Network Load Balancer erstellen

Wenn Sie den Sichtbarkeitstyp "Privat" für Ihren Network Load Balancer auswählen, können Sie die Beibehaltung des Quell-/Zielheaders aktivieren. Mit dieser Option können Sie den Network Load Balancer (IP-Adressen und Ports) Ihrer privaten IP-Adresse so konfigurieren, dass der ursprüngliche Quell- und Ziel-Header (IP-Adressen und Ports) jedes eingehenden Pakets bis zum Backend-Server beibehalten wird. Weitere Informationen finden Sie unter Beibehalten von Network Load Balancer-Quelle/-Ziel aktivieren.

"Quell-/Zielheader (IP, Port) beibehalten" wirkt sich auf alle Backend-Sets im Network Load Balancing aus. Aktualisieren Sie die Routentabelle, um dieses Feature zu verwenden. Weitere Informationen finden Sie unter VCN-Routentabellen.

Wenn das aktuelle Compartment mindestens ein virtuelles Cloud-Netzwerk (VCNs) enthält, das Sie mit dem Network Load Balancer verwenden möchten, fahren Sie mit dem nächsten Schritt fort.

• Virtuelles Cloud-Netzwerk in <compartment>: Wählen Sie ein VCN in der Liste aus.

  Wenn das aktuelle Compartment keine virtuellen Cloud-Netzwerke enthält, ist die Liste deaktiviert. Das System bietet an, ein VCN für Sie zu erstellen. Geben Sie einen Namen für das neue VCN in das Feld Name des virtuellen Cloud-Netzwerks ein. Wenn Sie keinen Namen für das neue VCN angeben, generiert das System einen Namen für Sie.

• Subnetz in <compartment>: Wählen Sie ein Subnetz in der Liste aus. Für einen öffentlichen Load Balancer müssen Sie ein öffentliches Subnetz auswählen.
• Netzwerksicherheitsgruppen zur Kontrolle des Traffics verwenden: Wählen Sie diese Option aus, um den Network Load Balancer einer Netzwerksicherheitsgruppe (NSG) hinzuzufügen. Führen Sie hierzu folgende Schritte aus:
  1. Netzwerksicherheitsgruppen in <compartment>: Wählen Sie eine NSG in der Liste aus.
  2. + Weitere Netzwerksicherheitsgruppe: Wählen Sie diese Option aus, um den Network Load Balancer einer anderen NSG hinzuzufügen.

  Siehe Netzwerksicherheitsgruppen.

  Hinweis
  
  Sie können die NSGs ändern, zu denen der Network Load Balancer gehört, nachdem Sie ihn erstellt haben. Wählen Sie auf der Seite Details neben der Liste der verknüpften Netzwerksicherheitsgruppen die Option Bearbeiten aus.

Wenden Sie Sicherheitsattribute an, um den Zugriff auf Ihre Ressourcen über den Zero Trust Packet Routing-Service zu kontrollieren. Sie können bis zu drei Sicherheitsattribute für den Network Load Balancer konfigurieren. Weitere Informationen finden Sie unter Zero Trust Packet Routing.

Wählen Sie Sicherheitsattribut hinzufügen aus, um die Sicherheitsattributeinstellungen anzuzeigen. Geben Sie für jedes Sicherheitsattribut die folgenden Informationen ein:

• Namespace: Wählen Sie einen Sicherheitsattribut-Namespace in der Liste aus. Diese Liste enthält die bereits konfigurierten Sicherheitsattribut-Namespaces. Weitere Informationen finden Sie unter Sicherheitsattribut-Namespace erstellen.
• Schlüssel: Wählen Sie einen Schlüssel in der Liste aus.
• Wert: Wählen Sie einen Wert für den entsprechenden Schlüssel aus der Liste aus.
• Modus: Sie können Sicherheitsattribute in den folgenden Modi auf einen Network Load Balancer anwenden:
  • Audit: Evaluiert die Sicherheitsattribut-Policy und erstellt ein Auditereignis für die Kommunikation, die von der Policy abweicht, Traffic jedoch nicht blockiert.
  • Durchsetzen: Erzwingt Sicherheitsattribut-Policys und blockiert alle unzulässigen Ingress- oder Egress-Traffic.

