フロントエンド構成
ロード・バランサのコンテキストでは、「フロントエンド」という用語は、クライアントがリクエストを表示および送信できるコンポーネントを指します。 クライアント・リクエストのエントリ・ポイントは、ロード・バランサの外向きの浮動IPアドレスです。 受信トラフィックは、特定のプロトコルおよびポート用に構成されたリスナーによってチェックされます。 様々なタイプのルールを定義して、受信リクエストを分類し、それに応じて異なるバックエンド・サーバーのセットにルーティングできます。
ロード・バランサのタイプ
ロード・バランシング・サービスを使用すると、VCN内でパブリックまたはプライベートのロード・バランサを作成できます。 ロード・バランサはペアでデプロイされます: 浮動IPアドレスを共有する1つのアクティブ・インスタンスと1つのスタンバイ・インスタンス。 パブリック・ロード・バランサには、Private Cloud Applianceネットワーク環境の外部からアクセス可能なパブリックIPアドレスがあります。 プライベート・ロード・バランサにはホストしているサブネットのIPアドレスがあり、それはVCN内でのみ表示されます。
1つのIPアドレスに複数のリスナーを構成して、トランスポート層4およびレイヤー7 (TCPおよびHTTP)トラフィックをロード・バランシングできます。 パブリック・ロード・バランサとプライベート・ロード・バランサの両方がリバース・プロキシとして機能し、VCNからアクセス可能なバックエンド・サーバーにデータ・トラフィックをルーティングできます。
すべてのロード・バランサには、受信トラフィックをコンピュート・インスタンスにルーティングするためのバックエンド・セットがあります。 バックエンド・セットは、次を含む論理エンティティです:
- バックエンド・サーバーのリスト
- ロード・バランシング・ポリシー
- ヘルス・チェック・ポリシー
- (オプション) SSL処理
- (オプション)セッション永続性の構成
バックエンド・サーバー - コンピュート・インスタンス - バックエンド・セットに関連付けられたものは、関連するネットワーク・セキュリティ・グループ(NSG)、セキュリティ・リストおよびルート表が目的のトラフィック・フローを許可しているかぎり、どこにでも存在できます。
プライベート・ロード・バランサ
ロード・バランサをアプライアンス外部のネットワークから分離してセキュリティ状態を簡素化するには、プライベート・ロード・バランサを作成します。 ロード・バランシング・サービスは、受信トラフィック用のエントリ・ポイントとして機能するプライベートIPアドレスをこれに割り当てます。
プライベート・ロード・バランサを作成する場合、サービスに必要なサブネットは、プライマリとスタンバイの両方のロード・バランサです。 ロード・バランサには、ホスト・サブネットを含むVCN内からのみアクセスできますが、セキュリティ・ルールによってさらに制限することもできます。
割り当てられた浮動プライベートIPアドレスは、ホスト・サブネットに対してローカルです。 プライマリ・ロード・バランサとスタンバイ・ロード・バランサにはそれぞれ、ホスト・サブネットから追加のプライベートIPアドレスが必要です。
パブリック・ロード・バランサ
アプライアンスの外部にあるネットワークのロケーションからのトラフィックを受け入れるには、パブリック・ロード・バランサを作成します。 パブリック・ロード・バランサは、インターネット・ゲートウェイが構成されているVCNのパブリック・サブネットにデプロイする必要があります。 サービスは、受信トラフィックに対するエントリ・ポイントとして機能するパブリックIPアドレスをロード・バランサに割り当てます。 パブリックIPアドレスは、任意のDNSプロバイダを介してわかりやすいDNS名に関連付けることができます。
Private Cloud Applianceは、定義上単一の可用性ドメインであり、これは、プライマリ・ロード・バランサとスタンバイ・ロード・バランサを、Oracle Cloud Infrastructureで実行されるため、別々の可用性ドメインにデプロイできないことを意味します。 したがって、プライマリ・ロード・バランサとスタンバイ・ロード・バランサの両方が同じサブネットにデプロイされ、それぞれにそのホスト・サブネットからのプライベートIPアドレスが割り当てられます。 さらに、ロード・バランサは1つの浮動パブリックIPアドレスを使用し、必要に応じてスタンバイとプライマリの間で再割当てできます。
ロード・バランス・ポリシー
ロード・バランサの作成後は、トラフィック分散を制御するポリシーをバックエンド・サーバーに適用できます。 ロード・バランシング・サービスがサポートする主なポリシー・タイプは次のとおりです: ラウンドロビン、最小接続、およびIPハッシュ。
- ラウンド・ロビン
-
ラウンド・ロビン・ポリシーは、デフォルトのロード・バランサ・ポリシーです。 このポリシーによって、受信トラフィックは、バックエンド・セット・リストの各サーバーに順番に分散されます。 各サーバーが接続を受信すると、ロード・バランサはリストを同じ順序で繰り返します。
ラウンド・ロビンは、単純なロード・バランシング・アルゴリズムです。 最もよく機能するのは、すべてのバックエンド・サーバーの容量が類似しており、各リクエストで要求される処理の負荷が大きく異なる場合です。
- 最少接続
-
最少接続ポリシーでは、スティッキーではない受信リクエスト・トラフィックは、アクティブ接続が最も少ないバックエンド・サーバーにルーティングされます。 このポリシーは、バックエンド・サーバーでアクティブな接続を平等に分散するのに役立ちます。 ラウンド・ロビン・ポリシーと同様に、各バックエンド・サーバーに重みを割り当て、トラフィック分散をさらに制御できます。
