Présentation d'un équilibreur de charge de réseau
Découvrez comment les équilibreurs de charge de réseau peuvent répartir automatiquement le trafic d'un point d'entrée vers plusieurs serveurs d'un jeu dorsal.
Modes de fonctionnement
L'équilibreur de charge de réseau est un service d'équilibrage de charge qui fonctionne à la couche 3 et à la couche 4 du modèle OSI (Open Systems Interconnection). Ce service offre les avantages de la haute disponibilité et offre un débit élevé tout en maintenant une latence ultra faible. Vous pouvez utiliser les trois modes suivants dans l'équilibreur de charge de réseau :
-
Mode Traduction complète des adresses de réseau (NAT) : L'équilibreur de charge de réseau traduit à la fois l'adresse IP source et l'adresse IP de destination du paquet avant de l'envoyer vers le serveur dorsal.
-
Mode de conservation source : L'équilibreur de charge de réseau effectue une NAT de destination entre le module d'écoute de l'équilibreur de charge de réseau et l'adresse IP du serveur dorsal. Toutefois, il conserve l'adresse IP/le port source d'origine avant de l'envoyer au serveur dorsal.
-
Mode Transparent (Conservation source/destination) : L'équilibreur de charge de réseau ne modifie aucune information dans le paquet. Ce mode transmet les paquets aux serveurs dorsaux, fonctionnant efficacement comme un "bump-in-the-wire". Ce mode nécessite que le trafic soit dirigé au moyen d'une entrée de table de routage de VCN.
Le tableau suivant répond à des questions concernant les modes de fonctionnement de l'équilibreur de charge de réseau.
| Mode | Autres noms | Où activé? | Le trafic client utilise-t-il le module d'écoute? | Prise en charge des équilibreurs de charge de réseau publics? | Prise en charge des équilibreurs de charge de réseau privés? |
|---|---|---|---|---|---|
| NAT complète | Aucune | Activé en désactivant les modes Conservation de l'en-tête source et Conservation de l'en-tête source/destination. | Oui | Oui | Oui |
| Conservation de l'en-tête source (adresse IP ou port) |
|
Activé au moyen de la configuration du jeu dorsal (créer ou modifier). | Oui | Oui | Oui |
| Conservation des en-têtes source et cible (adresse IP ou port) |
|
Activé dans la page Détails de l'équilibreur de charge de réseau. | Nombre | Nombre | Oui |
Types d'équilibreur de charge de réseau
Le service d'équilibreur de charge de réseau flexible vous permet de créer un équilibreur de charge de réseau public ou privé dans votre VCN. Un équilibreur de charge de réseau public a une adresse IP publique accessible depuis Internet. Un équilibreur de charge de réseau privé a une adresse IP provenant du sous-réseau d'hébergement, qui n'est visible que dans votre réseau en nuage virtuel. Vous pouvez configurer plusieurs modules d'écoute pour une adresse IP afin d'équilibrer la charge du trafic de couche 4 (TCP/UDP/ICMP). Les équilibreurs de charge publics et privés peuvent acheminer le trafic de données vers tout serveur dorsal se trouvant dans le VCN.
Équilibreur de charge de réseau public
Pour accepter le trafic provenant d'Internet, créez un équilibreur de charge de réseau public. Le service lui affecte une adresse IP publique qui sert de point d'entrée au trafic entrant. Associez l'adresse IP publique à un nom DNS convivial au moyen de n'importe quel fournisseur DNS.
Un équilibreur de charge de réseau public peut avoir une portée régionale ou propre à un domaine de disponibilité. Le sous-réseau dans lequel l'équilibreur de charge de réseau est créé détermine cette portée. Un équilibreur de charge de réseau public créé dans un sous-réseau régional a une portée régionale. Un équilibreur de charge de réseau public créé dans un sous-réseau propre à un domaine de disponibilité a une portée propre à ce domaine. L'équilibreur de charge de réseau assure une haute disponibilité et accessibilité même si l'un des domaines de disponibilité est en panne.
