ロード・バランサの作成
ロード・バランサを作成して、1つのエントリ・ポイントから仮想クラウド・ネットワーク(VCN)からアクセス可能な複数のサーバーに自動的にトラフィックを分散することが可能です。
前提条件の詳細は、Load Balancer管理を参照してください。
-
ナビゲーション・メニューを開き、「ネットワーキング」をクリックして、「ロード・バランサ」をクリックします。「ロード・バランサ」をクリックします。「ロード・バランサ」ページが表示されます。
-
「リスト範囲」で、作業する権限があるコンパートメントを選択します。
ノート
(「拡張オプション」の)「管理」タブで別のコンパートメントを選択すると、ここで指定したコンパートメントではなくそのコンパートメントに、作成しているロード・バランサが含まれます。
-
「ロード・バランサの作成」をクリックします。「ロード・バランサの作成」ダイアログ・ボックスが表示されます。ロード・バランサの作成は、次のページで構成されます。
-
詳細の追加
-
バックエンドの選択
-
リスナーの構成
-
ロギングの管理
デフォルトでは、「詳細の追加」ページが最初に表示されます。次の各ワークフローを順番に実行します。前のページに戻るには、「前」をクリックします。
-
詳細の追加
次のステップを完了します:
-
ロード・バランサ名を指定します。デフォルト名を受け入れるか、ロード・バランサのフレンドリ名を入力します。一意である必要はありませんが、コンソールで変更することはできません。ただし、APIを使用して変更できます。
-
次のいずれかのオプションから「表示タイプの選択」を選択します。
-
パブリック: パブリック・ロード・バランサを作成する場合、このオプションを選択します。割り当てられたパブリックIPアドレスを受信トラフィックのフロント・エンドとして使用して、すべてのバックエンド・サーバー間のトラフィックのバランスをとることができます。「パブリックIPアドレス」オプションを選択すると、パブリックIPアドレス・タイプを選択して完了するように求められます(次を参照)。
-
プライベート: このオプションを選択して、プライベート・ロード・バランサを作成します。割り当てられたプライベートIPアドレスを内部受信VCNトラフィックのフロント・エンドとして使用して、すべてのバックエンド・サーバー間のトラフィックのバランスをとることができます。
-
-
(パブリックIPアドレスのみ)IPアドレス・タイプの選択を指定します:
-
エフェメラルIPアドレス: OracleがOracle IPプールからエフェメラルIPアドレスを指定できるようにするには、このオプションを選択します。これはデフォルトです。
-
予約済IPアドレス: 既存の予約済IPアドレスを名前で指定するか、名前を割り当ててそのアドレスのソースIPプールを選択して新しい予約済IPアドレスを作成するには、このオプションを選択します。ユーザー作成のプールを選択しない場合は、デフォルトのOracle IPプールが使用されます。
パブリックIPアドレスを参照してください。
-
-
次のいずれかのシェイプ・オプションを入力して、「帯域幅」を選択します。
-
フレキシブル・シェイプ: ロード・バランサの帯域幅シェイプのサイズ範囲の上限と下限を作成するには、「最小帯域幅」および「最大帯域幅」の値を指定します。サイズの範囲は10 Mbpsから8,000 Mbpsです。スライダを使用して値を指定するか、各スライダの左側のボックスに直接入力できます。
最小帯域幅は、ワークロードに対してすぐに準備できるように常に使用可能な帯域幅の量を示します。
最大帯域幅は、ワークロードのピーク時にロード・バランサでサポートされる帯域幅の上限の量です。
固定シェイプ・サイズ(500Mbpsなど)を指定する場合は、最小スライダと最大スライダを同じ値に設定します。
ロード・バランサを有料アカウント・ユーザーとして作成する場合、制限に基づいて様々なシェイプ・オプションを作成し、ロード・バランサの作成後にシェイプを変更して後から帯域幅を調整できます。コンソールでサービス制限と目標を表示するには、「ガバナンスと管理」→「制限、割当ておよび使用状況」に移動します。「サービス」リストから「LbaaS」を選択します。帯域幅サイズのオプションがリストされます。サービス制限を参照してください。
請求は、ロード・バランサ・ベース・インスタンスに対する1分当たりの課金に、帯域幅使用料を加えたものです。実際の使用量が指定した最小帯域幅以下の場合、最小帯域幅に対して請求されます。実際の使用量が最小帯域幅を超える場合、分単位で使用された実際の帯域幅に対して請求されます。
