Introducción al equilibrador de carga de red
Obtenga más información sobre cómo los equilibradores de carga de red pueden proporcionar una distribución automática del tráfico de un punto de entrada a varios servidores en un juego de backends.
Modos de Operación
El equilibrador de carga de red es un servicio de equilibrio de carga que funciona en la capa 3 y la capa 4 del modelo de interconexión de sistemas abiertos (OSI). Este servicio ofrece las ventajas de una alta disponibilidad y un alto rendimiento, al tiempo que mantiene una latencia ultrabaja. Tiene tres modos en el equilibrador de carga de red en los que puede operar:
- Modo de traducción completa de direcciones de red (NAT): el equilibrador de carga de red traduce la dirección IP de origen y la dirección IP de destino del paquete antes de enviarlo al backend.
- Modo de conservación de origen: el equilibrador de carga de red realiza una NAT de destino desde el listener del equilibrador de carga de red (VIP) hasta la dirección IP del servidor backend. Sin embargo, conserva la información de puerto/dirección IP de origen original antes de enviarla al servidor backend.
- Modo Transparente (conservación de origen/destino): el equilibrador de carga de red no cambia ninguna información del paquete. Este modo reenvía los paquetes a los servidores backend, que funcionan eficazmente como un "bump-in-the-wire". Este modo requiere que el tráfico se dirija a través de él mediante una entrada de tabla de enrutamiento de VCN.
En la siguiente tabla, se responden las preguntas relacionadas con los modos de funcionamiento del equilibrador de carga de red.
| Modo | Otros Nombres | ¿Dónde está activado? | ¿Utiliza el tráfico del cliente el listener? | ¿Se admite el equilibrador de carga de red público? | ¿Soporte para equilibradores de carga de red privados? |
|---|---|---|---|---|---|
| NAT completa | Ninguna. | Se activa desactivando los modos Conservación de cabecera de origen y Conservación de cabecera de origen/destino. | Sí | Sí | Sí |
| Conservación de cabecera de origen (IP/Puerto) |
|
Se activa mediante la configuración del juego de backends (crear o editar). | Sí | Sí | Sí |
| Conservación de cabeceras de origen y destino (IP/Port) |
|
Se activa en la página Detalles de equilibrador de carga de red. | Número | Número | Sí |
Tipos de equilibradores de carga de red
El servicio Equilibrador de carga de red flexible permite crear un equilibrador de carga de red público o privado en su VCN. Un equilibrador de carga de red público tiene una dirección IP pública accesible desde Internet. Un equilibrador de carga de red privado tiene una dirección IP de la subred de alojamiento, que solo es visible dentro de su VCN. Puede configurar varios listeners para una dirección IP para equilibrar la carga del tráfico de la capa 4 (TCP/UDP/ICMP). Los equilibradores de carga públicos y privados pueden enrutar el tráfico de datos a cualquier servidor backend que esté dentro de la VCN.
Equilibrador de carga de red público
Para aceptar tráfico de Internet, cree un equilibrador de carga de red público. El servicio lo asigna a una dirección IP pública que sirve como punto de entrada para el tráfico entrante. Asocie la dirección IP pública a un nombre de DNS fácil de recordar mediante cualquier proveedor de DNS.
Un equilibrador de carga de red público puede tener un ámbito regional o específico del dominio de disponibilidad. La subred en la que se crea el equilibrador de carga de red determina este ámbito. Un equilibrador de carga de red público creado en una subred regional tiene un ámbito regional. Un equilibrador de carga de red público creado en una subred específica del dominio de disponibilidad tiene un ámbito específico del dominio de disponibilidad. Network Load Balancer garantiza una alta disponibilidad y accesibilidad, incluso cuando uno de los dominios de disponibilidad tiene una interrupción.
No puede especificar una subred privada para el equilibrador de carga público. Para obtener más información, consulte Subredes públicas frente a privadas.
Equilibrador de carga de red privado
Crear un equilibrador de carga de red privado para aislarlo de Internet y simplificar la estrategia de seguridad. El equilibrador de carga de red lo asigna a una dirección IP privada que sirve como punto de entrada para el tráfico entrante. Solo se puede acceder al equilibrador de carga de red desde la VCN que contenga la subred regional del host o que esté más restringida por las reglas de seguridad.