Vous ne pouvez pas spécifier un sous-réseau privé pour votre équilibreur de charge public. Pour plus d'informations, voir Sous-réseaux publics et privés.
Équilibreur de charge de réseau privé
Pour isoler l'équilibreur de charge de réseau d'Internet et simplifier votre situation en matière de sécurité, créez-en un. Le service d'équilibreur de charge de réseau lui affecte une adresse IP privée qui sert de point d'entrée au trafic entrant. L'équilibreur de charge de réseau est accessible uniquement à partir du réseau en nuage virtuel qui contient le sous-réseau régional de l'hôte, ou en fonction des restrictions supplémentaires définies par vos règles de sécurité.
Un équilibreur de charge de réseau privé peut avoir une portée régionale ou propre à un domaine de disponibilité. Le sous-réseau dans lequel l'équilibreur de charge de réseau est créé détermine cette portée.
Accessibilité de l'équilibreur de charge de réseau
L'équilibreur de charge de réseau ne répond pas directement à un paquet ping ICMP ou TCP/UDP. Au lieu de cela, il dirige le paquet vers un serveur dorsal conformément à la politique d'équilibrage de charge. Le serveur dorsal retourne alors une réponse au client.
Seuls les équilibreurs de charge de réseau privés prennent en charge le protocole ICMP. La fonction Conservation des en-têtes source et et de destination (adresse IP, port) doit également être activée pour l'équilibreur de charge de réseau. Si cette fonction n'est pas activée ou si vous utilisez un équilibreur de charge de réseau public, vous pouvez vérifier l'accessibilité de l'équilibreur de charge de réseau au moyen des protocoles de module d'écoute disponibles (TCP/UDP).
Utilisation d'un équilibreur de charge de réseau privé en tant que cible de routage du saut suivant avec acheminement de transit VCN
Utilisez un équilibreur de charge de réseau privé comme cible d'acheminement de l'adresse IP privée de saut suivant avec routage de transit de réseau en nuage virtuel. Cette méthode permet à l'équilibreur de charge de réseau de faire office d'équilibreur de charge transparent de couche 3 BITW (bump-in-the-wire) vers lequel les paquets sont transférés le long du chemin jusqu'à leur destination finale. Le routage de transit fait référence à une topologie de réseau dans laquelle votre réseau sur place utilise un réseau en nuage virtuel connecté pour atteindre les ressources ou les services Oracle au-delà de ce réseau. Connectez le réseau sur place au réseau en nuage virtuel avec FastConnect ou RPV site-à-site. Configurez ensuite le routage pour que le trafic passe par le réseau en nuage virtuel jusqu'à sa destination au-delà de ce dernier. Voir Routage de transit dans un VCN central pour plus d'informations.
L'équilibreur de charge de réseau achemine le trafic utilisateur vers les instances de pare-feu hébergées derrière l'équilibreur dans le VCN central à l'aide des tables de routage de ce dernier. Sinon, ce trafic utilisateur passerait de la source directement à la destination. Dans ce mode, l'équilibreur de charge de réseau ne modifie pas les caractéristiques du paquet client et conserve les informations d'en-tête d'adresse IP source et cible du client. Cette méthode permet aux pare-feux d'inspecter le paquet client initial et d'appliquer des politiques de sécurité avant de le transférer vers les serveurs dorsaux d'application des réseaux en nuage virtuel satellite.
L'illustration suivante présente l'architecture de l'équilibreur de charge de réseau.