Always Freeオプションは、ホーム・リージョンの有料アカウントに組み込まれています。帯域幅の最初の10Mbpsは無料であり、そのように請求に示されます。
ノート
プリペイド動的(固定)シェイプ・サイズを使用する政府アカウントでは、フレキシブル帯域幅シェイプが事前に決定されたサイズを超えると、超過料金が発生するリスクがあります。フレキシブル・ロード・バランサ機能を使用する前に、契約で適切な帯域幅の量を持つフレキシブル・ロード・バランサSKUに政府アカウントを更新してください。
非ユニバーサル・クレジットSKUを使用する場合、超過料金が発生しないように、更新するシェイプが契約に含まれていることを確認してください。
ロード・バランサの作成が完了した後で、帯域幅シェイプを別のサイズに調整できます。Load Balancerの帯域幅シェイプの変更を参照してください。
-
-
ロード・バランサが受信リクエストに対してIPv6アドレスをサポートする場合は、「IPv6アドレス割当ての有効化」を選択します。Oracle Cloud InfrastructureのIPv6実装の詳細は、IPv6アドレスを参照してください。
ロード・バランサを作成する場合、オプションでIPv4/IPv6デュアルスタック構成を選択できます。IPv6オプションを選択すると、ロード・バランシング・サービスによってIPv4とIPv6アドレスの両方がロード・バランサに割り当てられます。ロード・バランサは、割り当てられたIPv6アドレスに送信されるクライアント・トラフィックを受信します。ロード・バランサは、IPv4アドレスのみを使用してバックエンド・サーバーと通信します。ロード・バランサとバックエンド・サーバーは、IPv6通信を使用しません。
IPv6アドレスの割当ては、ロード・バランサの作成時にのみ行われます。既存のロード・バランサにIPv6アドレスを割り当てることはできません。
-
ネットワーキングの選択を構成します。現在のコンパートメントに少なくとも1つのVCNが含まれている場合、コンソールには選択するVCNのリストが表示されます。
-
<compartment>内の仮想クラウド・ネットワーク: ロード・バランサのVCNを指定します。
デフォルトでは、現在作業しているコンパートメント内のVCNのリストがコンソールに表示されます。別のコンパートメントからVCNを選択するには、「コンパートメントの変更」リンクをクリックします。
-
<compartment>のサブネット:使用可能なサブネットを選択します。パブリック・ロード・バランサの場合、これはパブリック・サブネットである必要があります。
デフォルトでは、現在作業しているコンパートメント内のサブネットのリストがコンソールに表示されます。別のコンパートメントからサブネットを選択するには、「コンパートメントの変更」リンクをクリックします。
パブリックまたはプライベートに加え、サブネットはリージョナルまたはAD固有のいずれかになります。リージョナル・サブネットを使用することをお薦めします。「SCNおよびサブネットの概要」を参照してください。
-
<compartment>のサブネット(2/2): 「サブネット」にAD固有のサブネットを指定する場合のパブリック・ロード・バランサで必須。2番目のパブリック・サブネットを選択します。2番目のサブネットは、最初のサブネットとは別の可用性ドメインに存在する必要があります。
「表示タイプ」でプライベート・ロード・バランサの作成を選択した場合は、サブネットを1つのみ選択するように求められます。
1つの可用性ドメインのみが含まれるリージョンで作業している場合、2番目のサブネットは不要です。フォームでは、1つのサブネットのみを選択するように求められます。
現在のコンパートメントに仮想クラウド・ネットワークが含まれていない場合、ロード・バランサ・サービスによって自動的にVCNを作成できます。
-
<compartment>内の仮想クラウド・ネットワーク: 現在のコンパートメントに仮想クラウド・ネットワークが含まれていない場合、リストは無効になります。システムによって自動的にVCNを作成できます。
別のコンパートメント内の既存のVCNを使用する場合、「コンパートメントの変更」リンクをクリックし、リストからそのコンパートメントを選択します。
仮想クラウド・ネットワーク名: システムによってVCNが作成される場合はオプションです。新しいクラウド・ネットワークのわかりやすい名前を指定します。一意である必要はありませんが、後からコンソールで変更することはできません(ただし、APIを使用して変更できます)。