このポリシーは、LDAPやSQLなどの長いセッションを使用するプロトコルで最適に機能します。 HTTPのユースケースで一般的に見られるような短いセッションではお薦めしません。 HTTP接続に対して「最小接続」ポリシーを選択した場合、ロード・バランサはかわりにラウンド・ロビンを内部的に適用し、サーバーの重み付けを動的に調整することもできます。
ノート:
TCPのユースケースでは、接続をアクティブにできますが、現在のトラフィックはありません。 このような接続は、適切なロード・メトリックとして機能しません。
- IPハッシュ
-
IPハッシュ・ポリシーでは、受信リクエストのソースIPアドレスをハッシュ・キーとして使用して、スティッキーではないトラフィックを同じバックエンド・サーバーにルーティングします。 ロード・バランサは、そのサーバーが使用可能であるかぎり、同じクライアントから同じバックエンド・サーバーにリクエストをルーティングします。 このポリシーは、初期接続を確立する際のサーバーの重み設定に従います。
ノート:
「バックアップ」とマークされたバックエンド・サーバーを、IPハッシュ・ポリシーを使用するバックエンド・セットに追加することはできません。
注意:
プロキシまたはNATルーターを介してロード・バランサに接続する複数のクライアントは、同じIPアドレスを持つように見えます。 IPハッシュ・ポリシーをバックエンド・セットに適用すると、ロード・バランサは、受信IPアドレスに基づいてトラフィックをルーティングし、それらのプロキシ設定されたクライアント・リクエストを同じバックエンド・サーバーに送信します。 プロキシ設定されたクライアント・プールが大きい場合、リクエストでバックエンド・サーバーが一杯になる可能性があります。
処理の負荷または容量がバックエンド・サーバー間で異なる場合、これらの各ポリシー・タイプをバックエンド・サーバーの重み付けに従って調整できます。 重み付けは、各サーバーに送信されるリクエストの割合に影響します。 たとえば、重みが3のサーバーは、重みが1のサーバーとして接続数の3倍を受け取ります 各サーバーのトラフィック処理容量など、選択した基準に基づいて重みを割り当てます。 重みの値は1から100である必要があります。
ロード・バランサ・ポリシーのディシジョンは、TCPロード・バランサ、cookieベースのセッション永続HTTPリクエストに異なる方法で適用されます - スティッキー・リクエスト、およびスティッキーでないHTTPリクエストとも呼ばれます。
- TCPロード・バランサは、初期受信リクエストをバックエンド・サーバーに転送するためのポリシーと重みの基準を考慮します。 この接続上の後続のパケットはすべて同じエンドポイントに送信されます。
- cookieベースのセッション永続性を処理するように構成されたHTTPロード・バランサは、cookieのセッション情報で指定されたバックエンド・サーバーにリクエストを転送します。
- スティッキーでないHTTPリクエストの場合、ロード・バランサはすべての受信リクエストにポリシーおよび重み基準を適用し、適切なバックエンド・サーバーを決定します。 同じクライアントからの複数のリクエストを異なるサーバーに転送できます。
リスナー
リスナーは、ロード・バランサ設定のイングレス側の論理エンティティです。 これは、ロード・バランサのIPアドレスで受信トラフィックを検出するキー・コンポーネントです。 特定のプロトコルおよびポートを使用してクライアントからのリクエストをリスニングします。 その後、リクエストは、ロード・バランサ構成で定義されたルールに基づいて適切なバックエンド・サーバーにルーティングされます。 TCP、HTTPおよびHTTPSトラフィックを処理するには、トラフィック・タイプごとに1つ以上のリスナーを構成する必要があります。
ノート:
大量のトラフィックに対応するために、Oracleでは、ロード・バランサ・サブネットに「ステートレス」セキュリティ・ルールを使用することを強くお薦めします。 詳細は、「仮想ネットワークの概要」章の「仮想ファイアウォール」を参照してください。
リスナーごとに1つのSSL証明書バンドルを設定できます。 2つのリスナー(ポート443および8443にそれぞれ1つずつ)を構成し、SSL証明書バンドルを各リスナーに関連付けることができます。 ロード・バランサのSSL証明書の詳細は、「ロード・バランサのSSL証明書」を参照してください。
暗号スイート
暗号スイートは、Transport Layer Security (TLS)を使用したネットワーク接続の保護に役立つ一連のアルゴリズムまたは暗号です。 ロード・バランサの暗号スイートを構成して、HTTPSトラフィックのセキュリティ、互換性および速度を決定します。 すべての暗号は、少なくとも1つのバージョンのTLS (1.0, 1.1, 1.2)に関連付けられています。
使用または作成する暗号スイートには、環境でサポートされているTLSバージョンに一致する個々の暗号を含める必要があります。 たとえば、環境でTLSバージョン1.2がサポートされている場合、TLS 1.2で動作する暗号を含む暗号スイートを使用できます。 事前定義済の暗号スイートを使用することも、独自の暗号スイートを作成することもできます。 ロード・バランサに関連付けられた暗号スイートは、リスナー構成の一部として追加または変更します。
事前定義済暗号スイート
ロード・バランシング・サービスでは、これらの事前定義済暗号スイートがサポートされています。
oci-default-ssl-cipher-suite-v1
この暗号スイートには、TLSバージョン1.2でのみサポートされ、より厳しいコンプライアンス要件を満たす、制限された暗号セットが含まれています。
-
ECDHE-RSA-AES128-GCM-SHA256
-
ECDHE-RSA-AES128-SHA256
-
ECDHE-RSA-AES256-GCM-SHA384
-
ECDHE-RSA-AES256-SHA384
-
DHE-RSA-AES256-GCM-SHA384
-
DHE-RSA-AES256-SHA256
-
DHE-RSA-AES128-GCM-SHA256
-