Un equilibrador de carga de red privado puede tener un ámbito regional o específico del dominio de disponibilidad. La subred en la que se crea el equilibrador de carga de red determina este ámbito.
Accesibilidad del equilibrador de carga de red
El equilibrador de carga de red no responde directamente a un paquete de ping TCP/UDP o ICMP de cliente. En su lugar, el equilibrador de carga de red dirige el paquete a un servidor de backend de acuerdo con la política de equilibrio de carga. A continuación, el servidor de backend devuelve una respuesta al cliente.
Solo los equilibradores de carga de red privados soportan el protocolo ICMP. El equilibrador de carga de red también debe tener activada la función de conservación de cabecera de origen/destino (IP, puerto). Si esta función no está activada o si utiliza un equilibrador de carga de red público, puede comprobar la accesibilidad del equilibrador de carga de red mediante los protocolos activados para listener disponibles (TCP/UDP).
Uso de un equilibrador de carga de red privado como destino de ruta de siguiente salto con enrutamiento en tránsito de VCN
Utilice un equilibrador de carga de red privado como destino de ruta IP privada de siguiente salto con enrutamiento en tránsito de VCN. Este método permite que el equilibrador de carga de red funcione como un equilibrador de carga transparente de capa 3 de tope en el cable al que se reenvían los paquetes durante su recorrido hasta su destino final. Las rutas en tránsito hacen referencia a una topología de red en la que la red local utiliza una red virtual en la nube (VCN) conectada para llegar a los recursos o los servicios de Oracle más allá de esa VCN. Conecte la red local a la VCN con FastConnect o la VPN de sitio a sitio y, a continuación, configure el enrutamiento de la VCN para que el tráfico se transfiera por medio de la VCN a su destino más allá de la VCN. Consulte Enrutamiento de tránsito dentro de una VCN de hub para obtener más información.
El equilibrador de carga de red enruta el tráfico de los usuarios a las instancias de firewall alojadas detrás del equilibrador de carga de red en la VCN del hub mediante tablas de rutas de VCN. Tráfico de este usuario que, de no ser así, iría del origen directamente al destino. En este modo, el equilibrador de carga de red no modifica las características del paquete de cliente y conserva la información de cabecera IP de origen y destino del cliente. Este método permite que los dispositivos de firewall inspeccionen el paquete de cliente original y apliquen políticas de seguridad antes de reenviarlo a los servidores de backend de la aplicación en las VCN de la estrella.
A continuación, se muestra la arquitectura del equilibrador de carga de red.
|
Destino |
Objetivo |
|---|---|
|
10.0.0.0/24 |
IP VIP Flex-NLB |
|
10.1.0.0/24 |
IP VIP Flex-NLB |
|
Destino |
Objetivo |
|---|---|
|
172.16.0.0/16 |
DRG |
|
Destino |
Objetivo |
|---|---|
|
0.0.0.0/0 |
IGW |
|
Destino |
Objetivo |
|---|---|
|
10.0.0.0/24 |
LPG de web de hub |
|
10.1.0.0/24 |
LPG de BD de hub |
|
Destino |
Objetivo |
|---|---|
|
0.0.0.0/0 |
IP interna de confianza de FW |
Todos los equilibradores de carga de red
El equilibrador de carga de red tiene un juego de backends para enrutar el tráfico entrante a sus instancias informáticas. El juego de backends es una entidad lógica que incluye:
- Una lista de servidores de backend
- Una política de equilibrio de carga
- Una política de comprobación del sistema
Los servidores de backend (instancias informáticas) asociados a un juego de backends pueden existir en cualquier lugar, siempre que los grupos de seguridad de red (NSG), las listas de seguridad y las tablas de rutas asociados permitan el flujo de tráfico deseado.
Si la VCN utiliza grupos de seguridad de red (NSG), puede asociar el equilibrador de carga a un NSG. Un NSG cuenta con un juego de reglas de seguridad que controlan los tipos permitidos de tráfico, tanto entrante como saliente. Las reglas solo se aplican a los recursos del grupo. Compare los NSG con una lista de seguridad, en la que las reglas se aplican a todos los recursos de cualquier subred que utilicen la lista. Consulte Grupos de seguridad de red para obtener más información sobre los NSG.
Si desea utilizar listas de seguridad para la VCN, el servicio Equilibrio de carga puede sugerir reglas de listas de seguridad adecuadas. También puede configurarlas usted mismo mediante el servicio Red. Consulte Listas de seguridad para obtener más información. Para obtener información detallada sobre la comparación entre los NSG y las listas de seguridad, consulte Reglas de seguridad.