新しいVCNの名前を指定しない場合、自動的に名前が生成されます。
-
-
ロード・バランサをネットワーク・セキュリティ・グループ(NSG)に追加する場合は、「ネットワーク・セキュリティ・グループを使用してトラフィックを制御します」を選択します。ネットワーク・セキュリティ・グループを参照してください。
-
<compartment>}内のネットワーク・セキュリティ・グループ: ロード・バランサを追加するNSGを選択します。
デフォルトでは、現在作業しているコンパートメント内のNSGのリストがコンソールに表示されます。別のコンパートメントからNSGを選択するには、「コンパートメントの変更」リンクをクリックします。
-
(オプション)「+別のネットワーク・セキュリティ・グループ」をクリックして、ロード・バランサを別のNSGに追加します。
作成後、ロード・バランサが属するNSGは変更できます。ロード・バランサの「詳細」ページで、関連付けられたネットワーク・セキュリティ・グループのリストの横に表示される「編集」リンクをクリックします。
-
-
「拡張オプションの表示」をクリックして、他のオプションにアクセスします。
-
「セキュリティ」タブをクリックし、次の情報を入力します。
-
Webアプリケーション・ファイアウォール・ポリシーを使用してレイヤー7攻撃から保護: Webアプリケーション・ファイアウォール・ポリシーを攻撃に対する保護としてロード・バランサに適用する場合に選択します。
-
「リージョンWebアプリケーション・ファイアウォール・ポリシーで割当て」の下のリストから、現在のコンパートメントで使用可能なWebアプリケーション・ファイアウォール・ポリシーを選択します。別のコンパートメントのWebアプリケーション・ファイアウォール・ポリシーにアクセスするには、「コンパートメントの変更」をクリックします。
Webアプリケーション・ファイアウォール・ポリシーの詳細は、Web Application Firewallの概要を参照してください。
-
-
「タグ付け」タブをクリックして、ロード・バランサにタグ付けを適用します。リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に連絡してください。タグは後で適用できます。
-
「高速化」タブをクリックして、「Webアプリケーション・アクセラレーション・ポリシーを使用してパフォーマンスを高速化」を選択します。「Webアプリケーション・アクセラレーション・ポリシーの割当て」の下のリストから、現在のコンパートメント内のWebアプリケーション・アクセラレーション・ポリシーを選択します。別のコンパートメントにあるWebアプリケーション・アクセラレーション・ポリシーにアクセスするには、「コンパートメントの変更」をクリックします。
Webアプリケーション・アクセラレーション・ポリシーの詳細は、Webアプリケーション・アクセラレーションの概要を参照してください。
-
「管理」タブをクリックして、次のタスクを実行します。
- コンパートメントに作成: ロード・バランサをホストする別のコンパートメントをリストから選択します。ここで選択するコンパートメントによって、ロード・バランサを最初に作成するときに選択した「スコープ」の下にリストされているコンパートメントがオーバーライドされます。
-
ロード・バランサ、リスナーおよびバックエンドがまだアクティブな場合の削除を防止: トラフィックを受け入れるように構成されている場合、ロード・バランサ、またはロード・バランサに含まれるリスナーまたはバックエンド・サーバーを誤って削除しないようにする場合に選択します。
ロード・バランサは、トラフィックを受け入れるように構成されたリスナーが含まれている場合にトラフィックを受け入れるように構成されます。
リスナーは、トラフィックを受け入れるように構成されたバックエンド・サーバーを含むバックエンド・セットを参照するときに、トラフィックを受け入れるように構成されます。
バックエンド・サーバーは、リスナーによって参照されるバックエンド・セット内にあり、バックエンド・サーバーがドレインもオフラインもしていない場合にトラフィックを受け入れるように構成されます。
-
「次」をクリックします。「バックエンドの選択」ページが表示されます。