Wählen Sie erneut Sicherheitsattribut hinzufügen aus, um maximal drei weitere Attribute hinzuzufügen.

Wenn Sie über Berechtigungen haben, eine Ressource zu erstellen, sind Sie auch berechtigt, Freiform-Tags auf diese Ressource anzuwenden. Um ein definiertes Tag anzuwenden, benötigen Sie die Berechtigungen zur Verwendung des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags anwenden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.

Wählen Sie Weiter aus.

Geben Sie den Timeout für jeden Verkehrstyp in Sekunden ein. Wenn Sie keinen Timeoutwert eingeben, werden die Standardwerte verwendet. Die Anzahl der Zeitüberschreitungswerte, die Sie eingeben müssen, hängt vom Listener-Traffictyp ab, den Sie zuvor ausgewählt haben:

• UDP: Ein Timeout. Der Standardwert beträgt 120 Sekunden.
• TCP: Ein Timeout. Der Standardwert beträgt 360 Sekunden.
• UDP/TCP: Zwei Timeouts, eine für jedes Protokoll (UDP und TCP). Der Standardwert beträgt 120 und 360 Sekunden.
• L3IP: Drei Timeouts für jedes Protokoll (L3IP, UDP und TCP). Der Standardwert ist 120, 120 und 360 Sekunden.

Wählen Sie Weiter aus.

Wenn Sie TCP, UDP/TCP, TCP/UDP/ICMP oder L3 IP als Traffictyp des Listeners auswählen, können Sie Proxyprotokollversion 2 aktivieren. Weitere Informationen zur Verwendung des Proxyprotokolls mit Network Load Balancern finden Sie unter Proxyprotokoll

In der Liste Backends werden die Backend-Server angezeigt, die konfiguriert sind und zur Verwendung mit dem Network Load Balancer verfügbar sind, den Sie erstellen. In der Liste werden Details für jeden Backend-Server angezeigt, einschließlich Name (für Server, die auf Compute-Instanzen basieren), IP-Adresse, Availability-Domain, Compartment, Port und Gewichtung. Sie können der Liste einen Backend-Server hinzufügen, indem Sie Backends hinzufügen auswählen und wie im späteren Abschnitt beschrieben konfigurieren.

Die Anzahl der Backends, die Sie einem Backend-Set zuweisen können, hängt vom jeweiligen Typ ab. Einem Standard-Backend-Set kann eine unbegrenzte Anzahl von Backend-Servern zugewiesen sein. Einem nicht präemptiven Backend-Set können nur maximal zwei Backend-Server zugewiesen sein. Bei nicht präemptiven Backend-Sets können Sie einen der beiden Backend-Server als Backup für den anderen angeben.

Nach dem Hinzufügen von Instanzen zum Backend-Set werden diese in der Tabelle Backend-Server auswählen angezeigt. Sie können folgende Aufgaben durchführen:

• Aktualisieren Sie den Serverport, an den der Network Load Balancer Traffic weiterleiten muss. Der standardmäßige Port ist 80.
• Aktualisieren Sie die Server-Gewichtung, die den Anteil des eingehenden Traffics angibt, den das Backend verarbeitet. Je höher die Zahl, desto mehr Traffic wird empfangen.
• Entfernen Sie jede Instanz, indem Sie sie aktivieren und Entfernen auswählen. Sie können auch am Ende eines Instance-Eintrags im Menü Aktion auch die Option Löschen auswählen.

Quell-IP beibehalten: Wählen Sie diese Option aus, um den ursprünglichen Quell- und Zielheader (IP-Adressen und Ports) jedes eingehenden Pakets bis zum Backend-Server beizubehält. Sie können keine IP-adressbasierten Backend-Server hinzufügen, wenn die Funktion "Quell-IP beibehalten" aktiviert ist. Weitere Informationen finden Sie unter Beibehalten der Quellen von Backend-Sets eines Network Load Balancers aktivieren.