Recomendamos distribuir los servidores backend en todos los dominios de disponibilidad de la región.
Consumo de dirección IP privada
Un equilibrador de carga de red público creado en una subred pública consume una dirección IP privada de la subred del host.
Un equilibrador de carga de red privado creado en una subred privada consume una dirección IP privada de la subred del host.
Conceptos del equilibrador de carga de red
- SERVIDOR DE BACKEND
- Servidor de aplicaciones encargado de generar contenido como respuesta al tráfico de cliente entrante. Los servidores de aplicaciones se suelen identificar con una combinación única de dirección y puerto de IPv4 superpuesta (privada), por ejemplo, 10.10.10.1: 8080 y 10.10.10.2: 8080. Para obtener más información, consulte Servidores de backend para equilibradores de carga de red.Nota
El servidor backend no puede funcionar como cliente y como backend simultáneamente, ya que no puede iniciar el tráfico a la IP virtual (VIP) del equilibrador de carga de red. - JUEGO DE BACKENDS
- Entidad lógica definida por una lista de servidores de backend, una política de equilibrio de carga y una política de comprobación del sistema. El conjunto de backends decide cómo dirige el equilibrador de carga de red el tráfico a la recopilación de servidores backend. Para obtener más información, consulte Juegos de backends para equilibradores de carga de red.
- COMPROBACIÓN DEL SISTEMA
-
Una comprobación del sistema es una prueba para confirmar la disponibilidad de los servidores de backend. Una comprobación del sistema puede ser una solicitud o un intento de conexión. En función del intervalo de tiempo especificado, el equilibrador de carga aplica la política de comprobación del sistema para supervisar de forma continua los servidores de backend. Si un servidor no supera la comprobación del sistema, el equilibrador de carga saca temporalmente al servidor de la rotación. Si el servidor supera posteriormente la comprobación del sistema, el equilibrador de carga lo devuelve a la rotación.
La política de comprobación del sistema se configura al crear un juego de backends. Puede configurar las comprobaciones del sistema a nivel de TCP, a nivel de UDP o a nivel de HTTP para los servidores de backend.
- Las comprobaciones del sistema a nivel de TCP intentan realizar una conexión TCP con los servidores backend y validar la respuesta en función del estado de conexión.
- Las comprobaciones del sistema a nivel de UDP intentan realizar una conexión UDP con los servidores de backend y validar la respuesta en función del estado de conexión.
- Las comprobaciones del sistema a nivel de HTTP envían las solicitudes a los servidores de backend de una determinada URI y validan la respuesta en función del código de estado o de los datos de entidad (cuerpo) devueltos.
El servicio proporciona capacidades de comprobación del sistema específicas de la aplicación para ayudar a aumentar la disponibilidad y reducir la ventana de mantenimiento de la aplicación. Para obtener más información sobre la configuración de comprobación del sistema, consulte Políticas de comprobación del sistema para equilibradores de carga de red.
- ESTADO
- Indicador que informa del estado general de los equilibradores de carga de red y sus componentes. Para obtener más información, consulte Estado de los equilibradores de carga de red.
- LISTENER
- Una entidad lógica que busca el tráfico entrante en la dirección IP del equilibrador de carga de red. Se configuran el protocolo y el número de puerto de un listener. Los protocolos soportados son:
- TCP
- UDP
- ICMP
Nota
Los equilibradores de carga de red privados solo soportan el protocolo ICMP si la función Conservación de cabeceras de origen/destino (IP, puerto) está activada. Consulte Activación de la conservación del origen del juego de backends del equilibrador de carga de red para obtener más información. Para obtener más información, consulte Listeners para equilibradores de carga de red.
- POLÍTICA DE EQUILIBRIO DE CARGA DE RED
- Una política de equilibrio de carga de red indica al equilibrador de carga de red cómo distribuir el tráfico entrante entre los servidores de backend. Entre las políticas del equilibrador de carga comunes se incluyen:
- Hash de 5-tupla
- Hash de 3-tupla
- Hash de 2-tupla
- REGIONES Y DOMINIOS DE DISPONIBILIDAD
- El servicio Equilibrador de carga de red gestiona el tráfico de las aplicaciones en los dominios de disponibilidad de una región. Una región es un área geográfica localizada, mientras que un dominio de disponibilidad es uno o más centros de datos que se encuentran en una región. Una región está formada por varios dominios de disponibilidad. Para obtener más información, consulte Regiones y dominios de disponibilidad.
