificando os seguintes detalhes de entrada do registo:

O exemplo seguinte mostra uma entrada de registo TLS com falha com o campoproxyStatus error:

json_payload: { @type: "type.googleapis.com/google.cloud.loadbalancing.type.LoadBalancerLogEntry" proxyStatus: "error="tls_alert_received"; details="server_to_client: handshake_failure"" log_name: "projects/529254013417/logs/mockservice.googleapis.com%20name" } http_request { latency { nanos: 12412000 } protocol: "HTTP/1.0" remote_ip: "127.0.0.2" } resource { type: "mock_internal_http_lb_rule" labels { backend_name: "" backend_scope: "" backend_scope_type: "UNKNOWN" backend_target_name: "" backend_target_type: "UNKNOWN" backend_type: "UNKNOWN" forwarding_rule_name: "l7-ilb-https-forwarding-rule-dev" matched_url_path_rule: "UNKNOWN" network_name: "lb-network" region: "REGION" target_proxy_name: "l7-ilb-https-proxy-dev" url_map_name: "" } } timestamp: "2023-08-15T16:49:30.850785Z"

Registos de pedidos da política de autorização

O objeto authz_info no payload JSON da entrada do registo do equilibrador de carga contém informações sobre as políticas de autorização. Pode configurar métricas baseadas em registos para o tráfego permitido ou recusado por estas políticas. Consulte maisdetalhes do registo das políticas de autorização.

Campo Tipo Descrição
authz_info.policies[] objeto A lista de políticas que correspondem ao pedido.
authz_info.policies[].name de string O nome da política de autorização que corresponde ao pedido.O nome está vazio pelos seguintes motivos: Nenhuma política de ALLOW corresponde ao pedido e o pedido é recusado. Nenhuma política DENY corresponde ao pedido e o pedido é permitido.
authz_info.policies[].result enum O resultado pode ser ALLOWED ou DENIED.
authz_info.policies[].details de string Os detalhes incluem o seguinte: allowed_as_no_deny_policies_matched_request denied_as_no_allow_policies_matched_request denied_by_authz_extension denied_by_cloud_iap
authz_info.overall_result enum O resultado pode ser ALLOWED ou DENIED.

Interagir com os registos

Pode interagir com os registos do Application Load Balancer externo através da API Cloud Logging. A API Logging oferece formas de filtrar interativamente registos que têm campos específicos definidos. Exporta os registos correspondentes para o Cloud Logging, o Cloud Storage, o BigQuery ou o Pub/Sub. Para mais informações acerca da API Logging, consulte avista geral da API Logging.

Monitorização

O balanceador de carga exporta dados de monitorização para oMonitoring.

Pode usar as métricas de monitorização para:

Além dos painéis de controlo predefinidos no Monitoring, pode criar painéis de controlo personalizados, configurar alertas e consultar as métricas através da API Cloud Monitoring.

Definir políticas de alerta

Pode criar políticas de alerta para monitorizar os valores das métricas e receber uma notificação quando essas métricas violarem uma condição.

  1. Na Google Cloud consola, aceda à páginaAlertas:
    Aceder a Alertas
    Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cujo subtítulo éMonitorização.
  2. Se não tiver criado os seus canais de notificação e quiser receber notificações, clique emEditar canais de notificação e adicione os seus canais de notificação. Regresse à páginaAlertas depois de adicionar os seus canais.
  3. Na página Alertas, selecione Criar política.
  4. Para selecionar a métrica, expanda o menu Selecione uma métrica e, em seguida, faça o seguinte:
    1. Para limitar o menu a entradas relevantes, introduza Regional External Application Load Balancer Rule na barra de filtros. Se não houver resultados depois de filtrar o menu, desative o botão Mostrar apenas recursos e métricas ativos.
    2. Para o Tipo de recurso, selecione Regra do balanceador de carga de aplicações externo regional.
    3. Selecione uma Categoria de métricas e uma Métrica e, de seguida, selecione Aplicar.
  5. Clicar em Seguinte.
  6. As definições na página Configurar acionador de alerta determinam quando o alerta é acionado. Selecione um tipo de condição e, se necessário, especifique um limite. Para mais informações, consulteCrie políticas de alertas de limite métrico.
  7. Clicar em Seguinte.
  8. Opcional: para adicionar notificações à sua política de alertas, clique emCanais de notificação. Na caixa de diálogo, selecione um ou mais canais de notificação no menu e, de seguida, clique em OK.
  9. Opcional: atualize a duração do encerramento automático de incidentes. Este campo determina quando o Monitoring fecha incidentes na ausência de dados de métricas.
  10. Opcional: clique em Documentação e, de seguida, adicione as informações que quer incluir numa mensagem de notificação.
  11. Clique em Nome do alerta e introduza um nome para a política de alertas.
  12. Clique em Criar política.