Geben Sie die Testparameter an, die den Zustand der Backend-Server bestätigen. Weitere Informationen zu diesem Feature finden Sie unter Health Check Policys.

Geben Sie folgende Informationen ein:

• Protokoll: Geben Sie das für Health-Check-Abfragen zu verwendende Protokoll an:
  • HTTP
  • HTTPS
  • TCP
  • UDP
  • DNS: Weitere Informationen zum Konfigurieren Ihrer Health Check Policys für das DNS-Protokoll finden Sie unter DNS-Health Checking.
  Wichtig
  
  Konfigurieren Sie das Health-Check-Protokoll so, dass es mit der Anwendung oder dem Service übereinstimmt. Weitere Informationen finden Sie unter Health Check Policys.

  Für TCP und UDP müssen die bereitgestellten Daten base64-codiert sein. Verwenden Sie ein beliebiges base64-Codierungstool, um den Klartext in based64-codierte Zeichenfolgen zu konvertieren. Die codierten Zeichenfolgen können Sie dann für die Health Check-Konfiguration verwenden. Beispielsweise ist die Klartext-Zeichenfolge:

  this is the request data for my NLB backend health check

  codiert als:

  dGhpcyBpcyB0aGUgcmVxdWVzdCBkYXRhIGZvciBteSBOTEIgYmFja2VuZCBoZWFsdGggY2hlY2s

  Die codierte Zeichenfolge unterliegt der Health Check-Konfiguration.

  Die unterstützte maximale Länge der Zeichenfolge vor der base64-Codierung beträgt 1024 Byte. Wenn die Zeichenfolge den Grenzwert überschreitet, verläuft der Konfigurationsaufruf nicht erfolgreich und gibt den HTTP-Statuscode 400 aus.

• Transportprotokoll: (Nur DNS) Geben Sie das Transportprotokoll an, das zum Senden von Traffic verwendet wird, wenn DNS als Protokoll ausgewählt wird:
  • UDP
  • TCP
• Port: Geben Sie den Backend-Serverport an, für den der Health Check ausgeführt werden soll. Sie können den Wert "0" eingeben, damit der Health Check den Trafficport des Backend-Servers verwendet.
• Intervall in MS: Geben Sie an, wie oft der Health Check ausgeführt werden soll (in Millisekunden). Der Standardwert ist 10000 (10 Sekunden).
• Timeout in ms: Geben Sie die maximale Wartezeit in Millisekunden für eine Antwort auf einen Health Check an. Ein Health Check ist nur erfolgreich, wenn eine Antwort innerhalb dieses Timeoutzeitraums zurückgegeben wird. Der Standardwert ist 3000 (3 Sekunden).
• Anzahl Wiederholungen: Geben Sie die Anzahl der Versuche an, bevor ein Backend-Server als "Fehlerhaft" betrachtet wird. Diese Anzahl gilt auch, wenn der Status "Fehlerfrei" eines Servers wiederhergestellt wird. Der Standardwert ist 3.
• Anforderungsdaten: (Für UDP erforderlich und nur für TCP optional) Geben Sie die Anforderungsnachricht ein, die in der Anforderung enthalten ist. Diese Anforderungsdaten sind in der einzelnen Anforderung an den Backend-Server enthalten. Die Anforderungsdaten werden mit den Antwortdaten verglichen
• Antwortdaten: (Für UDP erforderlich und nur für TCP optional) Geben Sie die Antwortnachricht ein, mit der die Health-Check-Funktion eine einzelne Anforderung an den Backend-Server sendet. Bei einer Übereinstimmung besteht der Health Check.
• Statuscode: (Nur HTTP und HTTPS) Geben Sie den Statuscode an, der von einem fehlerfreien Backend-Server zurückgegeben werden muss.
• URL-Pfad (URI): (Nur HTTP und HTTPS) Geben Sie einen URL-Endpunkt an, für den der Health Check ausgeführt werden soll.
• Antwortbody (regulärer Ausdruck): Geben Sie einen regulären Ausdruck zum Parsen des Antwortbody vom Backend-Server an.
• Abfragename: (Nur DNS) Geben Sie einen DNS-Domainnamen für die Abfrage an.
• Abfrageklasse: (nur DNS) Wählen Sie eine der folgenden Optionen aus:
  • IN: Internet (Standard)
  • CH: Chaos
• Abfragetyp: (Nur DNS) Wählen Sie eine der folgenden Optionen aus:
  • A: Gibt einen Hostnamen an, der der der IPv4-Adresse entspricht. (Standard)
  • AAAA: Gibt einen Hostnamen mit der entsprechenden IPv6-Adresse an.
  • TXT: Gibt ein Textfeld an.
• Zulässige Antwortcodes: Wählen Sie mindestens eine der folgenden Optionen aus:
  • RCODE:0 NOERROR-DNS-Abfrage erfolgreich abgeschlossen.
  • RCODE:2 SERVFAIL Der Server konnte die DNS-Anforderung nicht abschließen.
  • RCODE:3 NXDOMAIN-Domainname ist nicht vorhanden.
  • RCODE:5 REFUSED Der Server weigerte sich, die Abfrage zu beantworten.
• Nicht erfolgreich geöffnet: (Optional) Wählen Sie diese Option aus, damit der Network Load Balancer weiterhin Traffic zu den Backend-Servern in diesem Backend-Set mit der aktuellen Konfiguration verschiebt, selbst wenn der Status aller Backend-Server fehlerhaft wird.
• Sofort-Failover aktivieren: (Erforderlich für DNS, optional für alle anderen Protokolle) Wählen Sie diese Option, um vorhandenen Traffic an einen fehlerfreien Backend-Server umzuleiten, wenn der aktuelle Backend-Server fehlerhaft wird. Diese Funktion funktioniert nicht, wenn Fehler beim Öffnen aktiviert ist und alle Backend-Server fehlerhaft werden.
• TCP-Reset senden: (nur L3 IP-Listener) Wählen Sie diese Option aus, um die TCP-Verbindung automatisch auf einen ausgefallenen Backend-Server zurückzusetzen.