ロード・バランサは、トラフィックをバックエンド・セット内のバックエンド・サーバーに分散します。バックエンド・セットは、ロード・バランシング・ポリシー、バックエンド・サーバー(コンピュート・インスタンス)のリスト、およびヘルス・チェック・ポリシーによって定義された論理エンティティです。
ロード・バランサ作成ワークフローでは、ロード・バランサに対して1つのバックエンド・セットが作成されます。オプションで、ロード・バランサの作成後にバックエンド・セットおよびバックエンド・サーバーを追加できます。
バックエンドの選択
次を完了します:
-
バックエンド・セットのロード・バランサ・ポリシーを選択します:
-
重み付けラウンド・ロビン: このポリシーによって、受信トラフィックは、バックエンド・セット・リスト内の各サーバーに順番に分散されます。
-
IPハッシュ: このポリシーにより、特定のクライアントからのリクエストが常に同じバックエンド・サーバーに転送されることを確認します。
-
最少接続: このポリシーによって、受信リクエスト・トラフィックは、アクティブ接続が最も少ないバックエンド・サーバーにルーティングされます。
これらのポリシーの詳細は、ロード・バランサ・ポリシーを参照してください。
-
-
「バックエンドの追加」をクリックして、使用可能なコンピュート・インスタンスのリストからリソースを選択してください。「バックエンドの追加」ダイアログ・ボックスが表示されます。
バックエンド・サーバーを追加すると、ロード・バランサ・サービスによってセキュリティ・リスト・ルールが自動的に作成されます。セキュリティ・リスト・ルールを手動で作成する場合は、「拡張オプションの表示」をクリックして、ロード・バランサの作成後にセキュリティ・リスト・ルールを手動で構成するためのオプションを選択します。次を完了します:
-
バックエンドの追加: ロード・バランサのバックエンド・セットに含めるインスタンスを選択します。別のコンパートメントからインスタンスを選択するには、「コンパートメントの変更」リンクを使用してからコンパートメントを選択します。追加するインスタンスを現在のコンパートメントから選択したら、「選択したバックエンドの追加」をクリックします。
一度に1つのコンパートメントからインスタンスを選択できます。あるコンパートメントのインスタンスを追加した後、「他のバックエンドの追加」を選択して別のコンパートメントのインスタンスを追加できます。
バックアップとしてマークされたバックエンド・サーバーは、IPハッシュ・ポリシーを使用するバックエンド・セットに追加できません。
バックエンド・セットにインスタンスを追加すると、「バックエンド・サーバーの選択」表に表示されます。次のことが可能です。
-
ロード・バランサがトラフィックを転送する必要のあるサーバー・ポートを指定します。デフォルトはポート80です。
-
サーバーの
をクリックし、「削除」を選択してバックエンド・セットから削除します。
-
-
バックエンド・サーバーのヘルスを確認するテスト・パラメータを指定します:
-
プロトコル: ヘルス・チェックの問合せに使用するプロトコルとして、HTTPまたはTCPを指定します。ヘルス・チェック・プロトコルをアプリケーションまたはサービスと一致するように構成してください。ロード・バランサのヘルス・チェックを参照してください。
-
ポート: バックエンド・サーバー・ポートを指定します。ヘルス・チェックでバックエンド・サーバーのトラフィック・ポートを使用するように、値'0'を入力できます。
-
プレーン・テキストのヘルス・チェックの強制: (HTTPのみ) SSLを使用せずにバックエンド・サーバーにヘルス・チェックを送信する場合に選択します。このオプションは、バックエンド・サーバーのプロトコルがHTTPに設定されている場合にのみ使用できます。バックエンド・サーバーでSSLが有効になっていない場合は無効です。SSLが無効になっている場合、ヘルス・チェックは常にプレーン・テキストです。
-
間隔(ミリ秒): ヘルス・チェックを実行する間隔(ミリ秒)を指定します。デフォルトは10000(10秒)です。
-
タイムアウト(ミリ秒): ヘルス・チェックの応答を待機する最大時間をミリ秒単位で指定します。ヘルス・チェックは、このタイムアウト期間内に応答が返された場合にのみ成功します。デフォルトは3000(3秒)です。
-
再試行回数: バックエンド・サーバーが異常とみなされるまでに試行する再試行回数を指定します。この数値は、サーバーを正常な状態にリカバリするときにも適用されます。デフォルトは3です。
-
ステータス・コード: (HTTPのみ)正常なバックエンド・サーバーが返す必要のあるステータス・コードを指定します。