Para mais informações, consulte o artigo Vista geral dos alertas.

Definir painéis de controlo personalizados do Cloud Monitoring

Pode criar painéis de controlo personalizados do Cloud Monitoring para as métricas do balanceador de carga:

  1. Na Google Cloud consola, aceda à página Monitorização.
    Aceder a Monitorização
  2. Selecione Painéis de controlo > Criar painel de controlo.
  3. Clique em Adicionar gráfico e, de seguida, atribua um título ao gráfico.
  4. Para identificar a série cronológica a apresentar, escolha um tipo de recurso e um tipo de métrica:
    1. Na secção Recurso e métrica, clique no gráfico e, de seguida, na secção Selecionar uma métrica, selecione uma das opções disponíveis:
    2. Para um Application Load Balancer externo regional, selecione o tipo de recurso Regra do Application Load Balancer externo regional.
    3. Clique em Aplicar.
  5. Para especificar filtros de monitorização, clique em Filtros > Adicionar filtro.
  6. Clique em Guardar.

Frequência e retenção dos relatórios de métricas

As métricas dos equilibradores de carga de aplicações externos são exportadas para o Cloud Monitoring em lotes de granularidade de 1 minuto. Os dados de monitorização são retidos durante seis (6) semanas.

O painel de controlo apresenta a análise de dados em intervalos predefinidos de 1H (uma hora), 6H (seis horas), 1D (um dia), 1W (uma semana) e 6W (seis semanas). Pode pedir manualmente a análise em qualquer intervalo de 6 semanas a 1 minuto.

Métricas de monitorização

Pode monitorizar as seguintes métricas para equilibradores de carga de aplicações externos.

As seguintes métricas para balanceadores de carga de aplicações externos regionais sãocomunicadas no Cloud Monitoring. Estas métricas têm o prefixo loadbalancing.googleapis.com/.

Filtrar esta tabela:

Métrica Nome Descrição
Taxa configurada no back-end (Pré-visualização) network.googleapis.com/loadbalancer/backend/configured_rate A taxa máxima em pedidos por segundo configurada por grupo de back-end. Este é o resultado do dimensionamento da capacidade alvo pelo (dimensionador de capacidade), se especificado.
Utilização configurada no back-end (pré-visualização) network.googleapis.com/loadbalancer/backend/configured_utilization A capacidade máxima de utilização da CPU como uma fração, configurada por grupo de back-end. Este é o resultado da escalabilidade da capacidade alvo pelo escalador de capacidade, se especificado.
Taxa de erros de back-end (Pré-visualização) network.googleapis.com/loadbalancer/backend/error_rate Os erros apresentados por cada grupo de back-end por segundo.
Backend fullness (Pré-visualização) network.googleapis.com/loadbalancer/backend/fullness A capacidade atual de cada grupo de back-end em percentagem, com base nomodo de balanceamento do balanceador de carga.
Latências de back-end loadbalancing.googleapis.com/https/external/regional/backend_latencies Uma distribuição da latência do back-end. A latência do back-end é o tempo, em milissegundos, entre o último byte do pedido enviado para o back-end e o último byte da resposta recebida pelo proxy. Inclui o tempo necessário para o back-end processar o pedido e o tempo necessário para a resposta ser enviada de volta para o proxy.
Métricas personalizadas de balanceamento de carga de back-end (pré-visualização) network.googleapis.com/loadbalancer/backend/lb_custom_metric A utilização atual por cada grupo de back-end, com base nas métricas personalizadas definidas.
Taxa de back-end (Pré-visualização) network.googleapis.com/loadbalancer/backend/rate Os pedidos recebidos por cada grupo de back-end por segundo.
Utilização do back-end (pré-visualização) network.googleapis.com/loadbalancer/backend/utilization A utilização agregada da CPU das VMs no grupo como uma fração.
Contagem de pedidos loadbalancing.googleapis.com/https/external/regional/request_count O número de pedidos publicados pelo Application Load Balancer externo regional.
Contagem de bytes de pedidos loadbalancing.googleapis.com/https/external/regional/request_bytes O número de bytes enviados como pedidos de clientes para o Application Load Balancer externo regional.
Contagem de bytes de resposta loadbalancing.googleapis.com/https/external/regional/response_bytes O número de bytes enviados como respostas do Application Load Balancer externo regional para o cliente.
Latências totais loadbalancing.googleapis.com/https/external/regional/total_latencies Uma distribuição da latência total. A latência total é o tempo em milissegundos entre o primeiro byte do pedido recebido pelo proxy e o último byte da resposta enviada pelo proxy. Inclui: o tempo que o proxy demora a processar o pedido, o tempo que o pedido demora a ser enviado do proxy para o back-end, o tempo que o back-end demora a processar o pedido, o tempo que a resposta demora a ser enviada de volta para o proxy e o tempo que o proxy demora a processar a resposta e a enviá-la para o cliente. Não inclui o RTT entre o cliente e o proxy. Além disso, as pausas entre pedidos na mesma ligação que usam Connection: keep-alive não afetam a medição. Normalmente, esta medição é reduzida ao percentil 95 nas vistas do Cloud Monitoring.

Filtrar dimensões para métricas

Pode aplicar filtros para métricas de equilibradores de carga de aplicações externos.

As métricas são agregadas para cada Application Load Balancer externo regional. Pode filtrar as métricas agregadas através das seguintes dimensões pararesource.type="http_external_regional_lb_rule".

Filtrar esta tabela:

Propriedade Descrição
backend_name O nome do grupo de instâncias ou do NEG de back-end.
backend_scope O âmbito do back-end (um nome de zona ou um nome de região). Pode serUNKNOWN sempre que backend_name for desconhecido.
backend_scope_type O âmbito do back-end (REGION/ZONE). Pode ser UNKNOWN sempre que backend_name for desconhecido.
backend_target_name O nome do back-end selecionado para processar o pedido, com base na regra de caminho do mapa de URLs ou na regra de trajeto que corresponde ao pedido.
backend_target_type O tipo de destino de back-end. Pode ser BACKEND_SERVICE ouUNKNOWN é devolvido se o back-end não tiver sido atribuído.
backend_type O tipo de grupo de back-end. Pode ser INSTANCE_GROUP,NETWORK_ENDPOINT_GROUP ou UNKNOWN é devolvido se o back-end não tiver sido atribuído.
forwarding_rule_name O nome do objeto da regra de encaminhamento.
matched_url_path_rule A regra de caminho do mapa de URLs ou a regra de trajeto configurada como parte da chave do mapa de URLs. Pode ser UNMATCHED ou UNKNOWN como alternativas. UNMATCHED refere-se a um pedido que não corresponde a nenhuma regra do caminho do URL, pelo que usa a regra do caminho predefinida. UNKNOWN indica um erro interno.
network_name O nome da rede VPC do balanceador de carga.
project_id O identificador do Google Cloud projeto associado a este recurso.
region A região na qual o balanceador de carga está definido.
target_proxy_name O nome do objeto proxy de destino referenciado pela regra de encaminhamento.
url_map_name O nome do objeto do mapa de URLs configurado para selecionar um serviço de back-end.

O que se segue?

Exceto em caso de indicação contrária, o conteúdo desta página é licenciado de acordo com a Licença de atribuição 4.0 do Creative Commons, e as amostras de código são licenciadas de acordo com a Licença Apache 2.0. Para mais detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou afiliadas.

Última atualização 2026-01-14 UTC.