DHE-RSA-AES128-SHA256
oci-modern-ssl-cipher-suite-v1
この暗号スイートは、より広範な暗号セットを提供しますが、TLSバージョン1.2のみに制限されます。
-
ECDHE-ECDSA-AES128-GCM-SHA256
-
ECDHE-RSA-AES128-GCM-SHA256
-
ECDHE-ECDSA-AES128-SHA256
-
ECDHE-RSA-AES128-SHA256
-
ECDHE-ECDSA-AES256-GCM-SHA384
-
ECDHE-RSA-AES256-GCM-SHA384
-
ECDHE-ECDSA-AES256-SHA384
-
ECDHE-RSA-AES256-SHA384
-
AES128-GCM-SHA256
-
AES128-SHA256
-
AES256-GCM-SHA384
-
AES256-SHA256
-
DHE-RSA-AES256-GCM-SHA384
-
DHE-RSA-AES256-SHA256
-
DHE-RSA-AES128-GCM-SHA256
-
DHE-RSA-AES128-SHA256
oci-compatible-ssl-cipher-suite-v1
この暗号スイートでは、最も広範な暗号セットがサポートされています。 これには、TLSバージョン1.1および1.2でサポートされている暗号が含まれています。
-
ECDHE-ECDSA-AES128-GCM-SHA256
-
ECDHE-RSA-AES128-GCM-SHA256
-
ECDHE-ECDSA-AES128-SHA256
-
ECDHE-RSA-AES128-SHA256
-
ECDHE-ECDSA-AES128-SHA
-
ECDHE-RSA-AES128-SHA
-
ECDHE-ECDSA-AES256-GCM-SHA384
-
ECDHE-RSA-AES256-GCM-SHA384
-
ECDHE-ECDSA-AES256-SHA384
-
ECDHE-RSA-AES256-SHA384
-
ECDHE-RSA-AES256-SHA
-
ECDHE-ECDSA-AES256-SHA
-
AES128-GCM-SHA256
-
AES128-SHA256
-
AES128-SHA
-
AES256-GCM-SHA384
-
AES256-SHA256
-
AES256-SHA
-
DHE-RSA-AES256-GCM-SHA384
-
DHE-RSA-AES256-SHA256
-
DHE-RSA-AES128-GCM-SHA256
-
DHE-RSA-AES128-SHA256
oci-wider-compatible-ssl-cipher-suite-v1
この暗号スイートには、サポートされるすべての暗号が含まれています。
TLSバージョン1.2:
-
ECDHE-ECDSA-AES128-GCM-SHA256
-
ECDHE-RSA-AES128-GCM-SHA256
-
ECDHE-ECDSA-AES128-SHA256
-
ECDHE-RSA-AES128-SHA256
-
ECDHE-ECDSA-AES256-GCM-SHA384
-
ECDHE-RSA-AES256-GCM-SHA384
-
ECDHE-ECDSA-AES256-SHA384
-
ECDHE-RSA-AES256-SHA384
-
AES128-SHA256
-
AES256-GCM-SHA384
-
AES256-SHA256
-
DHE-RSA-AES256-GCM-SHA384
-
DHE-RSA-AES256-SHA256
-
DHE-RSA-AES128-GCM-SHA256
-
DHE-RSA-AES128-SHA256
-
DH-DSS-AES256-GCM-SHA384
-
DHE-DSS-AES256-GCM-SHA384
-
DH-RSA-AES256-GCM-SHA384
-
DHE-DSS-AES256-SHA256
-
DH-RSA-AES256-SHA256
-
DH-DSS-AES256-SHA256
-
ECDH-RSA-AES256-GCM-SHA384
-
ECDH-ECDSA-AES256-GCM-SHA384
-
ECDH-RSA-AES256-SHA384
-
ECDH-ECDSA-AES256-SHA384
-
DH-DSS-AES128-GCM-SHA256
-
DHE-DSS-AES128-GCM-SHA256
-
DH-RSA-AES128-GCM-SHA256
-
DHE-DSS-AES128-SHA256
-
DH-RSA-AES128-SHA256
-
DH-DSS-AES128-SHA256
-
ECDH-RSA-AES128-GCM-SHA256
-
ECDH-ECDSA-AES128-GCM-SHA256
-
ECDH-RSA-AES128-SHA256
-
ECDH-ECDSA-AES128-SHA256
TLSバージョン1.1:
-
ECDHE-ECDSA-AES128-SHA
-
ECDHE-ECDSA-AES256-SHA
-
ECDHE-RSA-AES128-SHA
-
ECDHE-RSA-AES256-SHA
-
AES128-GCM-SHA256
-
AES128-SHA
-
AES256-SHA
-
DES-CBC3-SHA
-
DHE-RSA-AES256-SHA
-
DHE-RSA-AES128-SHA
-
DHE-RSA-CAMELLIA256-SHA
-
DHE-RSA-CAMELLIA128-SHA
-
DHE-RSA-SEED-SHA
-
DHE-RSA-AES256-SHA
-
DHE-DSS-AES256-SHA
-
DH-RSA-AES256-SHA
-
DH-DSS-AES256-SHA
-
DHE-RSA-CAMELLIA256-SHA
-
DHE-DSS-CAMELLIA256-SHA
-
DH-RSA-CAMELLIA256-SHA
-
DH-DSS-CAMELLIA256-SHA
-
ECDH-RSA-AES256-SHA