-
URLパス(URI): (HTTPのみ)ヘルス・チェックを実行する対象のURLエンドポイントを指定します。
-
レスポンス本文の正規表現: (HTTPのみ)バックエンド・サーバーからレスポンス本文を解析するための正規表現を指定します。
-
-
「SSLの使用」を選択して、SSLをロード・バランサ・バックエンドに適用します。このオプションを選択する場合、次を行います最適なセキュリティが必要な場合は、ロード・バランサとバックエンド・セット間のトラフィックに常にHTTPSを使用する責任があります。
-
証明書リソース: リストから次のいずれかのオプションを選択します。
-
ロード・バランサ・サービス管理証明書: 「CAバンドル」または「認証局」オプションを選択し、関連リストから選択します。CAバンドルまたは認証局を選択する別のコンパートメントを選択するには、「コンパートメントの変更」をクリックします。
-
ロード・バランサ管理証明書: 次のいずれかを選択します:
-
SSL証明書ファイルの選択: 証明書ファイルを「SSL証明書」フィールドにドラッグ・アンド・ドロップします。または、「ファイルの選択」をクリックして、アップロードする証明書ファイルを選択できるシステム内の場所に移動します。証明書ファイルはPEM形式で、
.pem
、.cer
または.crt
ファイル拡張子を持っている必要があります。バックエンドSSLの自己署名証明書を送信する場合は、対応するCA証明書フィールドに同じ証明書を送信する必要があります。
-
SSL証明書のペースト: 証明書をコピーしてこのフィールドに直接貼り付けます。
-
-
-
CA証明書の指定: (バックエンドSSL終了構成で推奨。)CA証明書を提供する場合に選択します。ロード・バランサのSSL証明書を参照してください。
-
秘密キー・ファイルの選択: PEMフォーマットの秘密キーを「秘密キー」フィールドにドラッグ・アンド・ドロップします。または、「秘密キーのペースト」オプションを選択して、秘密キーをこのフィールドに直接ペーストできます。
-
秘密キーのパスフレーズを入力します: 秘密キーのパスフレーズを指定します。
-
-
「拡張オプションの表示」をクリックして、他のオプションにアクセスします。
-
「バックエンド・セット」タブをクリックして、次のいずれかのタスクを実行します:
-
バックエンド・セット名: バックエンド・セットの名前を入力します。ロード・バランサ内で一意である必要があり、変更することはできません。名前を指定しない場合、ロード・バランサ・サービスによって自動的に作成されます。バックエンド・セット名には英数字、ダッシュ("-")およびアンダースコア("_")のみを使用します。バックエンド・セット名にスペースを含めることはできません。
-
1回のバックエンド接続数の制限の設定: バックエンド・サーバーに最大数のアクティブ接続を配置する場合に選択します。「バックエンド接続の最大数」ボックスで、接続の最大数を指定します。256-65535接続の範囲内の値を指定する必要があります。
このバックエンド・セットの最大バックエンド・サーバー接続数の制限を設定すると、バックエンド・セット内のすべてのバックエンド・サーバーのデフォルトの最大接続値を指定します。バックエンド・セット内の個々のバックエンド・サーバーには、このデフォルト値をオーバーライドする独自の最大接続値を設定できます。詳細は、バックエンド・セットの編集を参照してください。
-
-
「セキュリティ・リスト」タブをクリックして、目的のトラフィックを許可するサブネット・セキュリティ・リスト・ルールを手動で構成するか、システムによってセキュリティ・リスト・ルールを自動的に作成するかを選択します。これらのルールについてさらに学習するには、セキュリティ・ルールの構成要素を参照してください。次のいずれかのオプションを選択します:
-
セキュリティ・リスト・ルールは、ロード・バランサの作成後に手動で構成: このオプションを選択した場合、ロード・バランサの作成後に構成する必要があります。
-
セキュリティ・リスト・ルールを自動的に追加: このオプションを選択した場合、Load Balancerサービスによってセキュリティ・リスト・ルールが作成されます。
エグレス・ルールの表とイングレス・ルールの表が表示されます。各表では、関連するサブネットに適用するセキュリティ・リストを選択できます。影響を受ける各サブネットに対して、提案されたルールを適用するかどうかを選択できます。
-
-