|
Destination |
Cible |
|---|---|
|
10.0.0.0/24 |
Adresse IP virtuelle d'équilibreur de charge de réseau flexible |
|
10.1.0.0/24 |
Adresse IP virtuelle d'équilibreur de charge de réseau flexible |
|
Destination |
Cible |
|---|---|
|
172.16.0.0/16 |
DRG |
|
Destination |
Cible |
|---|---|
|
0.0.0.0/0 |
IGW |
|
Destination |
Cible |
|---|---|
|
10.0.0.0/24 |
Passerelle d'appairage local Web du VCN central |
|
10.1.0.0/24 |
Passerelle d'appairage local de BD du VCN central |
|
Destination |
Cible |
|---|---|
|
0.0.0.0/0 |
Adresse IP de l'interface approuvée du pare-feu |
Tous les équilibreurs de charge de réseau
Votre équilibreur de charge de réseau dispose d'un jeu dorsal pour le routage du trafic entrant vers vos instances de calcul. Le jeu dorsal est une entité logique qui inclut :
- Une liste de serveurs dorsaux
- Une politique d'équilibrage de charge
- Une politique de vérification de l'état
Les serveurs dorsaux (instances de calcul) associés à un jeu dorsal peuvent se trouver n'importe où, tant que les groupes de sécurité de réseau, les listes de sécurité et les tables de routage associés autorisent le flux de trafic souhaité.
Si votre réseau en nuage virtuel utilise des groupes de sécurité de réseau, vous pouvez associer votre équilibreur de charge à un groupe de sécurité de réseau. Un groupe de sécurité de réseau contient un jeu de règles de sécurité qui contrôle les types autorisés de trafic entrant et sortant. Les règles s'appliquent uniquement aux ressources du groupe. Au contraire, pour une liste de sécurité, les règles s'appliquent à toutes les ressources d'un sous-réseau qui utilise la liste. Voir Groupes de sécurité de réseau pour plus d'informations à ce sujet.
Si vous préférez utiliser des listes de sécurité pour votre réseau en nuage virtuel, le service Équilibrage de charge peut vous suggérer des règles appropriées. Vous pouvez également les configurer vous-même au moyen du service Réseau. Voir Listes de sécurité pour plus d'informations. Pour des informations détaillées comparant les NSG et les listes de sécurité, voir Règles de sécurité.
Nous vous recommandons de répartir vos serveurs dorsaux sur tous les domaines de disponibilité de la région.
Consommation d'adresse IP privée
Un équilibreur de charge de réseau public créé dans un sous-réseau public consomme une adresse IP privée provenant du sous-réseau hôte.
Un équilibreur de charge de réseau privé créé dans un sous-réseau unique consomme une adresse IP privée provenant du sous-réseau hôte.
Concepts d'équilibreur de charge de réseau
- SERVEUR DORSAL
- Serveur d'applications chargé de générer du contenu en réponse au trafic client entrant. Les serveurs d'applications sont généralement identifiés à l'aide d'une combinaison unique d'adresse IPv4 (privée) et de port superposés; par exemple, 10.10.10.1:8080 et 10.10.10.2:8080. Pour plus d'informations, voir Serveurs dorsaux pour les équilibreurs de charge de réseau.Note
Le serveur dorsal ne peut pas fonctionner simultanément en tant que client et serveur dorsal, car il ne peut pas démarrer le trafic vers l'adresse IP virtuelle de l'équilibreur de charge de réseau. - JEU DORSAL
- Entité logique définie par une liste de serveurs dorsaux, une politique d'équilibrage de charge et une politique de vérification de l'état. Le jeu dorsal décide de la façon dont l'équilibreur de charge dirige le trafic vers la collection de serveurs dorsaux. Pour plus d'informations, voir Jeux dorsaux pour les équilibreurs de charge de réseau.
- VÉRIFICATION DE L'ÉTAT
-
Une vérification de l'état est un test permettant de confirmer la disponibilité des serveurs dorsaux. Il peut s'agir d'une demande ou d'une tentative de connexion. Selon l'intervalle que vous spécifiez, l'équilibreur de charge applique la politique de vérification de l'état pour surveiller les serveurs dorsaux en continu. Si la vérification de l'état d'un serveur échoue, l'équilibreur de charge retire temporairement ce dernier de la rotation. Si la vérification de l'état aboutit ultérieurement, l'équilibreur de charge replace le serveur dans la rotation.
La configuration de la politique de vérification de l'état s'effectue lors de la création d'un jeu dorsal. Vous pouvez configurer des vérifications de l'état de niveau TCP, UDP ou HTTP pour vos serveurs dorsaux.