-
ECDH-ECDSA-AES256-SHA
-
CAMELLIA256-SHA
-
PSK-AES256-CBC-SHA
-
DHE-RSA-AES128-SHA
-
DHE-DSS-AES128-SHA
-
DH-RSA-AES128-SHA
-
DH-DSS-AES128-SHA
-
DHE-RSA-CAMELLIA128-SHA
-
DHE-DSS-CAMELLIA128-SHA
-
DH-RSA-CAMELLIA128-SHA
-
DH-DSS-CAMELLIA128-SHA
-
ECDH-RSA-AES128-SHA
-
ECDH-ECDSA-AES128-SHA
-
CAMELLIA128-SHA
-
PSK-AES128-CBC-SHA
-
API SPEC
カスタム暗号スイート
事前定義済の暗号スイートから選択するかわりに、環境の特定の要件を満たす独自の暗号スイートを作成できます。 カスタム暗号スイートを作成するには、構成で使用されるTLSバージョンに関連付けられた個々の暗号を追加します。 カスタム暗号スイートには、1つ以上の暗号が含まれている必要があります。 環境が効果的にサポートするTLSバージョンの暗号のみを含めます。
ノート:
-
指定されたSSLプロトコルと暗号スイート内の構成済暗号との間の互換性を確保してください。そうしないと、SSLハンドシェイクが失敗します。
-
暗号スイートの構成済暗号と構成済証明書との互換性を確保します。 次に例を示します: RSAベースの暗号にはRSA証明書が必要ですが、ECDSAベースの暗号にはECDSA証明書が必要です。
サポートされている暗号
ロード・バランシング・サービスはこれらの暗号をサポートしています。
TLSバージョン1.2暗号
証明書 | 暗号スイート | キーの交換 | 暗号化 | ビット | 暗号スイート名(IANA) |
---|---|---|---|---|---|
ECDHE-ECDSA-AES128-GCM-SHA256 |
[0xc02b] |
ECDH |
AESGCM |
128 |
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
ECDHE-RSA-AES128-GCM-SHA256 |
[0xc02f] |
ECDH |
AESGCM |
128 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
ECDHE-ECDSA-AES128-SHA256 |
[0xc023] |
ECDH |
AES |
128 |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
ECDHE-RSA-AES128-SHA256 |
[0xc027] |
ECDH |
AES |
128 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
ECDHE-ECDSA-AES256-GCM-SHA384 |
[0xc02c] |
ECDH |
AESGCM |
256 |
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
ECDHE-RSA-AES256-GCM-SHA384 |
[0xc030] |
ECDH |
AESGCM |
256 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
ECDHE-ECDSA-AES256-SHA384 |
[0xc024] |
ECDH |
AES |
256 |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
ECDHE-RSA-AES256-SHA384 |
[0xc028] |
ECDH |
AES |
256 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
AES128-GCM-SHA256 |
[0x9c] |
RSA |
AESGCM |
128 |
TLS_RSA_WITH_AES_128_GCM_SHA256 |
AES128-SHA256 |
[0x3c] |
RSA |
AES |
128 |
TLS_RSA_WITH_AES_128_CBC_SHA256 |
AES256-GCM-SHA384 |
[0x9d] |
RSA |
AESGCM |
256 |
TLS_RSA_WITH_AES_256_GCM_SHA384 |
AES256-SHA256 |
[0x3d] |
RSA |
AES |
256 |
TLS_RSA_WITH_AES_256_CBC_SHA256 |
DHE-RSA-AES256-GCM-SHA384 |
[0x9f] |
DH |
AESGCM |
256 |
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
DHE-RSA-AES256-SHA256 |
[0x6b] |
DH |
AES |
256 |
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 |
DHE-RSA-AES128-GCM-SHA256 |
[0x9e] |
DH |
AESGCM |
128 |
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
DHE-RSA-AES128-SHA256 |
[0x67] |
DH |
AES |
128 |
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 |
DH-DSS-AES256-GCM-SHA384 |
[0xa5] |
DH/DSS |
AESGCM |
256 |
TLS_DH_DSS_WITH_AES_256_GCM_SHA384 |
DHE-DSS-AES256-GCM-SHA384 |