「セッション永続性」タブをクリックして、ロード・バランサがセッション永続性を管理する方法を指定します。これらの設定の構成に関する重要な情報は、Load Balancerのセッション永続性を参照してください。
-
セッション永続性の無効化: Cookieベースのセッション永続性を無効にする場合は、このオプションを選択します。
-
アプリケーションCookie永続性の有効化: 指定したCookie名を持つ
Set-cookie
ヘッダーがバックエンド・アプリケーション・サーバーのレスポンスに含まれる場合に、単一の論理クライアントから永続セッションを有効にするには、このオプションを選択します。Cookie名: セッション永続性の有効化に使用するCookie名。*を指定すると、任意のCookie名と一致します。
フォールバックの無効化: 元のサーバーが使用不可の場合にフォールバックを無効にする場合に選択します。
-
ロード・バランサCookie永続性の有効化: ロード・バランサによって挿入されたCookieに基づいて永続セッションを有効にするには、このオプションを選択します。
-
Cookie名: セッション永続を有効にするために使用するCookieの名前を指定します。空白の場合、デフォルトのCookie名は
X-Oracle-BMC-LBS-Route
です。バックエンド・アプリケーション・サーバーで使用されるCookie名が、ロード・バランサで使用されるCookie名と異なっていることを確認してください。 -
フォールバックの無効化: 元のサーバーが使用不可の場合にフォールバックを無効にする場合に選択します。
-
ドメイン名: Cookieが有効なドメインを指定します。この属性にデフォルト値はありません。値を指定しない場合、ロード・バランサはドメイン属性を
Set-cookie
ヘッダーに挿入しません。 -
パス: オプション。Cookieが有効なパスを指定します。デフォルト値は
/
です。 -
有効期限(秒): Cookieが有効な時間を指定します。空白の場合、クライアント・セッションの終了時にCookieの有効期限が切れます。
:
- 属性
-
セキュア:
Set-cookie
ヘッダーにSecure
属性を含める必要があるかどうかを指定します。選択すると、クライアントはセキュア・プロトコルを使用している場合にのみCookieを送信します。この設定を有効にした場合、対応するバックエンド・セットをHTTPリスナーに関連付けることはできません。 -
HTTPのみ:
Set-cookie
ヘッダーにHttpOnly
属性を含めるかどうかを指定します。選択すると、CookieはHTTPリクエストに制限されます。JavaScriptチャネルなどのHTTP以外のAPIを介してCookieにアクセスする場合、クライアントはCookieを省略します。
-
-
-
-
「次」をクリックします。「リスナーの構成」ページが表示されます。
リスナーの構成
次の内容を完了します。
-
リスナーの名前を入力します。名前は一意である必要があり、変更することはできません。名前を指定しない場合、ロード・バランサ・サービスによって自動的に作成されます。
-
リスナーで処理するトラフィック・タイプを指定します:
-
HTTPS
-
HTTP
-
HTTP/2
-
TCP
-
-
リスナーでイングレス・トラフィックをモニターするポートを指定します。デフォルト値は次のとおりです:
-
443 (HTTPS)
-
80 HTTP
-
443 (HTTP/2)
-
22 (TCP)
-
-
HTTPSまたはHTTP/2プロトコルを選択した場合、またはTCPプロトコルを選択して「SSLの使用」を選択した場合、次のステップを実行します:
-
SSLの使用: SSLをロード・バランサ・バックエンドに適用する場合に選択します。このオプションを選択する場合、次を行います最適なセキュリティが必要な場合は、ロード・バランサとバックエンド・セット間のトラフィックに常にHTTPSを使用する責任があります。
-
証明書リソース: リストから次のいずれかのオプションを選択します。
-
ロード・バランサ・サービス管理証明書: 「CAバンドル」または「認証局」オプションを選択し、関連リストから選択します。CAバンドルまたは認証局を選択する別のコンパートメントを選択するには、「コンパートメントの変更」をクリックします。
-
ロード・バランサ管理証明書: 次のいずれかを選択します:
-
SSL証明書ファイルの選択: 証明書ファイルを「SSL証明書」フィールドにドラッグ・アンド・ドロップします。または、「ファイルの選択」をクリックして、アップロードする証明書ファイルを選択できるシステム内の場所に移動します。証明書ファイルはPEM形式で、
