Remarques :

• Ce tutoriel nécessite un accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, reportez-vous à Introduction à Oracle Cloud Infrastructure Free Tier.
• Il utilise des exemples de valeurs pour les informations d'identification, la location et les compartiments Oracle Cloud Infrastructure. Lorsque vous terminez votre atelier, remplacez ces valeurs par celles propres à votre environnement cloud.

Mesurer l'impact de la latence d'Oracle Cloud Infrastructure Web Application Firewall sur Oracle Cloud Infrastructure Load Balancer

Introduction

Dans ce tutoriel, nous évaluons l'impact d'Oracle Cloud Infrastructure Web Application Firewall (OCI WAF) sur les performances d'un équilibreur de charge OCI à l'aide de Siege, un outil de test de charge HTTP(s) hautes performances.

En exécutant des tests de siège sur l'équilibreur de charge OCI avec ou sans OCI WAF activé, nous mesurons des mesures de performances clés telles que la latence, le débit, le taux de transaction et la simultanéité d'accès aux données. L'objectif est de comprendre combien de frais généraux OCI WAF introduit et de déterminer ses compromis entre la sécurité et les performances.

Cette analyse comparative aidera à déterminer si l'activation d'OCI WAF affecte considérablement les temps de réponse et si les avantages d'une sécurité accrue l'emportent sur le coût des performances dans un environnement à fort trafic.

Dans ce tutoriel, nous allons déployer un équilibreur de charge OCI privé avec un OCI WAF régional associé pour analyser son impact sur la latence. L'architecture se compose des éléments suivants :

• Equilibreur de charge privé : effectue les opérations sur un sous-réseau privé, en distribuant le trafic en toute sécurité sur les serveurs back-end.

• WAF régional : inspecte et filtre le trafic HTTP entrant avant de le transmettre à l'équilibreur de charge OCI.

• Serveurs back-end : deux ou trois instances Apache Tomcat s'exécutant dans des sous-réseaux privés, traitant le trafic Web de bout en bout via TLS (Transport Layer Security).

• Outil de test de charge Siebel : génère du trafic HTTP pour simuler la charge réelle et mesurer l'impact de la latence.

Pourquoi ce tutoriel est-il essentiel ?

La sécurité et les performances sont deux facteurs essentiels dans les applications cloud modernes. Bien qu'OCI WAF contribue à la protection contre les cybermenaces, il peut introduire une latence supplémentaire qui a un impact sur l'expérience utilisateur. Comprendre comment OCI WAF affecte les performances dans un équilibreur de charge OCI avec TLS de bout en bout est crucial pour les architectes et les ingénieurs visant à optimiser à la fois la sécurité et la réactivité.

Ce tutoriel fournit une approche pratique pour mesurer la latence induite par OCI WAF. Pour plus d'informations sur OCI WAF, reportez-vous à OCI WAF.

A quoi sert Oracle Cloud Infrastructure Flexible Network Load Balancer ?

Dans OCI, un équilibreur de charge flexible est un service entièrement géré qui distribue automatiquement le trafic HTTP, HTTPS et TCP sur plusieurs serveurs back-end. Elle offre évolutivité, haute disponibilité et gestion du trafic sans nécessiter d'intervention manuelle. OCI Flexible Network Load Balancer peut être facilement configuré avec la terminaison SSL/TLS, l'intégration d'OCI WAF et des fonctionnalités de routage avancées pour répondre aux besoins des applications modernes. Pour plus d'informations, reportez-vous à Oracle Cloud Infrastructure Flexible Network Load Balancer.

Architecture

Cette conception architecturale illustre une machine virtuelle client basée sur l'utilitaire de test de Siege HTTPS, se connectant à un équilibreur de charge privé qui attachera un OCI WAF local/région, avec trois serveurs back-end Apache Tomcat différents utilisant HTTPS également. Nous allons tester l'équilibreur de charge avec et sans OCI WAF.

Public

Ce tutoriel s'adresse aux architectes cloud, aux ingénieurs DevOps et aux professionnels de la sécurité qui travaillent avec OCI Load Balancer et OCI WAF. Si vous devez optimiser la sécurité sans compromettre les performances, vous pouvez utiliser ce tutoriel.

