Création d'un équilibreur de charge de réseau

Lorsque vous sélectionnez le type de visibilité privée pour votre équilibreur de charge de réseau, vous avez la possibilité d'activer la conservation des en-têtes source et cible. Cette option vous permet de configurer votre équilibreur de charge de réseau à adresse IP privée afin de conserver l'en-tête source et de destination initial (adresses IP et ports) de chaque paquet entrant jusqu'au serveur dorsal. Pour plus d'informations, voir Activation de la conservation de la source/destination de l'équilibreur de charge.

La préservation des en-têtes source et cible (adresse IP, port) a une incidence sur tous les jeux dorsaux de l'équilibreur de charge du réseau. Mettez à jour votre table de routage pour utiliser cette fonction. Pour plus d'informations, voir Tables de routage de VCN.

Si le compartiment courant contient un ou plusieurs réseaux en nuage virtuels que vous voulez utiliser avec l'équilibreur de charge de réseau, passez à l'étape suivante.

• Réseau en nuage virtuel dans <compartment> : Sélectionnez un réseau VCN dans la liste.

  Lorsque le compartiment courant ne contient aucun réseau en nuage virtuel, la liste est désactivée. Le système vous propose de créer un réseau en nuage virtuel. Entrez un nom pour le nouveau VCN dans la zone Nom du réseau en nuage virtuel. Si vous ne spécifiez pas de nom pour le nouveau VCN, le système génère un nom pour vous.

• Sous-réseau dans <compartment> : Sélectionnez un sous-réseau dans la liste. Pour un équilibreur de charge public, vous devez sélectionner un sous-réseau public.
• Utiliser des groupes de sécurité de réseau pour contrôler le trafic : Sélectionnez cette option pour ajouter l'équilibreur de charge de réseau à un groupe de sécurité de réseau. Effectuez les étapes suivantes :
  1. Groupes de sécurité de réseau dans <compartment> : Sélectionnez un groupe de sécurité de réseau dans la liste.
  2. + Un autre groupe de sécurité de réseau : Sélectionnez cette option pour ajouter l'équilibreur de charge de réseau à un autre groupe de sécurité de réseau.

  Voir Groupes de sécurité de réseau.

  Note
  
  Vous pouvez modifier les groupes de sécurité de réseau auxquels appartient l'équilibreur de charge de réseau après l'avoir créé. Dans la page Détails, sélectionnez Modifier à côté de la liste des groupes de sécurité de réseau associés.

Appliquez des attributs de sécurité pour contrôler l'accès à vos ressources au moyen du service Zero Trust Packet Routing. Pour plus d'informations, voir Routage de paquets Zéro confiance.

Sélectionnez Ajouter un attribut de sécurité pour afficher les paramètres des attributs de sécurité. Entrez les informations suivantes pour chaque attribut de sécurité :

• Espace de noms : Sélectionnez un espace de noms d'attribut de sécurité dans la liste. Cette liste contient les espaces de noms d'attribut de sécurité déjà configurés. Pour plus d'informations, voir Création d'un espace de noms d'attribut de sécurité.
• Clé : Sélectionnez une clé dans la liste.
• Valeur : Sélectionnez une valeur pour la clé correspondante dans la liste.
• Mode : Vous pouvez appliquer des attributs de sécurité à un équilibreur de charge de réseau dans les modes suivants :
  • Appliquer : Applique des politiques d'attribut de sécurité et bloque tout trafic entrant ou sortant non autorisé.

Sélectionnez de nouveau Ajouter un attribut de sécurité pour ajouter un autre attribut.

Si vous êtes autorisé à créer une ressource, vous pouvez également appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous ne savez pas si vous devez appliquer des marqueurs, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des marqueurs plus tard.

Sélectionnez Suivant.

Entrez la temporisation pour chaque type de trafic en secondes. Si vous n'entrez pas de valeur de temporisation, les valeurs par défaut sont utilisées. Le nombre de valeurs de temporisation que vous devez entrer varie en fonction du type de trafic du module d'écoute que vous avez sélectionné précédemment :

• UDP : Temporisation. La valeur par défaut est 120 secondes.
• TCP : Temporisation. La valeur par défaut est 360 secondes.
• UDP/TCP : Deux temporisations, une pour chaque protocole (UDP et TCP). La valeur par défaut est 120 et 360 secondes.
• L3IP : Trois temporisations, pour une pour chaque protocole (L3IP, UDP et TCP). La valeur par défaut est 120, 120 et 360 secondes.

Sélectionnez Suivant.