Wählen Sie diese Option aus, um die Regeln der Subnetz-Sicherheitsliste manuell so zu konfigurieren, dass der beabsichtigte Traffic zulässig ist, oder das System Sicherheitslistenregeln für Sie erstellen kann. Weitere Informationen zu diesen Regeln finden Sie unter Elemente einer Sicherheitsregel.

Wählen Sie eine der folgenden Optionen aus:

• Sicherheitslistenregeln manuell konfigurieren, nachdem der Network Load Balancer erstellt wurde: Wenn Sie diese Option auswählen, müssen Sie Sicherheitslistenregeln nach der Erstellung des Network Load Balancers konfigurieren.
• Sicherheitslistenregeln automatisch hinzufügen: Wenn Sie diese Option auswählen, erstellt der Network Load Balancer-Service Sicherheitslistenregeln für Sie.

  Das System zeigt eine Tabelle für Egress-Regeln und eine Tabelle für Ingress-Regeln an. In jeder Tabelle können Sie die Sicherheitsliste auswählen, die für das jeweilige Subnetz gilt.

  Sie können entscheiden, ob die vorgeschlagenen Regeln auf jedes betroffene Subnetz angewendet werden sollen.

Wählen Sie eine der folgenden Load Balancing Policys aus:

• 5-Tupel-Hash: Leitet eingehenden Traffic basierend auf dem 5-Tupel-Hash (Source IP and Port, Ziel-IP und Zielport, Protokoll) weiter.
  Hinweis
  
  Wenn das IP-Listener-Protokoll L3 ausgewählt ist, unterstützt der Load Balancer keine 5-Tupel-Hash-Policys.
• 3-Tupel-Hash: Leitet eingehenden Traffic basierend auf dem 3-Tupel-Hash (Source IP, Destination IP, Protocol) weiter.
• 2-Tupel-Hash: Leitet eingehenden Traffic basierend auf dem 2-Tupel-Hash (Quell-IP-Ziel, Ziel-IP) weiter.

Wählen Sie Weiter aus.