.pem
、.cer
または.crt
ファイル拡張子を持っている必要があります。バックエンドSSLの自己署名証明書を送信する場合は、対応するCA証明書フィールドに同じ証明書を送信する必要があります。
-
SSL証明書のペースト: 証明書をコピーしてこのフィールドに直接貼り付けます。
-
-
-
CA証明書の指定: (バックエンドSSL終了構成で推奨。)CA証明書を提供する場合に選択します。ロード・バランサのSSL証明書を参照してください。
-
秘密キー・ファイルの選択: PEM形式の秘密キーを「秘密キー」フィールドにドラッグ・アンド・ドロップします。または、「秘密キーのペースト」オプションを選択して、秘密キーをこのフィールドに直接ペーストできます。
-
秘密キーのパスフレーズを入力します: 秘密キーのパスフレーズを指定します。
-
セッション再開の有効化: 各リクエストの前に新しいSSL接続を完了するのではなく、前の暗号化セッションを再開する場合に選択します。セッションの再開を有効にすると、パフォーマンスが向上しますが、セキュリティのレベルは低くなります。各リクエストの前に新しいSSL接続を強制的に行う機能の選択を解除します。セッションの再開を無効にすると、セキュリティは向上しますが、パフォーマンスは低下します。
-
-
-
「拡張オプションの表示」をクリックして、他のオプションにアクセスします。
-
「タイムアウト」タブをクリックして、最大アイドル時間(秒)を指定します。最大値は7200秒です。Load Balancerタイムアウト接続設定を参照してください。
-
(HTTPSおよびHTTP/2のみ)「SSLポリシー」タブをクリックして、使用する暗号スイートのタイプを指定します。次の情報を入力します:
-
TLSバージョン: Transport Layer Security (TLS)バージョンを指定します:
-
1.0
-
1.1
-
1.2 (推奨)
-
1.3
HTTP/2プロトコルは、TLS 1.2およびTLS 1.3のみをサポートします。
複数のバージョンを任意に組み合せて選択できます。リストから必要なものを選択してください。
-
-
暗号スイートの指定: 次のいずれかを選択します:
-
暗号スイートの選択: 事前定義済の一連の暗号スイートを選択します。(デフォルト)。「暗号化方式群の選択」リストから選択します。リストされているすべての暗号スイートには、選択した各TLSバージョンから少なくとも1つの暗号が含まれています。HTTP/2プロトコルは、デフォルトの暗号のみをサポートします。これは変更できません。
-
カスタム暗号スイートの作成: 次のステップを実行して、新しいスイートに暗号を追加します:
-
「スイート名」フィールドに顧客暗号スイートの名前を入力します。
-
「暗号の選択」をクリックします。「暗号の選択」ページが表示されます。
-
スイートに含める各暗号を選択します。「バージョン」列に、各暗号に関連付けられているTLSバージョンが表示されます。選択する暗号が、前に選択したTLSバージョンと互換性があることを確認します。作成する暗号スイートには、少なくとも1つの暗号を割り当ててください。暗号を含まない暗号スイートを作成することはできません。
-
除外する暗号の選択を解除します。
-
「選択」をクリックします。次に、「暗号スイートの選択」リストから、そのカスタム暗号スイート(または使用する任意のスイート)を選択します。
-
-
「暗号スイート詳細の表示」をクリックすると、選択した暗号スイートに含まれる暗号が表示されます。
-
「サーバー順序プリファレンス」で「有効化」を選択し、クライアントよりもサーバー暗号を優先します。
-
-
「次」をクリックします。「ロギングの管理」ページが表示されます。
ロギングの管理
エラー・ログおよびアクセス・ログの有効化はオプションですが、推奨されます。これらのログを確認すると、バックエンド・サーバーの問題の診断と修正に役立ちます。ロギング機能を有効にすると、標準的な制限、制約およびレートが適用されます。ロード・バランサ・サービスでロギングを使用する方法に関する一般情報は、ロード・バランサのロギングを参照してください。
次の内容を完了します。
-
エラー・ログを有効にし、次の情報を入力します:
-
コンパートメント: ログ・ファイルが配置されるコンパートメントをリストから選択します。
-
