Introduzione al load balancer di rete
Scopri come i load balancer di rete possono fornire la distribuzione automatica del traffico da un unico punto di accesso a più server in un set backend.
Modalità operative
Network Load Balancer è un servizio di bilanciamento del carico che opera ai livelli 3 e 4 del modello OSI (Open Systems Interconnection). Questo servizio offre i vantaggi dell'alta disponibilità e offre throughput elevato pur mantenendo una latenza ultra bassa. Sono disponibili tre modalità in Network Load Balancer in cui è possibile operare:
- Modalità NAT (Network Address Translation) completa: il load balancer di rete converte sia l'indirizzo IP di origine che l'indirizzo IP di destinazione del pacchetto prima di inviarlo al backend.
- Modalità di conservazione dell'origine: il load balancer di rete esegue un NAT di destinazione dal listener VIP (Network Load Balancer) all'indirizzo IP del server backend. Tuttavia, conserva le informazioni originali dell'indirizzo IP/porta di origine prima di inviarle al server backend.
- Modalità Trasparente (conservazione origine/destinazione): il load balancer di rete non modifica alcuna informazione nel pacchetto. Questa modalità inoltra i pacchetti ai server backend, funzionando efficacemente come un "bump-in-the-wire". Questa modalità richiede che il traffico venga indirizzato attraverso di essa utilizzando una voce della tabella di instradamento VCN.
La tabella riportata di seguito risponde alle domande relative alle modalità operative del load balancer di rete.
| Modalità | Altri nomi | Dove è abilitato? | Il traffico client utilizza il listener? | Supporto per i load balancer della rete pubblica? | Supporto per i load balancer di rete privati? |
|---|---|---|---|---|---|
| NAT completo | Nessuna. | Abilitato disabilitando sia la modalità di conservazione dell'intestazione di origine che quella di conservazione dell'intestazione di origine/destinazione. | Sì | Sì | Sì |
| Conservazione dell'intestazione di origine (IP/ porta) |
|
Abilitato mediante la configurazione del set backend (creazione o modifica). | Sì | Sì | Sì |
| Conservazione dell'intestazione di origine/destinazione (IP/ porta) |
|
Abilitato nella pagina Dettagli load balancer di rete. | N | N | Sì |
Tipi di load balancer di rete
Il servizio Load balancer di rete flessibile ti consente di creare un load balancer di rete pubblico o privato nella tua VCN. Un load balancer di rete pubblica dispone di un indirizzo IP pubblico accessibile da Internet. Un load balancer di rete privata dispone di un indirizzo IP della subnet di hosting, visibile solo all'interno della VCN. È possibile configurare diversi listener per un indirizzo IP per il bilanciamento del carico del traffico di livello 4 (TCP/UDP/ICMP). I load balancer pubblici e privati possono instradare il traffico dati a qualsiasi server backend che si trova all'interno della VCN.
Load balancer di rete pubblica
Per accettare il traffico da Internet, creare un load balancer di rete pubblica. Il servizio gli assegna un indirizzo IP pubblico che funge da punto di ingresso per il traffico in entrata. Associa l'indirizzo IP pubblico a un nome DNS descrittivo tramite qualsiasi fornitore DNS.
Un load balancer di rete pubblica può avere un ambito specifico a livello regionale o di dominio di disponibilità. Questo ambito è determinato dalla subnet in cui viene creato il load balancer di rete. Un load balancer di rete pubblica creato in una subnet regionale ha un ambito regionale. Un load balancer di rete pubblica creato in una subnet specifica del dominio di disponibilità è un ambito specifico del dominio di disponibilità. Il load balancer di rete garantisce alta disponibilità e accessibilità anche quando uno dei domini di disponibilità presenta un'interruzione.
Non è possibile specificare una subnet privata per il load balancer pubblico. Per ulteriori informazioni, vedere Subnet pubbliche e private.
Load balancer di rete privato
Per isolare il load balancer di rete da Internet e semplificare la postura della sicurezza, creare un load balancer di rete privata. Il load balancer di rete gli assegna un indirizzo IP privato che funge da punto di accesso per il traffico in entrata. Il load balancer di rete è accessibile solo dall'interno della VCN che contiene la subnet regionale dell'host o come ulteriormente limitato dalle regole di sicurezza.
Un load balancer di rete privata può avere un ambito specifico a livello regionale o di dominio di disponibilità. Questo ambito è determinato dalla subnet in cui viene creato il load balancer di rete.