[0xa3] |
DH |
AESGCM |
256 |
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384 |
DH-RSA-AES256-GCM-SHA384 |
[0xa1] |
DH/RSA |
AESGCM |
256 |
TLS_DH_RSA_WITH_AES_256_GCM_SHA384 |
DHE-DSS-AES256-SHA256 |
[0x6a] |
DH |
AES |
256 |
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
DH-RSA-AES256-SHA256 |
[0x69] |
DH/RSA |
AES |
256 |
TLS_DH_RSA_WITH_AES_256_CBC_SHA256 |
DH-DSS-AES256-SHA256 |
[0x68] |
DH/DSS |
AES |
256 |
TLS_DH_DSS_WITH_AES_256_CBC_SHA256 |
ECDH-RSA-AES256-GCM-SHA384 |
[0xc032] |
ECDH/RSA |
AESGCM |
256 |
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384 |
ECDH-ECDSA-AES256-GCM-SHA384 |
[0xc02e] |
ECDH/ECDSA |
AESGCM |
256 |
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384 |
ECDH-RSA-AES256-SHA384 |
[0xc02a] |
ECDH/RSA |
AES |
256 |
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384 |
ECDH-ECDSA-AES256-SHA384 |
[0xc026] |
ECDH/ECDSA |
AES |
256 |
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384 |
DH-DSS-AES128-GCM-SHA256 |
[0xa4] |
DH/DSS |
AESGCM |
128 |
TLS_DH_DSS_WITH_AES_128_GCM_SHA256 |
DHE-DSS-AES128-GCM-SHA256 |
[0xa2] |
DH |
AESGCM |
128 |
TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 |
DH-RSA-AES128-GCM-SHA256 |
[0xa0] |
DH/RSA |
AESGCM |
128 |
TLS_DH_RSA_WITH_AES_128_GCM_SHA256 |
DHE-DSS-AES128-SHA256 |
[0x40] |
DH |
AES |
128 |
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
DH-RSA-AES128-SHA256 |
[0x3f] |
DH/RSA |
AES |
128 |
TLS_DH_RSA_WITH_AES_128_CBC_SHA256 |
DH-DSS-AES128-SHA256 |
[0x3e] |
DH/DSS |
AES |
128 |
TLS_DH_DSS_WITH_AES_128_CBC_SHA256 |
ECDH-RSA-AES128-GCM-SHA256 |
[0xc031] |
ECDH/RSA |
AESGCM |
128 |
TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 |
ECDH-ECDSA-AES128-GCM-SHA256 |
[0xc02d] |
ECDH/ECDSA |
AESGCM |
128 |
TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 |
ECDH-RSA-AES128-SHA256 |
[0xc029] |
ECDH/RSA |
AES |
128 |
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 |
ECDH-ECDSA-AES128-SHA256 |
[0xc025] |
ECDH/ECDSA |
AES |
128 |
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 |
TLSバージョン1.2でサポートされているTLSバージョン1.0/1.1暗号
証明書 | 暗号スイート | キーの交換 | 暗号化 | ビット | 暗号スイート名(IANA) |
---|---|---|---|---|---|
ECDHE-ECDSA-AES128-SHA |
[0xc009] |
ECDH |
AES |
128 |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
ECDHE-RSA-AES128-SHA |
[0xc013] |
ECDH |
AES |
128 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
ECDHE-RSA-AES256-SHA |
[0xc014] |
ECDH |
AES |
256 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
ECDHE-ECDSA-AES256-SHA |
[0xc00a] |
ECDH |
AES |
256 |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
AES128-SHA |
[0x2f] |
RSA |
AES |
128 |