- Les vérifications d'état de niveau TCP tentent d'établir une connexion TCP avec les serveurs dorsaux et valident la réponse en fonction du statut de connexion.
- Les vérifications d'état de niveau UDP tentent d'établir une connexion UDP avec les serveurs dorsaux et valident la réponse en fonction du statut de connexion.
- Les vérifications d'état de niveau HTTP envoient des demandes aux serveurs dorsaux sur des URI spécifiques et valident la réponse en fonction du code de statut ou des données d'entité (corps) retournés.
Le service fournit des capacités de vérification de l'état propres à l'application afin d'accroître la disponibilité et de réduire la fenêtre de maintenance de votre application. Pour plus d'informations sur la configuration de la vérification de l'état, voir Politiques de vérification de l'état des équilibreurs de charge de réseau.
- STATUT D'ÉTAT
- Indicateur qui signale l'état général de vos équilibreurs de charge de réseau et de leurs composants. Pour plus d'informations, voir Statut d'état des équilibreurs de charge de réseau.
- MODULE D'ÉCOUTE
- Entité logique qui vérifie la présence de trafic entrant au niveau de l'adresse IP de l'équilibreur de charge de réseau. Vous configurez le protocole et le numéro de port d'un module d'écoute. Les protocoles pris en charge sont les suivants :
- UDP
- TCP
- UDP/TCP
- TCP/UDP/ICMP (privé seulement)
- Adresse IP L3
Note
Les équilibreurs de charge de réseau privés ne prennent en charge le protocole ICMP que si la fonction Conservation des en-têtes source et et de destination (adresse IP, port) est activée. Pour plus d'informations, voir Activation de la conservation de la source du jeu dorsal de l'équilibreur de charge de réseau. Pour plus d'informations, voir Modules d'écoute pour les équilibreurs de charge de réseau.
- POLITIQUE D'ÉQUILIBRAGE DE CHARGE DE RÉSEAU
- Une politique d'équilibrage de charge de réseau indique à l'équilibreur de charge de réseau la façon dont le trafic entrant doit être réparti entre les serveurs dorsaux. Les politiques d'équilibrage de charge communes incluent :
- Hachage à 5 tuples
- Hachage à 3 tuples
- Hachage à 2 tuples
- RÉGIONS ET DOMAINES DE DISPONIBILITÉ
- Le service d'équilibreur de charge de réseau gère le trafic des applications entre les domaines de disponibilité d'une région . Une région est une zone géographique précise, tandis qu'un domaine de disponibilité comprend un ou plusieurs centres de données à l'intérieur d'une région. Une région est composée de plusieurs domaines de disponibilité. Pour plus d'informations, voir Régions et domaines de disponibilité.
- SOUS-RÉSEAU
- Subdivision que vous définissez dans un réseau en nuage virtuel, par exemple 10.0.0.0/24 et 10.0.1.0/24. Un sous-réseau est constitué d'un intervalle contigu d'adresses IP qui ne chevauchent pas d'autres sous-réseaux dans le réseau en nuage virtuel. Pour chaque sous-réseau, vous spécifiez les règles d'acheminement et de sécurité applicables. Pour plus d'informations sur les sous-réseaux, voir Gestion des réseaux VCN et des sous-réseaux et Intervalles d'adresses IP publiques.
- MARQUEURS
-
Vous pouvez appliquer des marqueurs à vos ressources afin de les organiser en fonction des besoins de l'entreprise. Vous pouvez appliquer des marqueurs au moment de la création d'une ressource, ou vous pouvez mettre à jour la ressource plus tard avec les marqueurs souhaités. Pour des informations générales sur l'application de marqueurs, voir Marqueurs de ressource.
- RÉSEAU EN NUAGE VIRTUEL (VCN)
- Réseau privé que vous configurez dans les centres de données Oracle, avec des règles de pare-feu et des types de passerelle de communication spécifiques que vous pouvez utiliser. Un réseau en nuage virtuel couvre un bloc CIDR IPv4 contigu unique de votre choix dans les intervalles d'adresses IP autorisés. Il vous faut au moins un réseau en nuage virtuel avant de lancer un équilibreur de charge de réseau. Pour plus d'informations sur la configuration des réseaux en nuage virtuels, voir Aperçu du service de réseau.
