Types d'équilibreur de charge

Pour accepter le trafic à partir d'Internet, vous devez créer un équilibreur de charge public. Le service lui affecte une adresse IP publique servant de point d'entrée pour le trafic entrant. Vous pouvez associer l'adresse IP publique à un nom DNS convivial via n'importe quel fournisseur DNS.

Un équilibreur de charge public a une portée régionale. Si votre région inclut plusieurs domaines de disponibilité, un équilibreur de charge public nécessite soit un sous-réseau régional (recommandé), soit deux sous-réseaux propres à un domaine de disponibilité (propre à un domaine de disponibilité), chacun dans un domaine de disponibilité distinct. Avec un sous-réseau régional, le service Load Balancer crée un équilibreur d'équilibrage de charge principal et un équilibreur d'équilibrage de charge de secours, chacun dans un domaine d'accès distinct, afin de garantir l'accessibilité même lors d'une coupure d'un domaine d'accès. Si vous créez un équilibreur de charge dans deux sous-réseaux propres à un domaine de disponibilité, un des sous-réseaux héberge l'équilibreur de charge principal tandis que l'autre héberge l'équilibreur de charge de secours. En cas d'échec de l'équilibreur de charge principal, l'adresse IP publique bascule vers l'équilibreur de charge secondaire. Le service traite les deux équilibreurs de charge comme étant égaux et vous ne pouvez pas indiquer lequel est le principal.

Que vous utilisiez des sous-réseaux régionaux ou des sous-réseaux propres à un domaine de disponibilité, chaque équilibreur de charge requiert une adresse IP privée fournie par son sous-réseau hôte. Le service Load Balancer fournit une adresse IP publique flottante à l'équilibreur de charge principal. L'adresse IP publique flottante ne provient pas des sous-réseaux back-end.

Si votre région ne contient qu'un seul domaine de disponibilité, le service requiert un seul sous-réseau régional ou propre à un domaine de disponibilité pour héberger l'équilibreur de charge principal et celui de secours. L'équilibreur de charge principal et celui de secours requièrent chacun une adresse IP privée fournie par le sous-réseau hôte, en plus de l'adresse IP publique flottante affectée. En cas de coupure d'un domaine de disponibilité, l'équilibreur de charge ne peut pas effectuer de basculement.

Pour isoler votre équilibreur de charge d'Internet et simplifier votre posture de sécurité, vous pouvez créer un équilibreur de charge privé. Le service Load Balancer lui affecte une adresse IP privée servant de point d'entrée pour le trafic entrant.

Lorsque vous créez un équilibreur de charge privé, le service n'a besoin que d'un seul sous-réseau pour héberger l'équilibreur de charge principal et celui de secours. L'équilibreur de charge peut être régional ou propre à un domaine de disponibilité, selon la portée du sous-réseau hôte. L'équilibreur de charge est accessible uniquement à partir du réseau cloud virtuel qui contient le sous-réseau hôte. Vous pouvez en restreindre davantage l'accès à l'aide de règles de sécurité.

L'adresse IP privée flottante affectée est propre au sous-réseau hôte. L'équilibreur de charge principal et celui de secours requièrent chacun une adresse IP privée supplémentaire fournie par le sous-réseau hôte.

En cas de coupure d'un domaine de disponibilité, la capacité de basculement est assurée par un équilibreur de charge privé créé dans un sous-réseau régional d'une région à plusieurs domaines de disponibilité. Un équilibreur de charge privé créé dans un sous-réseau propre à un domaine de disponibilité ou dans un sous-réseau régional d'une région à un seul domaine de disponibilité ne peut pas assurer la capacité de basculement en cas de coupure d'un domaine de disponibilité.

L'équilibreur de charge contient un ensemble de back-ends afin d'acheminer le trafic entrant vers vos instances de calcul. L'ensemble de back-ends est une entité logique qui inclut les éléments suivants :

• Liste des serveurs back-end
• Stratégie d'équilibrage de charge
• Stratégie de vérification de l'état
• Traitement SSL facultatif
• Configuration de la persistance de session facultative

Les serveurs back-end (instances de calcul) associés à un ensemble de back-ends peuvent se trouver à n'importe quel emplacement, à condition que les groupes de sécurité réseau, les listes de sécurité et les tables de routage associés autorisent le flux de trafic prévu.

Si votre réseau cloud virtuel utilise des groupes de sécurité réseau, vous pouvez associer votre équilibreur de charge à un groupe de sécurité réseau. Un groupe de sécurité réseau contient un ensemble de règles de sécurité qui contrôle les types autorisés de trafic entrant et sortant. Les règles s'appliquent uniquement aux ressources du groupe. Contrairement aux règles des groupes de sécurité réseau, les règles des listes de sécurité s'appliquent à toutes les ressources de tous les sous-réseaux qui utilisent la liste. Pour plus d'informations sur les groupes de sécurité réseau, reportez-vous à Groupes de sécurité réseau.

Si vous préférez utiliser des listes de sécurité pour le réseau cloud virtuel, le service Load Balancer peut vous suggérer des règles de liste de sécurité appropriées. Vous pouvez également les configurer vous-même via le service Networking. Pour plus d'informations, reportez-vous à Listes de sécurité.

Reportez-vous à Règles de sécurité pour obtenir une comparaison détaillée entre les groupes de sécurité réseau et les listes de sécurité.

Nous vous recommandons de créer votre équilibreur de charge dans un sous-réseau régional.

Nous vous recommandons de répartir vos serveurs back-end entre tous les noms de domaine de disponibilité de la région.

Pour créer un système rudimentaire doté d'un équilibreur de charge fonctionnel, vous devez effectuer les opérations suivantes :

• Pour un équilibreur de charge public, créez un réseau cloud virtuel avec une passerelle Internet et un sous-réseau public régional.
  Remarque
  
  vous ne pouvez pas indiquer de sous-réseau privé pour votre équilibreur de charge public.
• Pour un équilibreur de charge privé, créez un réseau cloud virtuel avec au moins un sous-réseau privé.
• Créez au moins deux instances de calcul, chacune dans un domaine de disponibilité distinct.
• Créez un équilibreur de charge.
• Créez un ensemble de back-ends avec une stratégie de vérification de l'état.
• Ajoutez des serveurs back-end (instances de calcul) à l'ensemble de back-ends.
• Créez un processus d'écoute avec un traitement SSL facultatif.
• Mettez à jour les règles de sécurité du sous-réseau de l'équilibreur de charge de façon à autoriser le trafic prévu.

L'équilibreur de charge ne répond pas directement à un paquet ping ICMP ou TCP/UDP client. A la place, l'équilibreur de charge dirige le paquet vers un serveur back-end conformément à la stratégie d'équilibrage de charge. Le serveur back-end renvoie ensuite une réponse au client. Vous pouvez utiliser tout autre outil, tel que cURL, openssl ou simplement ouvrir le client dans le navigateur, pour tester la connectivité de l'équilibreur de charge.