- SUBRED
- Subdivisión que se define en una red virtual en la nube (VCN), como 10.0.0.0/24 y 10.0.1.0/24. Una subred está formada por un rango contiguo de direcciones IP que no se solapan con otras subredes de la VCN. Para cada subred, se especifican las reglas de enrutamiento y seguridad que se le aplican. Para obtener más información sobre las subredes, consulte Gestión de subredes y VCN y Rangos de direcciones IP públicas.
- ETIQUETAS
-
Puede aplicar etiquetas a los recursos para ayudarle a organizarlos según las necesidades de su negocio. Puede aplicar las etiquetas al crear un recurso o actualizar el recurso más tarde con las etiquetas que desee. Para obtener información general sobre la aplicación de etiquetas, consulte Etiquetas de recursos.
- RED VIRTUAL EN LA NUBE (VCN)
- Una red privada que configura en los centros de datos de Oracle, con reglas de firewall y tipos específicos de gateways de comunicación que puede elegir usar. Una VCN abarca un único bloque IPv4 CIDR contiguo seleccionado de los rangos de direcciones IP permitidos. Se necesita al menos una red virtual en la nube para poder iniciar un equilibrador de carga de red. Para obtener información sobre la configuración de redes virtuales en la nube, consulte Visión general de red.
- VISIBILIDAD
- Especifica si el equilibrador de carga de red es público o privado.
- SOLICITUD DE TRABAJO
- Objeto que informa del estado actual de una solicitud de equilibrador de carga de red. Network Load Balancer maneja las solicitudes de forma asíncrona. Cada solicitud devuelve un ID de solicitud de trabajo (OCID) como respuesta. Se puede visualizar el elemento de solicitud de trabajo para consultar el estado de la solicitud. Para obtener más información, consulte Solicitudes de trabajo para equilibradores de carga de red.
Identificadores de recursos
La mayoría de los tipos de recursos de Oracle Cloud Infrastructure tienen un identificador único asignado por Oracle denominado ID de Oracle Cloud (OCID). Para obtener información sobre el formato del OCID y otras formas de identificar los recursos, consulte Identificadores de recursos.
Formas de acceder a Oracle Cloud Infrastructure
Puede acceder a Oracle Cloud Infrastructure (OCI) utilizando la consola (una interfaz basada en explorador), la API de REST o la CLI de OCI. A lo largo de esta documentación se incluyen temas con instrucciones para utilizar la consola, la API y la CLI. Para obtener una lista de los SDK disponibles, consulte Software development kits e interfaz de línea de comandos.
Supervisión de recursos
Puede supervisar el estado, la capacidad y el rendimiento de los recursos de Oracle Cloud Infrastructure mediante métricas, alarmas y notificaciones. Para obtener más información, consulte Supervisión y Notificaciones.
Para obtener información sobre la supervisión del tráfico que pasa por el equilibrador de carga de red, consulte Métricas del equilibrador de carga de red.
Autenticación y autorización
Cada servicio de Oracle Cloud Infrastructure se integra con IAM con fines de autenticación y autorización para todas las interfaces (la consola, el SDK o la CLI, y la API de REST).
Un administrador de una organización debe configurar grupos, compartimentos y políticas que controlen qué usuarios pueden acceder a qué servicios y recursos, así como el tipo de acceso. Por ejemplo, las políticas controlan quién puede crear usuarios, crear y gestionar la red en la nube, crear instancias, crear cubos, descargar objetos, etc. Para obtener más información, consulte Gestión de dominios de identidad. Para obtener detalles específicos acerca de la escritura de políticas de los distintos servicios, consulte Referencia de políticas.
Si es un usuario normal (no un administrador) que debe utilizar los recursos de Oracle Cloud Infrastructure que posee la compañía, póngase en contacto con un administrador para configurar su ID de usuario. El administrador puede confirmar qué compartimento o compartimentos puede utilizar.