Lorsque vous sélectionnez TCP, UDP/TCP, TCP/UDP/ICMP ou L3 IP comme type de trafic du module d'écoute, vous avez la possibilité d'activer le protocole proxy version 2. Pour plus d'informations sur l'utilisation du protocole mandataire avec les équilibreurs de charge de réseau, voir Protocole mandataire

La liste Serveurs dorsaux affiche les serveurs dorsaux configurés et disponibles pour utilisation avec l'équilibreur de charge de réseau que vous créez. La liste affiche les détails de chaque serveur dorsal, notamment son nom (pour les serveurs basés sur des instances de calcul), son adresse IP, son domaine de disponibilité, son compartiment, son port et sa pondération. Vous pouvez ajouter un serveur dorsal à la liste en sélectionnant Ajouter des serveurs dorsaux et en le configurant comme décrit plus loin dans cette section.

Le nombre de serveurs dorsaux que vous pouvez affecter à un jeu dorsal dépend de son type. Un jeu dorsal par défaut peut avoir un nombre illimité de serveurs dorsaux affectés. Un jeu dorsal non préventif ne peut avoir qu'un maximum de deux serveurs dorsaux affectés. Pour les jeux dorsaux non préventifs, vous pouvez spécifier l'un des deux serveurs dorsaux en tant que sauvegarde de l'autre.

Lorsque vous ajoutez des instances au jeu dorsal, elles s'affichent dans le tableau Sélectionner les serveurs dorsaux. Vous pouvez effectuer les tâches suivantes :

• Mettez à jour le port de serveur vers lequel l'équilibreur de charge de réseau doit diriger le trafic. Par défaut, il s'agit du port 80.
• Mettez à jour la pondération du serveur qui spécifie la proportion du trafic entrant traité par le serveur dorsal. Plus le nombre est élevé, plus il y a de trafic reçu.
• Supprimer une instance en cochant celle-ci et en sélectionnant Supprimer. Vous pouvez également sélectionner Supprimer dans le menu Actions à la fin de l'entrée d'une instance.

Conserver l'adresse IP source : Sélectionnez cette option pour conserver l'en-tête source et de destination d'origine (adresses IP et ports) de chaque paquet entrant jusqu'au serveur dorsal. Vous ne pouvez pas ajouter de serveurs dorsaux basés sur des adresses IP si la fonction de conservation de l'adresse IP source est activée. Pour plus d'informations, voir Activation de la conservation de la source du jeu dorsal de l'équilibreur de charge de réseau.

Spécifiez les paramètres de test pour confirmer l'état des serveurs dorsaux. Pour plus d'informations sur cette fonction, voir Politiques de vérification de l'état.

Entrez les informations suivantes :

• Protocole : Indiquez le protocole à utiliser pour les interrogations de vérification de l'état :
  • HTTP
  • HTTPS
  • TCP
  • UDP
  • DNS : Pour plus d'informations sur la configuration des politiques de vérification de l'état pour le protocole DNS, voir Vérification de l'état DNS.
  Important
  
  Configurez le protocole de vérification de l'état pour qu'il corresponde à l'application ou au service. Pour plus d'informations, voir Politiques de vérification de l'état.

  Pour TCP et UDP, les données fournies doivent être chiffrées à base64. Utilisez n'importe quel outil d'encodage base64 pour convertir les chaînes de texte brut en chaînes encodées based64 et utilisez les chaînes encodées pour la configuration de la vérification d'état. Par exemple, la chaîne de texte brut suivante :

  this is the request data for my NLB backend health check

  est encodée comme suit :

  dGhpcyBpcyB0aGUgcmVxdWVzdCBkYXRhIGZvciBteSBOTEIgYmFja2VuZCBoZWFsdGggY2hlY2s

  La chaîne encodée est celle qui est soumise à la configuration de la vérification de l'état.

  La longueur maximale prise en charge pour la chaîne avant l'encodage en base64 est de 1 024 octets. Si la chaîne dépasse la limite, l'appel de configuration échoue avec un code de statut HTTP 400.