TLS_RSA_WITH_AES_128_CBC_SHA |
AES256-SHA |
[0x35] |
RSA |
AES |
256 |
TLS_RSA_WITH_AES_256_CBC_SHA |
DHE-RSA-AES128-SHA |
[0x33] |
DH |
AES |
128 |
TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
DHE-RSA-CAMELLIA256-SHA |
[0x88] |
DH |
Camellia |
256 |
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA |
DHE-RSA-CAMELLIA128-SHA |
[0x45] |
DH |
Camellia |
128 |
TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA |
DHE-DSS-CAMELLIA256-SHA |
[0x87] |
DH |
Camellia |
256 |
TLS_DHE_DSS_WITH_CAMELLIA_256_CBC_SHA |
DHE-DSS-CAMELLIA128-SHA |
[0x44] |
DH |
Camellia |
128 |
TLS_DHE_DSS_WITH_CAMELLIA_128_CBC_SHA |
DHE-RSA-SEED-SHA |
[0x9a] |
DH |
SEED |
128 |
TLS_DHE_RSA_WITH_SEED_CBC_SHA |
DHE-DSS-SEED-SHA |
[0x99] |
DH |
SEED |
128 |
TLS_DHE_DSS_WITH_SEED_CBC_SHA |
DH-RSA-SEED-SHA |
[0x98] |
DH/RSA |
SEED |
128 |
TLS_DH_RSA_WITH_SEED_CBC_SHA |
DH-DSS-SEED-SHA |
[0x97] |
DH/DSS |
SEED |
128 |
TLS_DH_DSS_WITH_SEED_CBC_SHA |
DHE-RSA-AES256-SHA |
[0x39] |
DH |
AES |
256 |
TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
DHE-DSS-AES256-SHA |
[0x38] |
DH |
AES |
256 |
TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
DH-RSA-AES256-SHA |
該当なし |
該当なし |
該当なし |
該当なし |
該当なし |
DH-DSS-AES256-SHA |
[0x36] |
DH/DSS |
AES |
256 |
TLS_DH_DSS_WITH_AES_256_CBC_SHA |
DH-RSA-CAMELLIA256-SHA |
[0x86] |
DH/RSA |
Camellia |
256 |
TLS_DH_RSA_WITH_CAMELLIA_256_CBC_SHA |
DH-DSS-CAMELLIA256-SHA |
[0x85] |
DH/DSS |
Camellia |
256 |
TLS_DH_DSS_WITH_CAMELLIA_256_CBC_SHA |
ECDH-RSA-AES256-SHA |
[0xc00f] |
ECDH/RSA |
AES |
256 |
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA |
ECDH-ECDSA-AES256-SHA |
[0xc005] |
ECDH/ECDSA |
AES |
256 |
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA |
CAMELLIA256-SHA |
[0x84] |
RSA |
Camellia |
256 |
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA |
PSK-AES256-CBC-SHA |
[0x8d] |
PSK |
AES |
256 |
TLS_PSK_WITH_AES_256_CBC_SHA |
DHE-DSS-AES128-SHA |
[0x32] |
DH |
AES |
128 |
TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
DH-RSA-AES128-SHA |
[0x31] |
DH/RSA |
AES |
128 |
TLS_DH_RSA_WITH_AES_128_CBC_SHA |
DH-DSS-AES128-SHA |
[0x30] |
DH/DSS |
AES |
128 |
TLS_DH_DSS_WITH_AES_128_CBC_SHA |
DH-RSA-CAMELLIA128-SHA |
[0x43] |
DH/RSA |
Camellia |
128 |
TLS_DH_RSA_WITH_CAMELLIA_128_CBC_SHA |
DH-DSS-CAMELLIA128-SHA |
[0xbb] |
DH/DSS |
Camellia |
128 |
TLS_DH_DSS_WITH_CAMELLIA_128_CBC_SHA256 |
ECDH-RSA-AES128-SHA |
[0xc00e] |
ECDH/RSA |
AES |
128 |
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA |
ECDH-ECDSA-AES128-SHA |
[0xc004] |
ECDH/ECDSA |
AES |
128 |
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA |
SEED-SHA |
[0x96] |
RSA |
SEED |
128 |