Límites de los equilibradores de carga de red
Cada equilibrador de carga tiene los siguientes límites de configuración:
- Una dirección IPv4 y una dirección IPv6
- 50 juegos de backends
- 512 servidores de backend por juego de backends
- 1024 servidores de backend en total
- 50 listeners
- Límite por defecto de 330 000 conexiones simultáneas por dominio de disponibilidad
Para obtener una lista de límites aplicables e instrucciones para solicitar un aumento del límite, consulte la sección sobre límites de servicio.
Políticas de IAM necesarias
Para utilizar Oracle Cloud Infrastructure, un administrador debe ser miembro de un grupo al que un administrador de arrendamiento haya otorgado acceso de seguridad en una política . Este acceso es necesario tanto si utiliza la Consola como la API de REST con un SDK, una CLI u otra herramienta. Si recibe un mensaje que indica que no tiene permiso o no está autorizado, verifique con el administrador del arrendamiento el tipo de acceso que tiene y en qué compartimento trabaja el acceso.
Para administradores: para una política típica que proporciona acceso a los equilibradores de carga y sus componentes, consulte Permitir que los administradores de red gestionen equilibradores de carga.
Además, tenga en cuenta que una sentencia de política que incluya inspect load-balancers proporciona al grupo especificado la capacidad de ver toda la información sobre los equilibradores de carga. Para obtener más información, consulte Detalles del equilibrio de carga.
Si no está familiarizado con las políticas, consulte Introducción a las políticas y Políticas comunes.
Políticas del equilibrador de carga de red
Después de crear un equilibrador de carga de red, puede aplicar políticas para controlar la distribución del tráfico en los servidores de backend. Consulte Creación de un equilibrador de carga de red.
El servicio Equilibrador de carga de red soporta tres tipos de políticas de equilibrador de carga de red principal:
- Hash de 5-tupla: enruta el tráfico de entrada mediante el hash de 5-tupla (IP y puerto de origen, IP y puerto de destino, protocolo). Esta es la política de equilibrador de carga de red por defecto.
- Hash de 3-tupla: enruta el tráfico entrante según el hash de 3-tupla (IP de origen, IP de destino, protocolo).
- Hash de 2-tupla: enruta el tráfico entrante según el hash de 2-tupla (IP de origen, IP de destino).
La política Hash de 5-tupla proporciona afinidad de sesión en una sesión TCP o UDP determinada, donde los paquetes de la misma sesión se dirigen al mismo servidor de backend detrás del equilibrador de carga de red flexible. Utilice una política de equilibrio de carga de red 3-tupla o 2-tupla para proporcionar afinidad de sesión más allá de la duración de una sesión determinada.
Cuando la carga o la capacidad de procesamiento varíe entre los servidores de backend, puede acotar todos estos tipos de política mediante la ponderación del servidor de backend. La ponderación afecta a la proporción de solicitudes dirigidas a cada servidor. Por ejemplo, un servidor con ponderación 3 recibe tres veces más conexiones que un servidor con ponderación 1. Las ponderaciones se asignan en función de los criterios que elija, como la capacidad de gestión de tráfico de cada servidor. Los valores de ponderación deben estar comprendidos entre 1 y 100.
Timeout de inactividad de conexiones
El equilibrador de carga de red realiza un seguimiento del estado de todos los flujos TCP y UDP que pasan por él. Una combinación de protocolo IP y direcciones IP de origen y destino y puertos definen un flujo. El flujo se puede eliminar si no se recibe tráfico del cliente o del servidor durante más tiempo del especificado en el timeout de inactividad. Los paquetes TCP recibidos después del timeout de inactividad se borran. Para los flujos UDP, un paquete posterior se considera un nuevo flujo y se enruta a un nuevo servidor de backend.
La duración del timeout de inactividad para los flujos TCP es de 6 minutos y para los flujos UDP de 2 minutos. Puede ajustar estas horas al crear un listener para un equilibrador de carga de red y también al editar un listener existente. Consulte Changing a Listener's Idle Timeout para obtener más información.
Registro
Las actividades de equilibrio de carga de red se registran mediante los logs de flujo de la red virtual en la nube (VCN). Consulte Logs de flujos de VCN para obtener más información.
Cifrado
El servicio Network Load Balancer no cambia directamente el tráfico que recibe. Por lo tanto, para proteger el tráfico que se envía a través del equilibrador de carga de red a los backend, usted es responsable de cifrar las aplicaciones en los backends que reciben el tráfico. Para incorporar la terminación SSL en un equilibrador de carga, utilice en su lugar el servicio Load Balancer.