Raggiungibilità del load balancer di rete
Il load balancer di rete non risponde direttamente a un pacchetto di ping ICMP o TCP/UDP client. Invece, il load balancer di rete indirizza il pacchetto a un server backend in conformità al criterio di bilanciamento del carico. Il server backend restituisce quindi una risposta al client.
Solo i load balancer di rete privata supportano il protocollo ICMP. Il load balancer di rete deve inoltre disporre della funzione di conservazione dell'intestazione di origine/destinazione (IP, porta) abilitata. Se questa funzione non è abilitata o se si utilizza un load balancer di rete pubblica, è possibile verificare la raggiungibilità del load balancer di rete tramite i protocolli TCP/UDP (Listener-enabled Protocol) disponibili.
Utilizzo di un load balancer di rete privato come destinazione di instradamento hop successivo con instradamento del transito VCN
Utilizza un load balancer di rete privata come destinazione di instradamento IP privato next-hop con l'instradamento del transito della VCN. Questo metodo consente al load balancer di rete di operare come un load balancer trasparente di livello 3 integrato nel cavo a cui vengono inoltrati i pacchetti lungo il percorso verso la destinazione finale. Il instradamento del transito si riferisce a una topologia di rete in cui la rete on premise utilizza una rete cloud virtuale (VCN) connessa per raggiungere le risorse o i servizi Oracle oltre tale rete VCN. Connettere la rete in locale alla rete VCN con FastConnect o VPN da sito a sito, quindi configurare l'instradamento della VCN in modo che il traffico trasferisca attraverso la VCN alla relativa destinazione oltre la VCN. Per ulteriori informazioni, consulta la sezione relativa al instradamento del transito all'interno di una VCN hub.
Il load balancer di rete instrada il traffico utente alle istanze firewall ospitate dietro il load balancer di rete nella VCN dell'hub utilizzando le tabelle di instradamento della VCN. Questo traffico utente che altrimenti fluirebbe dall'origine direttamente alla destinazione. In questa modalità, il load balancer di rete non modifica le caratteristiche dei pacchetti client e conserva le informazioni sull'intestazione IP di origine e destinazione del client. Questo metodo consente alle appliance firewall di ispezionare il pacchetto client originale e applicare i criteri di sicurezza prima di inoltrarlo ai server backend delle applicazioni nelle reti VCN spoke.
Di seguito viene illustrata l'architettura del load balancer di rete.
|
Destinazione |
Oggetto |
|---|---|
|
10.0.0.0/24 |
IP VIP Flex-NLB |
|
10.1.0.0/24 |
IP VIP Flex-NLB |
|
Destinazione |
Oggetto |
|---|---|
|
172.16.0.0/16 |
DRG |
|
Destinazione |
Oggetto |
|---|---|
|
0.0.0.0/0 |
IGW |
|
Destinazione |
Oggetto |
|---|---|
|
10.0.0.0/24 |
GPL Web Hub |
|
10.1.0.0/24 |
DB hub - GPL |
|
Destinazione |
Oggetto |
|---|---|
|
0.0.0.0/0 |
FW Trust Int IP |
Tutti i load balancer di rete
Il load balancer di rete dispone di un set backend per instradare il traffico in entrata alle istanze di computazione. Il set backend è un'entità logica che include:
- Una lista di server backend
- Un criterio di bilanciamento del carico
- Un criterio di controllo dello stato
I server backend (istanze di computazione) associati a un set backend possono esistere ovunque, a condizione che i gruppi di sicurezza di rete (NSG) associati, le liste di sicurezza e le tabelle di instradamento consentano il flusso di traffico previsto.
Se la tua VCN utilizza gruppi di sicurezza di rete (NSG), puoi associare il load balancer a un gruppo NSG. Un gruppo NSG dispone di un set di regole di sicurezza che controlla i tipi di traffico in entrata e in uscita consentiti. Le regole si applicano solo alle risorse del gruppo. Confrontare i gruppi NSG con una lista di sicurezza in cui le regole sono valide per tutte le risorse presenti in qualsiasi subnet che utilizza la lista. Per ulteriori informazioni sui gruppi NSG, vedere Gruppi di sicurezza di rete.
Se preferisci utilizzare gli elenchi di sicurezza per la tua VCN, il servizio di bilanciamento del carico può suggerire le regole appropriate per gli elenchi di sicurezza. È inoltre possibile configurarle personalmente tramite il servizio di networking. Per ulteriori informazioni, vedere Elenchi di sicurezza. Per informazioni dettagliate sul confronto dei gruppi NSG e delle liste di sicurezza, vedere Regole di sicurezza.