Objectifs

• Evaluez la latence et l'impact de la bande passante que la solution OCI WAF régionale introduit dans OCI Flexible Network Load Balancer. Tout au long de ce tutoriel, les utilisateurs apprendront à configurer Siege en tant qu'outil d'évaluation HTTP(S) et à configurer OCI WAF dans OCI Flexible Network Load Balancer.

Prérequis

• Une location OCI active. Vous devez disposer des droits d'accès nécessaires pour créer et gérer des ressources réseau dans OCI.

• Compréhension de base du système d'exploitation Linux, d'OCI et d'Oracle Linux, y compris comment installer et configurer des logiciels sous Linux.

• Bonne compréhension de l'utilisation de la console OCI pour créer et gérer des ressources réseau.

• Bonne compréhension de l'utilisation et de la configuration d'OCI Flexible Network Load Balancer et d'OCI WAF.

Tâche 1 : déploiement du composant de mise en réseau (VCN, sous-réseaux, équilibreur de charge OCI et OCI WAF)

1. Déployez un réseau cloud virtuel (VCN) avec au moins trois sous-réseaux (Siege, LB et WebTier) dans votre location, en utilisant un CIDRIPv4 CIDR IPv4 de votre choix ou en suivant l'architecture recommandée. Pour plus d'informations, reportez-vous aux sections suivantes :

   • Création et configuration d'un réseau cloud virtuel
   • Présentation des réseaux cloud virtuels et des sous-réseaux

2. Déployez un équilibreur de charge réseau flexible OCI avec WAF dans le sous-réseau d'équilibreur de charge OCI. Pour plus d'informations, reportez-vous aux sections suivantes :

   • Tâche 1 : déploiement local d'OCI Web Application Firewall
   • Tâche 3 : configuration de l'équilibreur de charge OCI

Pour ce test, nous avons chargé la stratégie OCI WAF avec au moins 300 règles de protection recommandées, comme suit :

Tâche 2 : déploiement des machines virtuelles dans les sous-réseaux à des fins de test

Nous devons déployer l'image Oracle Linux 9 pour installer l'outil de test HTTP appelé Siege et Apache Tomcat en tant que serveurs back-end ultérieurement.

Reportez-vous à cette documentation pour créer une machine virtuelle : Déploiement de l'instance OCI

Vous devrez déployer une machine virtuelle pour le siège dans le sous-réseau client.

Tâche 3 : installation de Siege sur Oracle Linux

1. Activez les packages supplémentaires pour le référentiel Enterprise Linux (EPEL) dans Oracle Linux. Pour plus d'informations, reportez-vous à la section How To Enable EPEL Repository on Oracle Linux 8/9.

2. Exécutez la commande suivante en tant qu'utilisateur root pour installer Siege.

   yum install siege
   

   

3. Exécutez la commande suivante pour vérifier la version de Siege.

   siege -v
   

   Vous devez voir la version actuelle de Siege avec d'autres commandes d'aide.

Tâche 4 : installation d'Apache Tomcat sur Oracle Linux

A ce stade, nous disposons d'un équilibreur de charge réseau flexible OCI sans serveur back-end configuré. Nous allons maintenant installer la version Linux d'Apache Tomcat sur Oracle Linux 8 ou 9.

1. Déployez deux ou trois machines virtuelles linux dans le sous-réseau Web Private. Pour plus d'informations, reportez-vous à Déploiement de l'instance OCI.

2. Installez le serveur Web Apache dans ces machines virtuelles. Pour plus d'informations, reportez-vous à Installation du serveur Web Apache et à Installation de Tomcat sur Oracle Linux dans Oracle Cloud.

3. Une fois les serveurs Web Apache en cours d'exécution, assurez-vous que le sous-réseau d'équilibreur de charge OCI peut atteindre le sous-réseau privé Web, ce qui autorise le trafic HTTPS vers le sous-réseau privé Web (port 443) à partir du sous-réseau d'équilibreur de charge OCI. Maintenant, pour ajouter les serveurs back-end, reportez-vous à l'étape 8 de la tâche 3 : configuration de l'équilibreur de charge OCI.