- VISIBILITÉ
- Indique si l'équilibreur de charge de réseau est public ou privé.
- DEMANDE DE TRAVAIL
- Objet indiquant l'état courant d'une demande d'équilibreur de charge de réseau. L'équilibreur de charge de réseau traite les demandes de manière synchrone. Chaque demande retourne un ID de demande de travail (OCID) comme réponse. Vous pouvez afficher l'élément de demande de travail pour voir le statut de la demande. Pour plus d'informations, voir Demandes de travail pour les équilibreurs de charge de réseau.
Identificateurs de ressource
La plupart des types de ressource Oracle Cloud Infrastructure ont un identifiant unique affecté par Oracle, appelé OCID (identificateur Oracle Cloud). Pour plus d'informations sur le format des OCID et sur les autres moyens d'identifier vos ressources, voir Identificateurs de ressource.
Méthodes d'accès à Oracle Cloud Infrastructure
Vous pouvez accéder à Oracle Cloud Infrastructure (OCI) à l'aide de la console (interface basée sur un navigateur), de l'API REST, ou de l'interface de ligne de commande OCI. Les instructions relatives à la console, à l'API et à l'interface de ligne de commande sont incluses dans les rubriques de cette documentation. Pour consulter la liste des trousses SDK disponibles, voir Trousses SDK et interface de ligne de commande.
Surveillance des ressources
Vous pouvez surveiller l'état, la capacité et la performance des ressources Oracle Cloud Infrastructure à l'aide de mesures, d'alarmes et d'avis. Pour plus d'informations, voir Surveillance et Avis.
Pour plus d'informations sur la surveillance du trafic passant par votre équilibreur de charge de réseau, voir Mesures de l'équilibreur de charge du réseau.
Authentification et autorisation
Chaque service d'Oracle Cloud Infrastructure est intégré avec le service GIA aux fins d'authentification et d'autorisation, pour toutes les interfaces (console, trousse SDK ou interface de ligne de commande et API REST).
Un administrateur d'une organisation doit configurer les groupes , les compartiments et les politiques qui déterminent les utilisateurs pouvant accéder aux services et aux ressources, ainsi que le type d'accès. Par exemple, les politiques contrôlent qui peut créer des utilisateurs, créer et gérer le réseau en nuage, créer des instances, créer des seaux, télécharger des objets, etc. Pour plus d'informations, voir Gestion des domaines d'identité. Pour obtenir des détails précis sur la définition de politiques pour chacun des différents services, voir Référence liée aux politiques.
Si vous êtes un utilisateur ordinaire (pas un administrateur) qui doit utiliser les ressources Oracle Cloud Infrastructure de la société, demandez à un administrateur de configurer un ID utilisateur pour vous. L'administrateur vous indiquera les compartiments que vous pouvez utiliser.
Limites pour les équilibreurs de charge de réseau
Chaque équilibreur de charge présente les limites de configuration suivantes :
- Une adresse IPv4 et une adresse IPv6
- 50 jeux dorsaux
- 512 serveurs dorsaux par jeu dorsal
- 1 024 serveurs dorsaux au total
- 50 modules d'écoute
- Limite par défaut de 330 000 connexions concurrentes par domaine de disponibilité
Pour la liste des limites applicables et les instructions de demande d'augmentation de limite, voir Limites par service.
Politiques GIA requises
Pour utiliser Oracle Cloud Infrastructure, un administrateur doit être membre d'un groupe auquel l'accès de sécurité est accordé dans une politique par un administrateur de location. Cet accès est requis que vous utilisiez la console ou l'API REST avec une trousse SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message indiquant que vous ne disposez pas de l'autorisation requise, vérifiez auprès de l'administrateur de la location quel type d'accès vous avez et dans quel compartiment votre accès fonctionne.
Pour les administrateurs : Pour une politique standard qui permet d'accéder aux équilibreurs de charge et à leurs composants, voir Permettre aux administrateurs de réseau de gérer les équilibreurs de charge.