Ti consigliamo di distribuire i tuoi server backend in tutti i domini di disponibilità all'interno dell'area.
Consumo indirizzo IP privato
Un load balancer di rete pubblica creato in una subnet pubblica utilizza un indirizzo IP privato della subnet host.
Un load balancer di rete privata creato in una singola subnet utilizza un indirizzo IP privato della subnet host.
Concetti sul load balancer di rete
- SERVER BACKEND
- Application Server responsabile della generazione del contenuto in risposta al traffico client in entrata. In genere si identificano gli Application Server con una combinazione univoca di indirizzo e porta IPv4 di tipo overlay (privato), ad esempio 10.10.10.1:8080 e 10.10.10.2:8080. Per ulteriori informazioni, vedere Server backend per load balancer di rete.Nota
Il server backend non può funzionare sia come client che come backend contemporaneamente in quanto non è in grado di avviare il traffico verso l'IP virtuale (VIP) del load balancer di rete. - SET BACKEND
- Entità logica definita da una lista di server backend, un criterio di bilanciamento del carico e un criterio di controllo dello stato. Il set backend decide il modo in cui il load balancer di rete indirizza il traffico alla raccolta di server backend. Per ulteriori informazioni, vedere Set di backend per i load balancer di rete.
- CONTROLLO STATO
-
Il controllo dello stato è un test che consente di confermare la disponibilità dei server backend. Un controllo dello stato può essere una richiesta o un tentativo di connessione. In base a un intervallo di tempo specificato, il load balancer applica il criterio di controllo dello stato per monitorare continuamente i server backend. Se un server non supera il controllo dello stato, il load balancer elimina temporaneamente la rotazione del server. Se in seguito il server supera il controllo dello stato, il load balancer lo riporta alla rotazione.
Configurare il criterio di controllo dello stato quando si crea un set backend. È possibile configurare i controlli dello stato a livello TCP, UDP o HTTP per i server backend.
- I controlli dello stato a livello TCP tentano di eseguire una connessione TCP con i server backend e convalidano la risposta in base allo stato della connessione.
- I controlli dello stato a livello UDP tentano di effettuare una connessione UDP con i server backend e convalidarla in base allo stato della connessione.
- I controlli dello stato a livello HTTP consentono di inviare le richieste ai server backend utilizzando un URI specifico e di convalidare la risposta in base al codice di stato o ai dati entità (corpo) restituiti.
Il servizio offre funzionalità di controllo dello stato specifiche dell'applicazione che consentono di aumentare la disponibilità e ridurre la finestra di manutenzione dell'applicazione. Per ulteriori informazioni sulla configurazione del controllo dello stato, vedere Criteri di controllo dello stato per i load balancer di rete.
- STATO INTEGRITÀ
- Un indicatore che segnala lo stato generale dei load balancer di rete e dei relativi componenti. Per ulteriori informazioni, vedere Stato di integrità per i load balancer di rete.
- LISTENER
- Entità logica che controlla il traffico in entrata sull'indirizzo IP del load balancer di rete. Puoi configurare il protocollo e il numero di porta di un listener. I protocolli supportati includono:
- UDP
- TCP
- UDP/PCP
- TCP/UDP/ICMP (solo privato)
- IP L3
Nota
I load balancer di rete privata supportano il protocollo ICMP solo se la funzione di conservazione dell'intestazione di origine/destinazione (IP, porta) è abilitata. Per ulteriori informazioni, vedere Abilitazione della conservazione dell'origine del set backend del load balancer di rete. Per ulteriori informazioni, vedere Ascolti per i load balancer di rete.
- CRITERI DI BILANCIAMENTO DEL CARICO DI RETE
- Un criterio di bilanciamento del carico di rete indica al load balancer di rete come distribuire il traffico in entrata ai server backend. Di seguito sono riportati i criteri comuni per il load balancer.
- Hash a 5 tuple
- Hash a 3 tuple
- Hash a 2 tuple
- AREE E DOMINI DI DISPONIBILITÀ
- Il servizio Load balancer di rete gestisce il traffico delle applicazioni tra i domini di disponibilità all'interno di un'regione . Un'area è un'area geografica localizzata, mentre un dominio di disponibilità è costituito da uno o più centri dati situati all'interno di un'area. Un'area è composta da diversi domini di disponibilità. Per ulteriori informazioni, vedere Aree e domini di disponibilità.