4. Accédez à la console OCI, accédez à Fonctions de réseau, à Equilibreurs de charge, à Equilibreur de charge, à Détails de l'équilibreur de charge, à Ensembles de back-ends, à Détails de l'ensemble de back-ends et cliquez sur Back-ends. Deux serveurs back-end doivent apparaître.

   

   Testez à présent les performances d'OCI Load Balancer avec et sans OCI WAF.

Tâche 5 : analyse de référence de siège - Performances de l'équilibreur de charge OCI avec et sans OCI WAF

Maintenant, l'équilibreur de charge OCI et OCI WAF sont configurés avec les serveurs back-end. Nous devons prendre certaines mesures initiales pour permettre à Siege de fonctionner via des connexions HTTPS.

Nous avons utilisé un certificat d'autorité de certification de laboratoire pour signer les certificats de serveur installés sur l'équilibreur de charge OCI et les serveurs back-end. Cependant, nous devons uniquement nous concentrer sur le certificat de serveur de l'équilibreur de charge OCI, car l'équilibreur de charge OCI mettra fin à la connexion TLS et établira une deuxième connexion TLS aux serveurs back-end. Cette seconde connexion est transparente pour Siege (le client).

Par exemple, votre fichier de certificat CA est appelé my-ca.crt :

1. Téléchargez my-ca.cert vers votre ordinateur Linux et exécutez la commande sudo cp my-ca.crt /etc/pki/ca-trust/source/anchors/. Cela copiera l'autorité de certification dans le magasin d'autorité de certification de confiance.

2. Exécutez la commande suivante pour mettre à jour le magasin d'AC sécurisé.

   sudo update-ca-trust extract
   

   ou si vous utilisez Oracle Linux 9,

   sudo update-ca-trust
   

3. Exécutez la commande suivante pour vérifier l'installation.

   openssl verify /etc/pki/ca-trust/source/anchors/my-ca.crt
   

   et répertoriez tous les certificats sécurisés.

   trust list | grep "my-ca"
   

4. Désormais, lorsque Siege se connecte à l'équilibreur de charge OCI via HTTPS, il peut vérifier le certificat reçu. Nous utilisons www.fwtest.com en tant que nom commun et nom de sujet alternatif.

   Etant donné que nous n'utilisons pas de DNS privé, il vous suffit d'ajouter l'entrée suivante à votre fichier /etc/hosts Linux :

   Adresse IP privée LB www.fwtest.com

   Par exemple :

   127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4\
   ::1         localhost localhost.localdomain localhost6 localhost6.localdomain6\
   192.168.4.99 linux9-siege-intravcntest-v2.siegesubnet.vcn1inter.oraclevcn.com linux9-siege-intravcntest-v2\
   192.168.6.237  www.fwtest.com  <--- Add this entry
   

5. Pour obtenir l'adresse IP privée de votre équilibreur de charge, accédez à Fonctions de réseau, à Equilibreurs de charge, à Equilibreur de charge et cliquez sur Détails de l'équilibreur de charge.

   

6. Si vous voulez tester la connexion TLS, y compris le certificat de serveur OCI Load Balancer que vous avez installé auparavant, exécutez la commande suivante :

   openssl s_client -connect www.fwtest.com:443 -tls1_2
   

   Vous obtiendrez quelque chose comme :

   

7. Effectuez un premier test avec Siege, 250 clients HTTPS simultanés utilisant des tailles d'en-tête HTTP aléatoires.

   siege -c 250  -t1m --header="User-Agent: $(head -c 500 </dev/urandom | base64)"  https://www.fwtest.com/request.php
   

   Lifting the server siege...\
   Transactions:              237238    hits\
   Availability:                 100.00 %\
   Elapsed time:                  60.79 secs\
   Data transferred:             192.67 MB\
   **Response time:                 27.81 ms**\
   **Transaction rate:            3902.58 trans/sec**\
   **Throughput:                     3.17 MB/sec**\
   Concurrency:                  108.51\
   **Successful transactions:   237421**\
   Failed transactions:            0\
   Longest transaction:          440.00 ms\
   Shortest transaction:           0.00 ms\
   

   Exécutez à présent la même commande sans OCI WAF.