TLS_RSA_WITH_SEED_CBC_SHA |
CAMELLIA128-SHA |
該当なし |
該当なし |
該当なし |
該当なし |
該当なし |
PSK-AES128-CBC-SHA |
[0x8c] |
PSK |
AES |
128 |
TLS_PSK_WITH_AES_128_CBC_SHA |
DES-CBC3-SHA |
[0x0701c0] |
RSA |
3DES |
168 |
SSL_CK_DES_192_EDE3_CBC_WITH_SHA |
IDEA-CBC-SHA |
[0x07] |
RSA |
IDEA |
128 |
TLS_RSA_WITH_IDEA_CBC_SHA |
ECDHE-RSA-DES-CBC3-SHA |
[0xc012] |
ECDH |
3DES |
168 |
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA |
ECDHE-ECDSA-DES-CBC3-SHA |
[0xc008] |
ECDH |
3DES |
168 |
TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA |
DHE-RSA-DES-CBC3-SHA |
該当なし |
該当なし |
該当なし |
該当なし |
該当なし |
DHE-DSS-DES-CBC3-SHA |
該当なし |
該当なし |
該当なし |
該当なし |
該当なし |
DH-RSA-DES-CBC3-SHA |
[0x10] |
DH/RSA |
3DES |
168 |
TLS_DH_RSA_WITH_3DES_EDE_CBC_SHA |
DH-DSS-DES-CBC3-SHA |
[0x0d] |
DH/DSS |
3DES |
168 |
TLS_DH_DSS_WITH_3DES_EDE_CBC_SHA |
ECDH-RSA-DES-CBC3-SHA |
[0xc00d] |
ECDH/RSA |
3DES |
168 |
TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA |
ECDH-ECDSA-DES-CBC3-SHA |
[0xc003] |
ECDH/ECDSA |
3DES |
168 |
TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA |
PSK-3DES-EDE-CBC-SHA |
[0x8b] |
PSK |
3DES |
168 |
TLS_PSK_WITH_3DES_EDE_CBC_SHA |
KRB5-IDEA-CBC-SHA |
[0x21] |
KRB5 |
IDEA |
128 |
TLS_KRB5_WITH_IDEA_CBC_SHA |
KRB5-DES-CBC3-SHA |
[0x1f] |
KRB5 |
3DES |
168 |
TLS_KRB5_WITH_3DES_EDE_CBC_SHA |
KRB5-IDEA-CBC-MD5 |
[0x25] |
KRB5 |
IDEA |
128 |
TLS_KRB5_WITH_IDEA_CBC_MD5 |
KRB5-DES-CBC3-MD5 |
[0x23] |
KRB5 |
3DES |
168 |
TLS_KRB5_WITH_3DES_EDE_CBC_MD5 |
ECDHE-RSA-RC4-SHA |
[0xc011] |
ECDH |
RC4 |
128 |
TLS_ECDHE_RSA_WITH_RC4_128_SHA |
ECDHE-ECDSA-RC4-SHA |
[0xc007] |
ECDH |
RC4 |
128 |
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA |
ECDH-RSA-RC4-SHA |
[0xc00c] |
ECDH/RSA |
RC4 |
128 |
TLS_ECDH_RSA_WITH_RC4_128_SHA |
ECDH-ECDSA-RC4-SHA |
[0xc002] |
ECDH/ECDSA |
RC4 |
128 |
TLS_ECDH_ECDSA_WITH_RC4_128_SHA |
RC4-SHA |
[0x05] |
RSA |
RC4 |
128 |
TLS_RSA_WITH_RC4_128_SHA |
RC4-MD5 |
[0x04] |
RSA |
RC4 |
128 |
TLS_RSA_WITH_RC4_128_MD5 |
PSK-RC4-SHA |
[0x8a] |
PSK |
RC4 |
128 |
TLS_PSK_WITH_RC4_128_SHA |
KRB5-RC4-SHA |
[0x20] |
KRB5 |
RC4 |
128 |
TLS_KRB5_WITH_RC4_128_SHA |
KRB5-RC4-MD5 |
[0x24] |
KRB5 |
RC4 |
128 |
TLS_KRB5_WITH_RC4_128_MD5 |
リクエストのルーティング
ロード・バランシング・サービスを使用すると、リクエストの特定のプロパティに基づいて、受信リクエストを異なるバックエンド・サーバーにルーティングできます。 目的は、バックエンド・リソースの使用率を最適化することです。
複数のアプリケーションがバックエンドでホストされている場合、複数の仮想ホスト名をロード・バランサ・リスナーに関連付けることができるため、特定のホスト名に一致する受信HTTPリクエストが適切なバックエンド・サーバーにルーティングされます。
バックエンド・アプリケーションが、個別のURIまたはパスで表される複数のエンドポイントまたはコンテンツ・タイプを使用する場合、それらの各エンドポイントのHTTPリクエストを、パス・ルート・ルールに基づいて異なるバックエンド・サーバーにルーティングできます。 これらのパス・ルート・ルールには、適切なバックエンド宛先を決定するために受信リクエストのURIと照合される文字列が含まれます。