- SUBNET
- Suddivisione definita in una rete cloud virtuale (VCN), ad esempio 10.0.0.0/24 e 10.0.1.0/24. Una subnet è costituita da un intervallo contiguo di indirizzi IP che non si sovrappongono ad altre subnet nella VCN. Per ogni subnet, è possibile specificare le regole di instradamento e sicurezza ad essa applicabili. Per ulteriori informazioni sulle subnet, vedere Gestione di VCN e subnet e Intervalli di indirizzi IP pubblici.
- TAG
-
Puoi applicare tag alle tue risorse per aiutarti a organizzarle in base alle tue esigenze aziendali. È possibile applicare le tag al momento della creazione di una risorsa oppure aggiornare la risorsa in un secondo momento con le tag desiderate. Per informazioni generali sull'applicazione delle tag, vedere Tag risorsa.
- RETE CLOUD VIRTUALE (VCN)
- Una rete privata impostata nei data center Oracle, con regole firewall e tipi specifici di gateway delle comunicazioni che è possibile scegliere di utilizzare. Una VCN copre un singolo blocco CIDRIPv4 CIDR IPv4 contiguo di tua scelta negli intervalli di indirizzi IP consentiti. Prima di avviare un load balancer di rete, è necessaria almeno una rete cloud virtuale. Per informazioni sull'impostazione delle reti cloud virtuali, vedere Panoramica della rete.
- VISIBILITÀ
- Specifica se il load balancer di rete è pubblico o privato.
- RICHIESTA DI LAVORO
- Oggetto che segnala lo stato corrente di una richiesta del load balancer di rete. Il load balancer di rete gestisce le richieste in modo asincrono. Ogni richiesta restituisce un ID richiesta di lavoro (OCID) come risposta. È possibile visualizzare l'elemento della richiesta di lavoro per visualizzare lo stato della richiesta. Per ulteriori informazioni, vedere Richieste di lavoro per i load balancer di rete.
Identificativi risorsa
La maggior parte dei tipi di risorse Oracle Cloud Infrastructure ha un identificativo univoco assegnato da Oracle chiamato OCID (Oracle Cloud ID). Per informazioni sul formato OCID e su altri modi per identificare le risorse, vedere Identificativi delle risorse.
Modi per accedere a Oracle Cloud Infrastructure
Puoi accedere a Oracle Cloud Infrastructure (OCI) utilizzando la console (un'interfaccia basata su browser), l'API REST o l'interfaccia CLI OCI. Le istruzioni per l'uso della console, dell'API e dell'interfaccia CLI sono incluse negli argomenti della presente documentazione. Per un elenco di SDK disponibili, consulta Software Development Kits and Command Line Interface.
Monitoraggio delle risorse
Puoi monitorare lo stato, la capacità e le prestazioni delle risorse Oracle Cloud Infrastructure utilizzando metriche, allarmi e notifiche. Per ulteriori informazioni vedere Monitoraggio e Notifiche.
Per informazioni sul monitoraggio del traffico che attraversa il load balancer di rete, vedere Metriche del load balancer di rete.
Autenticazione e autorizzazione
Ogni servizio in Oracle Cloud Infrastructure si integra con IAM per l'autenticazione e l'autorizzazione, per tutte le interfacce (console, SDK o CLI e API REST).
Un amministratore di un'organizzazione deve impostare i gruppi , i compartimenti e i criteri che controllano gli utenti che possono accedere ai servizi, alle risorse e al tipo di accesso. Ad esempio, i criteri controllano chi può creare nuovi utenti, creare e gestire la rete cloud, creare istanze, creare bucket, scaricare oggetti e così via. Per ulteriori informazioni, vedere Gestione dei domini di Identity. Per dettagli specifici sulla scrittura dei criteri relativi a ognuno dei vari servizi, consulta il riferimento per i criteri.
Se sei un utente normale (non un amministratore) che deve utilizzare le risorse Oracle Cloud Infrastructure di proprietà dell'azienda, contatta un amministratore per impostare un ID utente. L'amministratore può confermare quale compartimento o compartimenti è possibile utilizzare.