• Protocole de transport : (DNS seulement) Spécifiez le protocole de transport utilisé pour envoyer le trafic lorsque DNS est sélectionné comme protocole :
  • UDP
  • TCP
• Port : Indiquez le port du serveur dorsal sur lequel exécuter la vérification de l'état. Entrez la valeur '0' pour que la vérification de l'état utilise le port de trafic du serveur dorsal.
• Intervalle en MS : Indiquez la fréquence d'exécution de la vérification de l'état, en millisecondes. La valeur par défaut est 10000 (10 secondes).
• Temporisation en ms : Indiquez le délai maximal d'attente, en millisecondes, d'une réponse à une vérification de l'état. La vérification de l'état n'aboutit que si une réponse est retournée dans cette période de temporisation. La valeur par défaut est 3000 (3 secondes).
• Number of retries (Nombre de tentatives) : Spécifiez le nombre de tentatives avant qu'un serveur dorsal ne soit considéré comme "unhealthy". Ce nombre s'applique également lors du rétablissement d'un serveur à l'état "sain". La valeur par défaut est 3.
• Données de demande : (Obligatoire pour UDP et facultatif pour TCP uniquement) Entrez le message de demande inclus dans la demande. Ces données de demande sont incluses dans la demande unique au serveur dorsal. Les données de demande sont comparées aux données de réponse
• Données de réponse : (Obligatoire pour UDP et facultatif pour TCP uniquement) Entrez le message de réponse pour lequel la fonction de vérification de l'état envoie une seule demande au serveur dorsal. En cas de correspondance, la vérification de l'état réussit.
• Code de statut : (HTTP et HTTPS uniquement) Indiquez le code de statut que doit retourner un serveur dorsal sain.
• Chemin de l'URL (URI) : (HTTP et HTTPS uniquement) Indiquez un point d'extrémité d'URL sur lequel exécuter la vérification de l'état.
• Corps de la réponse (expression rationnelle) : Indiquez une expression rationnelle pour analyser le corps de la réponse du serveur dorsal.
• Nom d'interrogation : (DNS uniquement) Fournissez un nom de domaine DNS pour l'interrogation.
• Classe d'interrogation : (DNS seulement) Sélectionnez l'une des options suivantes :
  • ENTRÉE : Internet (par défaut)
  • CH : Chaos
• Type d'interrogation : (DNS seulement) Sélectionnez l'une des options suivantes :
  • A : Indique un nom d'hôte correspondant à l'adresse IPv4. (par défaut)
  • AAAA : Indique un nom d'hôte correspondant à l'adresse IPv6.
  • TXT : Indique un champ de texte.
• Codes de réponse acceptables : Sélectionnez une ou plusieurs des options suivantes :
  • L'interrogation DNS RCODE:0 NOERROR s'est terminée avec succès.
  • Le serveur RCODE:2 SERVFAIL n'a pas pu terminer la demande DNS.
  • Le nom de domaine RCODE:3 NXDOMAIN n'existe pas.
  • RCODE:5 REFUSED Le serveur a refusé de répondre à l'interrogation.
• Échec de l'ouverture : (Facultatif) Sélectionnez cette option pour que l'équilibreur de charge de réseau continue de déplacer le trafic vers les serveurs dorsaux de ce jeu dorsal à l'aide de la configuration courante, même si tous les états des serveurs dorsaux deviennent peu sains.
• Activer le basculement instantané : (Obligatoire pour le DNS, facultatif pour tous les autres protocoles) Sélectionnez cette option pour rediriger le trafic existant vers un serveur dorsal sain si le serveur dorsal courant devient peu sain. Cette fonction ne fonctionne pas si l'option Échec de l'ouverture est activée et que tous les serveurs dorsaux deviennent peu sains.
• Envoyer la réinitialisation TCP : (L3 modules d'écoute IP uniquement) Sélectionnez cette option pour réinitialiser automatiquement la connexion TCP à un serveur dorsal en échec.

Sélectionnez cette option pour configurer manuellement les règles de liste de sécurité de sous-réseau afin d'autoriser le trafic souhaité ou permettre au système de créer des règles de liste de sécurité pour vous. Pour en savoir plus sur ces règles, voir Parties d'une règle de sécurité.

Sélectionnez une des options suivantes :

• Configurer manuellement les règles de liste de sécurité une fois l'équilibreur de charge de réseau créé : Lorsque vous sélectionnez cette option, vous devez configurer les règles de liste de sécurité après la création de l'équilibreur de charge de réseau.
• Ajouter automatiquement des règles de liste de sécurité : Lorsque vous sélectionnez cette option, le service d'équilibreur de charge de réseau crée des règles de liste de sécurité pour vous.

  Le système affiche un tableau pour les règles de trafic sortant et un autre pour celles de trafic entrant. Chaque tableau vous permet de sélectionner la liste de sécurité qui s'applique au sous-réseau pertinent.

  Vous pouvez décider si les règles proposées doivent être appliquées pour chaque sous-réseau concerné.

Sélectionnez l'une des politiques d'équilibrage de charge suivantes :

• Hachage à 5 tuples : Achemine le trafic entrant en fonction d'un hachage à 5 tuples (adresse IP et port sources, adresse IP et port de destination, protocole).
  Note
  
  Lorsque le protocole du module d'écoute IP L3 est sélectionné, l'équilibreur de charge ne prend pas en charge les politiques de hachage à 5 tuples.
• Code de hachage à 3 tuples : Achemine le trafic entrant en fonction d'un code de hachage à 3 tuples (adresse IP source, adresse IP de destination, protocole).
• Hachage à 2 tuples : Achemine le trafic entrant en fonction d'un hachage à 2 tuples (destination IP source, adresse IP de destination).

Sélectionnez Suivant.