問題タブ [internal-load-balancer]

インターネットと VPC 内の他のサービスの両方からのリクエストを処理するためのサービスを GCE にセットアップしました。

これを管理するために、2 つのロード バランサーを並行してセットアップしました。1 つ目はグローバル HTTPS ロード バランサーで、2 つ目は内部 HTTPS ロード バランサーです。両方のロード バランサーには、サービスをホストしている同じインスタンス グループにトラフィックを送信するように構成されたバックエンド サービスがあります。

グローバル ロード バランサーについては、ドメイン用に自己管理型の証明書を作成し、これらの証明書を定期的に更新するために小さな VM をセットアップしました。

内部ロード バランサーの証明書を構成する方法に行き詰まっています。私たちの調査によると、最良のオプションは、自己署名証明書を作成し、LB と通信する各 VM にそれらをインストール/信頼することに帰着するようです。ただし、これの管理 (または同様に独自のローカル CA の管理) にはコストがかかるようです。GCP は、内部デプロイ用の証明書を管理するのに役立ちますか? 自己署名証明書ルートに行き詰まっていますか? または、検討すべき別のアプローチはありますか?

ありがとうございます。

高可用性サービスを実現したい。ただし、クラスターの外部から単一の ip または dns 名を使用してクラスター サービスに要求を行う方法がわかりません。

--endpoint-mode dnsrr を試しました。しかし、これは外部リクエスト バランシングのためではないと思います。リバース プロキシまたは外部ロード バランサーを使用する必要がありますか? ソフトで安く作れますか？助けてほしい。ありがとうございました。

内部 IP アドレスを使用して (同じネットワーク内の) GKE クラスタを相互に通信させる方法はありますか?

GKE 内部ロードバランサは、同じネットワークと同じリージョンからのトラフィックのみを処理できることを知っています。そして、この実装は非常に奇妙だと思います。

ポッド IP がルーティング可能であることは理解していますが、静的ではなく、いつでも変更できます。また、必要なサブネットのみを許可できる外部ロード バランサーの構成オプションがあることは知っていloadBalancerSourceRangesますが、パブリック IP を使用せずに内部を使用してすべての通信を維持したい場合はどうすればよいでしょうか?

私がしようとしていることを達成する方法はありますか? ファイアウォール ルールなどの設定が好きですか? または VPC ネットワークなどの作成中の「グローバル ルーティング モード」ですか?

Load-balancer で負荷分散のトラブルシューティングを行うのは初めてで、1 つの問題のトラブルシューティングについてサポートが必要です。プールのメンバーは 11 人ですが、リクエストは一度に 2 ～ 3 人にしか送信されません。これらのサーバーが負荷のために使い果たされると、モニターがダウンし、リクエストが他の 2 ～ 3 メンバーに送信され始めます。永続性がオンになっておらず、他のメンバーも健康であることを確認しました。問題を解決するために次に何を確認すればよいか教えてください。

以下は、プールのロード バランサーの設定です。

プールと仮想構成からの無害化された出力

ltm プール pool_name 出力の一覧表示

ltm rule CIP 出力