Limiti dei load balancer di rete
Ogni load balancer ha i seguenti limiti di configurazione:
- Un indirizzo IPv4 e un indirizzo IPv6
- 50 set backend
- 512 server backend per set backend
- 1024 server backend in totale
- 50 listener
- Limite predefinito di 330.000 connessioni concorrenti per dominio di disponibilità
Per un elenco dei limiti applicabili e le istruzioni per richiedere un aumento del limite, consulta i limiti del servizio
Criteri IAM necessari
Per utilizzare Oracle Cloud Infrastructure, un amministratore deve essere un membro di un gruppo a cui è stato concesso l'accesso di sicurezza in un criterio da un amministratore della tenancy. Questo accesso è necessario se si utilizza la console o l'API REST con un SDK, un'interfaccia CLI o un altro strumento. Se viene visualizzato un messaggio che informa che non si dispone dell'autorizzazione o che non si è autorizzati, verificare con l'amministratore della tenancy il tipo di accesso di cui si dispone e il compartimento in cui funziona l'accesso.
Per gli amministratori: per un criterio standard che consente l'accesso ai load balancer e ai relativi componenti, vedere Consenti agli amministratori di rete di gestire i load balancer.
Inoltre, tenere presente che un'istruzione dei criteri con inspect load-balancers consente al gruppo specificato di visualizzare tutte le informazioni sui load balancer. Per ulteriori informazioni, vedere Dettagli per il bilanciamento del carico.
Se non si ha familiarità con i criteri, vedere Introduzione ai criteri e Criteri comuni.
Criteri del load balancer di rete
Dopo aver creato un load balancer di rete, puoi applicare i criteri per controllare la distribuzione del traffico ai tuoi server backend. Vedere Creazione di un load balancer di rete.
Il servizio Load balancer di rete supporta tre tipi di criteri del load balancer di rete primario:
- Hash a 5 tuple: instrada il traffico in entrata in base all'hash a 5 tuple (IP e porta di origine, IP e porta di destinazione, protocollo). Questo è il criterio del load balancer di rete predefinito.Nota
Quando è selezionato il protocollo del listener IP L3, il load balancer non supporta i criteri hash a 5 tuple. - Hash a 3 tuple: instrada il traffico in entrata in base all'hash a 3 tuple (IP di origine, IP di destinazione, protocollo).
- Hash a 2 tuple: instrada il traffico in entrata in base all'hash a 2 tuple (IP di origine, IP di destinazione).
Il criterio hash a 5 tuple fornisce l'affinità di sessione all'interno di una determinata sessione TCP o UDP, in cui i pacchetti nella stessa sessione vengono indirizzati allo stesso server backend dietro il load balancer di rete flessibile. Utilizzare un criterio di bilanciamento del carico di rete a 3 tuple o a 2 tuple per fornire affinità di sessione oltre la durata di una determinata sessione.
Quando il carico o la capacità di elaborazione varia tra i server backend, puoi perfezionare ciascuno di questi tipi di criteri con la ponderazione del server backend. La ponderazione influisce sulla proporzione di richieste indirizzate a ciascun server. Ad esempio, un server ponderato come 3 riceve tre volte il numero di connessioni come server ponderato come 1. I pesi vengono assegnati in base ai criteri scelti, ad esempio la capacità di gestione del traffico di ciascun server. I valori del peso devono essere compresi tra 1 e 100.
Timeout connessioni inattive
Il load balancer di rete tiene traccia dello stato di tutti i flussi TCP e UDP che lo attraversano. Una combinazione di protocollo IP, indirizzi IP di origine e destinazione e porte definisce un flusso. Il flusso può essere rimosso se non viene ricevuto traffico dal client o dal server per un periodo più lungo del timeout di inattività. Tutti i pacchetti TCP ricevuti dopo il timeout di inattività vengono eliminati. Per i flussi UDP, un pacchetto successivo viene considerato come un nuovo flusso e instradato a un nuovo server backend.
La durata del timeout di inattività per i flussi TCP è di 6 minuti e per i flussi UDP è di 2 minuti. È possibile modificare questi orari durante la creazione di un listener per un load balancer di rete e anche durante la modifica di un listener esistente. Per ulteriori informazioni, vedere Modifica del timeout di inattività di un listener.
Log
Le attività di bilanciamento del carico di rete vengono registrate tramite i log di flusso della rete cloud virtuale (VCN). Per ulteriori informazioni, vedere Log di flusso VCN.
Cifratura
Il servizio Load balancer di rete non modifica direttamente alcun traffico ricevuto. Pertanto, per proteggere il traffico inviato tramite il load balancer di rete ai backend, si è responsabili della cifratura delle applicazioni nei backend che ricevono il traffico. Per incorporare l'interruzione SSL in un load balancer, utilizzare invece il servizio Load balancer.