Types d'équilibreur de charge

Pour accepter le trafic depuis Internet, vous créez un équilibreur de charge public. Le service lui affecte une adresse IP publique qui sert de point d'entrée pour le trafic entrant. Vous pouvez associer l'adresse IP publique à un nom DNS convivial au moyen de n'importe quel fournisseur DNS.

Un équilibreur de charge public a une portée régionale. Si votre région comprend plusieurs domaines de disponibilité, un équilibreur de charge public nécessite un sous-réseau régional (recommandé) ou deux sous-réseaux propres à un domaine de disponibilité, chacun dans un domaine de disponibilité distinct. Avec un sous-réseau régional, le service Équilibreur de charge crée un équilibreur de charge principal et un équilibreur de charge de secours, chacun figurant dans un domaine de disponibilité différent, pour garantir l'accessibilité en cas d'interruption d'un domaine de disponibilité. Si vous créez un équilibreur de charge dans deux sous-réseaux propres à un domaine de disponibilité, un sous-réseau héberge l'équilibreur de charge principal et l'autre un équilibreur de charge de secours. En cas de défaillance de l'équilibreur de charge principal, l'adresse IP publique passe à l'équilibreur de charge secondaire. Le service traite les deux équilibreurs de charge comme étant égaux et vous ne pouvez pas spécifier lequel est l'équilibreur principal.

Que vous utilisiez des sous-réseaux régionaux ou propres à un domaine de disponibilité, chaque équilibreur de charge requiert une adresse IP privée provenant du sous-réseau hôte. Le service Équilibreur de charge fournit une adresse IP publique flottante à l'équilibreur de charge principal. L'adresse IP publique flottante ne provient pas de vos sous-réseaux dorsaux.

Si votre région n'inclut qu'un seul domaine de disponibilité, le service ne requiert qu'un sous-réseau, régional ou propre à un domaine de disponibilité, pour héberger à la fois les équilibreurs de charge principal et de secours. Les équilibreurs de charge principal et de secours requièrent chacun une adresse IP privée provenant du sous-réseau hôte, en plus de l'adresse IP publique flottante qui leur est affectée. En cas d'indisponibilité d'un domaine de disponibilité, l'équilibreur de charge n'offre aucun basculement.

Pour isoler votre équilibreur de charge d'Internet et simplifier la sécurité, vous pouvez créer un équilibreur de charge privé. Le service Équilibreur de charge affecte une adresse IP privée qui sert de point d'entrée pour le trafic entrant.

Lorsque vous créez un équilibreur de charge privé, le service ne requiert qu'un sous-réseau pour héberger à la fois les équilibreurs de charge principal et de secours. L'équilibreur de charge peut être régional ou propre à un domaine de disponibilité, selon la portée du sous-réseau hôte. L'équilibreur de charge est accessible uniquement à partir du VCN qui contient le sous-réseau hôte ou tel qu'il est restreint par vos règles de sécurité.

L'adresse IP privée flottante affectée est locale dans le sous-réseau hôte. Les équilibreurs de charge principal et de secours requièrent chacun une adresse IP privée provenant du sous-réseau hôte.

En cas d'indisponibilité d'un domaine de disponibilité, un équilibreur de charge privé créé dans un sous-réseau régional au sein d'une région comportant plusieurs domaines de disponibilité offre une capacité de basculement. Un équilibreur de charge privé créé dans un sous-réseau propre à un domaine de disponibilité ou dans un sous-réseau régional au sein d'une région ayant un seul domaine de disponibilité, n'offre aucune capacité de basculement en réponse à une interruption de domaine de disponibilité.

Votre équilibreur de charge a un jeu dorsal pour acheminer le trafic entrant vers vos instances de calcul. Le jeu dorsal est une entité logique qui inclut :

• Une liste de serveurs dorsaux.
• Une politique d'équilibrage de charge.
• Une politique de vérification de l'état.
• Un traitement SSL facultatif.
• Une configuration de persistance de session facultative.

Les serveurs dorsaux (instances de calcul) associés à un jeu dorsal peuvent se trouver n'importe où, tant que les groupes de sécurité de réseau, les listes de sécurité et les tables de routage associés autorisent le flux de trafic souhaité.

Si votre VCN utilise des groupes de sécurité de réseau, vous pouvez associer votre équilibreur de charge à un groupe de sécurité de réseau. Un groupe de sécurité de réseau contient un jeu de règles de sécurité qui contrôlent les types autorisés de trafic entrant et sortant. Les règles s'appliquent uniquement aux ressources du groupe. Contrairement aux groupes de sécurité de réseau, dans une liste de sécurité, les règles s'appliquent à toutes les ressources d'un sous-réseau qui utilise la liste. Pour plus d'informations sur les groupes de sécurité de réseau, voir Groupes de sécurité de réseau.

Si vous préférez utiliser des listes de sécurité pour votre VCN, le service Équilibreur de charge peut recommander des règles de liste de sécurité appropriées. Vous pouvez également les configurer vous-même au moyen du service Réseau. Voir Listes de sécurité pour plus d'informations.

Voir Règles de sécurité pour des informations détaillées comparant les listes de sécurité et les Groupes de sécurité de réseau.

Nous vous recommandons de créer votre équilibreur de charge dans un sous-réseau régional.

Nous vous recommandons de répartir vos serveurs dorsaux sur tous les domaines de disponibilité de la région.

Pour créer un système minimal doté d'un équilibreur de charge fonctionnel, vous devez :

• Pour un équilibreur de charge public, créer un VCN avec une passerelle Internet et un sous-réseau régional public.
  Note
  
  Vous ne pouvez pas spécifier un sous-réseau privé pour votre équilibreur de charge public.
• Pour un équilibreur de charge privé, créer un VCN avec au moins un sous-réseau privé.
• Créer au moins deux instances de calcul, chacune dans un domaine de disponibilité distinct.
• Créer un équilibreur de charge.
• Créer un jeu dorsal avec une politique de vérification de l'état.
• Ajouter des serveurs dorsaux (instances de calcul) au jeu dorsal.
• Créer un module d'écoute, avec un traitement SSL facultatif.
• Mettre à jour les règles de sécurité du sous-réseau de l'équilibreur de charge pour qu'elles permettent le trafic prévu.

L'équilibreur de charge ne répond pas directement à un paquet ping ICMP ou TCP/UDP client. L'équilibreur de charge dirige plutôt le paquet vers un serveur dorsal conformément à la politique d'équilibrage de charge. Le serveur dorsal retourne alors une réponse au client. Vous pouvez utiliser n'importe quel autre outil, tel que cURL, openssl ou tout simplement ouvrir le client dans le navigateur, pour tester la connectivité de l'équilibreur de charge.