ログ・グループ: リストから既存のログ・グループを選択するか、「新規グループの作成」をクリックして、ログが配置される新しいロギング・グループの名前および説明を入力できます。
-
ログ名: ログの名前を入力します。
-
ログの保持: 各エラー・ロギング・エントリがリストから保持される期間(月)を選択します。
ネーミング構文のガイドラインを含むログおよびログ・グループの詳細は、ログおよびログ・グループを参照してください。
エラー・ロギングは、デフォルトで有効になっています。関連する料金を支払わない場合は、この機能を無効にしてください。
-
-
アクセス・ログを有効にし、次の情報を入力します:
-
コンパートメント: ログ・ファイルが配置されるコンパートメントをリストから選択します。
-
ログ・グループ: リストから既存のログ・グループを選択するか、「新規グループの作成」をクリックして、ログが配置される新しいロギング・グループの名前および説明を入力できます。
-
ログ名: ログの名前を入力します。
-
ログの保持: 各アクセス・ロギング・エントリがリストから保持される期間(月)を選択します。
ネーミング構文のガイドラインを含むログおよびログ・グループの詳細は、ログおよびログ・グループを参照してください。
-
- リクエストの追跡およびログのトラブルシューティングに役立つように、「リクエストID」を有効にします。これは、Web Application Firewall (WAF)がロード・バランサにアタッチされている場合に特に役立ちます。これは、ログを確認して検索し、リクエストごとにWAFの動作を識別できるためです。これは、セキュリティ・ポリシーのチューニングにも役立ちます。
リクエストIDは、HTTPリクエストおよびレスポンス・ヘッダーで公開されている一意のリクエスト識別子を指定することで、リクエストの追跡および管理に役立ちます。
リクエストIDが有効な場合、デフォルトのヘッダー名X-Request-IDが、ロード・バランサからバックエンドおよびHTTPヘッダー・レスポンスへのHTTPリクエスト・ヘッダーに含まれます。有効になっていない場合、ロード・バランサは、ロード・バランサ・バックエンドまたは返されたレスポンスに渡されたリクエストに、この一意のリクエストIDヘッダーを追加しません。
「リクエストIDヘッダー名」オプションを使用して、デフォルトを使用するかわりに別のヘッダー名を入力できます。カスタム・ヘッダー名は「X- 」で始まる必要があります。
-
「発行」をクリックします。
ロード・バランサがプロビジョニングされると、詳細が「ロード・バランサ」ページのリストに表示されます。詳細を表示するには、ロード・バランサの名前をクリックします。
ノート
次に、特定のレガシー・カスタマ・アカウントでのみ使用可能な動的シェイプ機能について説明します:
動的シェイプ: 次の事前定義済シェイプ・サイズのいずれかを選択します:
-
10 Mbps
-
100 Mbps
-
400 Mbps
-
8,000 Mbps
ロード・バランサを有料アカウント・ユーザーとして作成する場合、制限に基づいて様々なシェイプ・オプションを作成し、ロード・バランサの作成後にシェイプを変更して後から帯域幅を調整できます。コンソールでサービス制限と目標を表示するには、「ガバナンスと管理」→「制限、割当ておよび使用状況」に移動します。「サービス」リストから「LbaaS」を選択します。帯域幅サイズのオプションがリストされます。サービス制限を参照してください。
ロード・バランサの作成が完了した後で、帯域幅シェイプを別のサイズに調整できます。Load Balancerの帯域幅シェイプの変更を参照してください。
スライダを使用して動的サイズの値をフレキシブル・サイズに調整する場合、どのサイズの動的シェイプにも戻すことはできません。最小スライダと最大スライダを同じサイズに設定することで、動的(固定)サイズの効果を実現できます。
-
ロード・バランサを作成するには、oci lb load-balancer createコマンドと必要なパラメータを使用します:
oci lb load-balancer create --compartment-id compartment_id --display-name display_name --shape-name shape_name --subnet-id subnet_id [OPTIONS]
CLIコマンドのパラメータおよび値の完全なリストは、CLIコマンド・リファレンスを参照してください。
CreateLoadBalancer操作を実行してロード・バランサを作成します。