仮想ホスト名とパス・ルート・ルール・セットは、多くの場合、リクエスト・ルーティングに結合されます。 仮想ホスト名はURIの一致よりも優先されることに注意してください。
仮想ホスト名
仮想ホスト名は、ロード・バランサ構成の一部として作成するリスナーに割り当てられます。 これらは、DNSシステムに追加するレコードと連携して動作します。 リスナーに関連付けられたホスト名は、そのリスナーのバックエンド・セットに対応します。 バックエンドでは、トラフィックは特定のアプリケーションをホストするサーバーにルーティングされます。
仮想ホスト名は、HTTP(S)リスナーでのみ機能します。TCPリスナーではサポートされていません。 リスナーに仮想ホスト名が関連付けられていない場合、そのリスナーは割り当てられたポートのデフォルトになります。 ポート上のすべてのリスナーに仮想ホスト名がある場合、そのポート用に構成された最初の仮想ホスト名がデフォルト・リスナーとして機能します。
仮想ホスト名を使用する利点は次のとおりです:
-
IPアドレスの統合。 ネーム・サーバーのDNSエントリに基づく複数のホスト名は、同じロード・バランサIPアドレスを指し示すことができます。
-
単一のロード・バランサ。 アプリケーションごとにロード・バランサをデプロイするかわりに、複数のアプリケーションに1つのロード・バランサを使用できます。
-
単一のロード・バランサ・シェイプ。 単一のロード・バランサの背後に複数のアプリケーションを実行することで、帯域幅の需要総計を管理し、使用率を最適化できます。
-
バックエンド管理の簡素化。 1つのリソースでバックエンド・サーバーのセットを管理すると、ネットワークの構成と管理が簡素化されます。
仮想ホスト名は、「app.example.com」などの「正確な」名またはワイルドカード名として定義できます。 ワイルドカード名には、ホスト名の先頭または末尾にアスタリスク(*)が含まれます。 アスタリスクのワイルドカードのみがサポートされ、正規表現はサポートされていません。 仮想ホスト名を検索する場合、サービスは次の優先順位で最初に一致するバリアントを選択します:
-
ワイルドカードなしの完全一致名。 次に例を示します:
app.example.com
。 -
アスタリスクで始まる最長のワイルドカード名。 次に例を示します:
*.example.com
。ノート:
プレフィクス・ワイルドカード名には、HTTPSサイトのワイルドカード証明書が必要になる場合があります。
-
アスタリスクで終わる最長のワイルドカード名。 次に例を示します:
app.example.*
。ノート:
ワイルドカード名には、HTTPSサイトのマルチドメイン・サブジェクト代替名(SAN)証明書が必要な場合があります。
仮想ホスト名をリスナーに適用するには、まずロード・バランサに関連付けられた1つ以上の仮想ホスト名を作成します。 仮想ホスト名選択優先度は、リスナー構成順序とは関係ありません。 ロード・バランサに関連付けられ、単一のリスナーに適用される仮想ホスト名は最大16個です。
パス・ルート・セット
「パス・ルート」は、ロード・バランサが受信URIと照合して、適切な宛先バックエンド・セットを決定する文字列です。 一部のアプリケーションには、それぞれ一意のURIパスで識別される複数のエンドポイントまたはコンテンツ・タイプがあります。 次に例を示します: /admin/
, /data/
, /video/
または/cgi/
。 パス・ルート・ルールにより、複数のリスナーまたはロード・バランサを必要とせずに、トラフィックを正しいバックエンド・セットにルーティングできます。
「パス・ルート・セット」には、特定のリスナーのリクエスト・ルーティングを定義するすべてのパス・ルート・ルールが含まれます。 各リスナーに指定できるパス・ルート・セットは1つのみです。パス・ルート・セットには最大20のパス・ルート・ルールが含まれます。
「パス・ルート・ルール」は、パス・ルート文字列とパターン一致タイプで構成されます。 文字列にアスタリスクや正規表現を含めることはできません。文字列一致では大文字と小文字が区別されません。 パターン一致タイプは次のとおりです:
- EXACT_MATCH
-
受信URIパスと正確に一致するパス文字列を検索します。
大文字と小文字を区別しない正規表現を適用:
^<path_string>$
- FORCE_LONGEST_PREFIX_MATCH
-
受信URIパスの開始部分が最適に一致したパス文字列を検索します。
大文字と小文字を区別しない正規表現を適用:
<path_string>.*
- PREFIX_MATCH
-
受信URIパスの開始部分と一致するパス文字列を検索します。
大文字と小文字を区別しない正規表現を適用:
^<path_string>.*
- SUFFIX_MATCH
-
受信URIパスの終了部分と一致するパス文字列を検索します。
大文字と小文字を区別しない正規表現を適用:
.*<path_string>$
ルールの優先度
パス・ルート・セット内では、一致タイプによってパス・ルート・ルールの優先度が決定されます。 一致タイプが異なる複数のパス・ルート・ルールを含むセットの場合、次の優先順位が適用されます:
-
EXACT_MATCH
-
FORCE_LONGEST_PREFIX_MATCH
-
PREFIX_MATCHまたはSUFFIX_MATCH
パス・ルート・セット内のルールの順序は、EXACT_MATCHおよびFORCE_LONGEST_PREFIX_MATCHには関係ありません。 ただし、照合がPREFIX_MATCHまたはSUFFIX_MATCHまでカスケードした場合、受信URIパスと一致する最初のプレフィクスまたはプレフィクス・ルールが選択されます。
パス・ルート・ルールをリスナーに適用するには、最初に、ルールを含むパス・ルート・セットを作成します。 パス・ルート・セットは、ロード・バランサ構成の一部です。 ロード・バランサのリスナーを作成または更新するときに、使用するパス・ルート・セットを指定します。