Network Load Balancer-Verwaltung

Sie können das Proxyprotokollfeature auf Network Load Balancern mit TCP-basierten Listenern verwenden, um Quell- und Ziel-IP-Adressen und -Ports über Schichten von Network Address Translation-(NAT-) oder TCP-Proxys an ihre Backend-Server zu senden. Mit dem Proxyprotokoll können Network Load Balancer Ihre Client-IP-Informationen an Backend-Anwendungen senden, selbst wenn das Feature Beibehalten des Quell-/Zielheaders nicht verfügbar oder deaktiviert ist. Verwenden Sie ein Proxyprotokoll, um Netzwerkanforderungen wie Anwendungssicherheit (IP ACLs) und Complianceprotokollierung zu unterstützen.

Stellen Sie sicher, dass die Backend-Anwendungen den Proxyprotokoll-Header v2 erwarten und parsen können, bevor Sie das Proxyprotokoll auf dem Network Load Balancer aktivieren. Weitere Informationen zu Proxyprotokollversion 2 erhalten Sie auf der folgenden Website und in der Dokumentation zum Proxyprotokoll: https://www.haproxy.org/.

Das folgende Diagramm zeigt, wie das Proxyprotokoll funktioniert, um Datenverkehr zwischen dem Client, dem Network Load Balancer und seinem Backend-Server zu senden.

Proxyprotokoll-Header und Typlängenwerte (TLVs) werden vom Network Load Balancer in einem neuen TCP-Paket gesendet, unmittelbar nachdem die endgültige Bestätigung (ACK) vom Client gesendet wurde. Dies ist Teil des Drei-Wege-TCP-Handshakes. Der Network Load Balancer fügt nur die Proxyprotokoll-Header ein. Es werden keine vorhandenen Daten überschrieben oder verworfen. Der Network Load Balancer markiert auch das PSH-Flag im TCP-Paket. Die serverseitige Anwendung kann die Proxyprotokoll-Header-Informationen sofort verarbeiten. Wenn das endgültige ACK kein Bare ACK ist und Daten enthält, sendet der Network Load Balancer das Proxyprotokollpaket, bevor die Daten gesendet werden.

Sie können das Proxyprotokoll in Ihrem Network Load Balancer mit den folgenden Methoden aktivieren:

• Oracle Cloud Infrastructure-Konsole: Aktivieren Sie das Proxyprotokoll im Abschnitt Listener konfigurieren des Dialogfelds Network Load Balancer erstellen, wenn Sie einen Network Load Balancer erstellen, oder im Dialogfeld Listener bearbeiten eines vorhandenen Network Load Balancers.
• CLI: Nehmen Sie den Parameter is-ppv2-enabled mit dem Wert true auf, wenn Sie die Befehle oci nlb network-load-balancer create oder oci nlb listener update ausführen. Beispiel:

  oci nlb network-load-balancer create ... --is-ppv2-enabled true

  or

  oci nlb listener update ... --is-ppv2-enabled true

• API: Verwenden Sie die Option isPpv2Enabled, wenn Sie den Network Load Balancer erstellen oder einen Listener aktualisieren.

Instanzen virtueller Maschinen, die sich in Oracle Cloud VMware Solution (OCVS) befinden, können nicht mit VM-Instanzen außerhalb von OCVS kommunizieren, wenn sich sowohl OCVS als auch der Network Load Balancer im selben VCN befinden. Hier sind die Workarounds zu diesem Problem:

• Verwenden Sie einen Load Balancer vor Ihren Nicht-OCVS-VMs. Informationen dazu, wie sich Load Balancer und Network Load Balancer unterscheiden, finden Sie unter Load Balancer und Network Load Balancer vergleichen.
• Verschieben Sie den Network Load Balancer und die Nicht-OCVS-Virtual-Machine-Instanzen in ein anderes VCN, wobei ein OCI Dynamic Routing Gateway (DRG) das OCVS-VCN und das andere VCN verbindet.
• Konfigurieren Sie den Network Load Balancer in einem aktiven verzeichnisspezifischen Subnetz im selben VCN.