Notez également qu'un énoncé de politique contenant inspect load-balancers permet au groupe spécifié de voir toutes les informations sur les équilibreurs de charge. Pour plus d'informations, voir Informations détaillées sur le service d'équilibrage de charge.
Pour en connaître davantage sur les politiques, voir Introduction aux politiques et Politiques communes.
Politiques d'équilibrage de charge de réseau
Après avoir créé un équilibreur de charge de réseau, vous pouvez appliquer des politiques pour contrôler la répartition du trafic vers vos serveurs dorsaux. Voir Création d'un équilibreur de charge de réseau.
Le service Équilibreur de charge de réseau prend en charge trois types de politique principaux :
-
Hachage à 5 tuples : Achemine le trafic entrant en fonction d'un hachage à 5 tuples (adresse IP et port sources, adresse IP et port de destination, protocole). Il s'agit de la politique d'équilibrage de charge de réseau par défaut.Note
Lorsque le protocole du module d'écoute IP L3 est sélectionné, l'équilibreur de charge ne prend pas en charge les politiques de hachage à 5 tuples. - Hachage à 3 tuples : Achemine le trafic entrant en fonction d'un hachage à 3 tuples (adresse IP source, adresse IP de destination, protocole).
- Hachage à 2 tuples : Achemine le trafic entrant en fonction d'un hachage à 2 tuples (adresse IP source, adresse IP de destination).
La politique de hachage à 5 tuples assure l'affinité de session au sein d'une session TCP ou UDP donnée, où les paquets de la même session sont dirigés vers le même serveur dorsal derrière l'équilibreur de charge de réseau flexible. Utilisez une politique d'équilibrage de charge de réseau à 3 ou à 2 tuples pour fournir une affinité de session au-delà de la durée de vie d'une session donnée.
Lorsque le traitement de charge ou de capacité varie sur les serveurs dorsaux, vous pouvez préciser chacun de ces types de politique à l'aide d'une pondération des serveurs dorsaux. La pondération a une incidence sur la proportion des demandes adressées à chaque serveur. Par exemple, un serveur doté d'une pondération de 3 reçoit trois fois plus de connexions qu'un serveur d'une pondération de 1. Vous affectez des pondérations en fonction des critères de votre choix, notamment la capacité de gestion du trafic de chaque serveur. Les valeurs de pondération doivent être comprises entre 1 et 100.
Temporisation d'inactivité des connexions
L'équilibreur de charge de réseau assure le suivi de l'état de tous les flux TCP et UDP qui le traversent. Une combinaison de protocole IP et d'adresses IP source et de destination définit un flux. Le flux peut être supprimé en l'absence de trafic provenant du client ou du serveur pendant un intervalle dépassant la temporisation d'inactivité. Tous les paquets TCP reçus après la temporisation d'inactivité sont supprimés. Pour les flux UDP, un paquet ultérieur est considéré comme un nouveau flux et acheminé vers un nouveau serveur dorsal.
La durée de la temporisation d'inactivité est de 6 minutes pour les flux TCP et de 2 minutes pour les flux UDP. Vous pouvez ajuster ces temps lors de la création d'un module d'écoute pour un équilibreur de charge de réseau, ainsi que lors de la modification d'un module d'écoute existant. Pour plus d'informations, voir Modification de la temporisation d'inactivité d'un module d'écoute.
Journalisation
Les activités d'équilibrage de charge de réseau sont enregistrées dans les journaux de flux du réseau en nuage virtuel (VCN). Voir Journaux de flux du réseau en nuage virtuel pour plus d'informations.
Chiffrement
Le service d'équilibreur de charge de réseau ne modifie pas directement le trafic qu'il reçoit. Par conséquent, pour sécuriser le trafic envoyé par l'équilibreur de charge de réseau aux serveurs dorsaux, vous êtes tenu de chiffrer les applications des serveurs dorsaux recevant le trafic. Pour intégrer la résiliation SSL à un équilibreur de charge, utilisez plutôt le service d'équilibreur de charge.