   Lifting the server siege...
   Transactions:              238843    hits\
   Availability:                 100.00 %\
   Elapsed time:                  60.54 secs\
   Data transferred:             193.98 MB\
   **Response time:                 17.97 ms**\
   **Transaction rate:            3945.21 trans/sec**\
   **Throughput:                     3.20 MB/sec**\
   Concurrency:                   70.88\
   **Successful transactions:   239018**\
   Failed transactions:            0\
   Longest transaction:          540.00 ms\
   Shortest transaction:           0.00 ms\
   

Impact d'OCI WAF sur les performances (évaluation Siebel)

Comparaison des mesures clés :

Mesure	Avec OCI WAF	Sans OCI WAF	Impact
Transactions	237 238	238 843	-1 605 (-0,67%)
Disponibilité (%)	100.00	100.00	Aucune modification
Temps écoulé (s)	60,79	60,54	+0.25s
Données transférées (Mo)	192,67	193,98	-1.31 MB (-0.68%)
Temps de réponse (ms)	27,81	17,97	+9.84 ms (+54.8%)
Taux de transaction (trans/s)	3 902,58	3 945,21	-42.63 trans./s/s (-1.08%)
Débit (Mo/s)	3,17	3,2	-0.03 Mo/s (-0.94%)
Accès simultané	108,51	70,88	+37,63 (53,1 % de plus avec OCI WAF)

Observations et points clés à retenir :

• Augmentation du temps de réponse :

  • OCI WAF ajoute 9.84ms de latence par demande (54,8 % d'augmentation).
  • Il s'agit de l'impact le plus significatif de l'activation d'OCI WAF.

• Débit légèrement inférieur :

  • Avec OCI WAF : 3,17 Mo/s et sans OCI WAF : 3,20 Mo/s (baisse de 0,94 %).
  • La perte de bande passante due à OCI WAF est mineure, soit environ 1,31 Mo sur 60 secondes.

• Concomitance plus élevée avec OCI WAF :

  • L'accès simultané passe de 70.88 à 108.51, ce qui signifie que davantage de demandes sont en attente en raison du traitement OCI WAF.
  • Cela correspond à l'augmentation du temps de réponse.

• Impact minimal sur le taux de transactions : la baisse des transactions par seconde est de 1,08 %, ce qui est relativement faible.

Conclusion

• La latence ajoutée par OCI WAF est de +9.84ms par demande.

• Le débit et les débits de transaction voient leur impact diminuer légèrement de ~1 %.

• La simultanéité d'accès aux données est beaucoup plus élevée avec OCI WAF, ce qui signifie que davantage de demandes sont en attente en raison de la surcharge de traitement.

• Si la sécurité est une priorité, le coût d'OCI WAF est justifié. Bien que la désactivation d'OCI WAF puisse apporter une légère amélioration de la latence, l'impact d'OCI est minime et ne doit être pris en compte que dans de rares cas où une latence ultra-faible est absolument essentielle.

Note: The test results obtained using Siege depend highly on various factors, including network conditions, hardware/software configurations, and software settings specific to your environment. As such, these results may differ significantly from those in other environments. Do not use these results to make any definitive conclusions about the expected performance of your network or equipment. They should be considered as indicative rather than absolute measures of performance.

Liens connexes

• OCI Web Application Firewall

• Présentation de Web Application Firewall

• Sécurisez vos applications à l'aide du pare-feu réseau OCI et d'OCI WAF Regional avec Let's Encrypt Certificates

• Démonstration - OCI WAF sur les équilibreurs de charge

Remerciements

• Auteurs - Luis Catalán Hernández (spécialiste OCI Cloud Network et multi Cloud), Par Kansala (spécialiste OCI Cloud Network et multi Cloud), Sachin Sharma (spécialiste OCI Cloud Network),

Ressources de formation supplémentaires

Explorez d'autres ateliers sur docs.oracle.com/learn ou accédez à d'autres contenus de formation gratuits sur le canal Oracle Learning YouTube. De plus, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir la documentation produit, consultez le site Oracle Help Center.

---

Informations relatives au titre et au copyright

<

Measure Oracle Cloud Infrastructure Web Application Firewall Latency Impact on Oracle Cloud Infrastructure Load Balancer

G31156-02

Copyright ©2025, Oracle and/or its affiliates.