柔軟性の高いネットワーク・ロード・バランシングの概要

ネットワーク・ロード・バランサが、1つのエントリ・ポイントからバックエンド・セット内の複数のサーバーへの自動トラフィック分散を提供する方法について説明します。ネットワーク・ロード・バランサは、トラフィックを正常なサーバーにのみ転送することで、サービスが使用可能なままであることを保証します。

Oracle Cloud Infrastructure Flexible Network Load Balancingサービス(ネットワーク・ロード・バランサ)は、仮想クラウド・ネットワーク(VCN)内の複数のバックエンド・サーバーに対して、1つのエントリ・ポイントから自動トラフィック分散を提供します。これは接続レベルで動作し、レイヤー3/レイヤー4 (IPプロトコル)データに基づいて、正常なバックエンド・サーバーへの受信クライアント接続をロード・バランシングします。このサービスでは、柔軟に拡張でき、帯域幅の構成要件なしでクライアント・トラフィックに基づいてスケール・アップまたはスケール・ダウンできる、リージョンのパブリックまたはプライベートIPアドレスを選択したロード・バランサが提供されます。

ネットワーク・ロード・バランサには、フローの高可用性、ソースと宛先のIPアドレス、およびポートの保持という利点があります。これは、揮発性トラフィック・パターンおよび数百万のフローを処理するように設計されており、超低レイテンシを維持しながら高いスループットを実現します。待機時間の影響を受けるワークロードに最適なロード・バランシング・ソリューションです。また、数日または数か月の順序で長時間実行される接続用に最適化されています。特定のフローは、接続の存続期間中、常に同じバックエンドに転送されるため、データベース・タイプのアプリケーションに最適です。ロード・バランサがトラフィックを正常なバックエンドのみに送信するように、アプリケーション固有のヘルス・チェックを構成できます。

ネットワーク・ロード・バランサのタイプ

VCN内で作成できるネットワーク・ロード・バランサのタイプについて学習します。

フレキシブル・ネットワーク・ロード・バランシング・サービスを使用すると、VCNにパブリックまたはプライベートのネットワーク・ロード・バランサを作成できます。パブリック・ネットワーク・ロード・バランサには、インターネットからアクセスできるパブリックIPアドレスがあります。プライベート・ネットワーク・ロード・バランサには、ホストしているサブネットからのIPアドレスがあります(VCN内でのみ表示されます)。IPアドレスに複数のリスナーを構成して、レイヤー4 (TCP/UDP/ICMP)のトラフィックをロード・バランシングできます。パブリックとプライベートのロード・バランサは両方とも、VCN内の任意のバックエンド・サーバーにデータ・トラフィックをルーティングできます。

パブリック・ネットワーク・ロード・バランサ

インターネットからのトラフィックを受け入れるには、パブリック・ネットワーク・ロード・バランサを作成します。サービスは、受信トラフィックのエントリ・ポイントとして機能するパブリックIPアドレスをこれに割り当てます。DNSベンダーを通じて、パブリックIPアドレスをわかりやすいDNS名に関連付けます。パブリック・ロード・バランサのスコープはリージョナルです。パブリック・ネットワーク・ロード・バランサにはリージョナル・サブネットが必要です。ネットワーク・ロード・バランサは、可用性ドメインのいずれかに停止があっても、高可用性とアクセシビリティを保証します。

NOTE

パブリック・ロード・バランサのプライベート・サブネットは指定できません。詳細は、パブリック・サブネットとプライベート・サブネットを参照してください。

プライベート・ネットワーク・ロード・バランサ

ネットワーク・ロード・バランサをインターネットから分離してセキュリティ体制を簡素化するには、プライベート・ネットワーク・ロード・バランサを作成します。ネットワーク・ロード・バランサは、受信トラフィックのエントリ・ポイントとして機能するプライベートIPアドレスをこれに割り当てます。ネットワーク・ロード・バランサには、ホストのリージョナル・サブネットを含むVCN内からのみアクセスできますが、セキュリティ・ルールによってさらに制限することもできます。

VCN転送ルーティングでの次のホップ・ルート・ターゲットとしてのプライベート・ネットワーク・ロード・バランサの使用

VCN転送ルーティングで、プライベート・ネットワーク・ロード・バランサを次のホップのプライベートIPルート・ターゲットとして使用します。この方法を使用すると、ネットワークロードバランサは、パケットが最終的な宛先へのパスに沿って転送される、レイヤー3の透過的ロードバランサとして動作できます。転送ルーティングとは、オンプレミス・ネットワークが接続済仮想クラウド・ネットワーク(VCN)を使用して、そのVCNの先にあるOracleのリソースやサービスに到達するネットワーク・トポロジのことです。FastConnectまたはサイト間VPNを使用してオンプレミス・ネットワークをVCNに接続し、トラフィックがVCN外の宛先にVCN経由で転送されるようにVCNルーティングを構成します。詳細は、VCN内のプライベートIPを介した転送ルーティングを参照してください。

ネットワーク・ロード・バランサは、VCNルート表を使用して、ハブVCNのネットワーク・ロード・バランサの背後にホストされているファイアウォール・インスタンスにユーザー・トラフィックをルーティングします。そうしないとソースから宛先に直接流れるこのユーザー・トラフィック。このモードでは、ネットワーク・ロード・バランサはクライアント・パケットの特性を変更せず、クライアント・ソースと宛先のIPヘッダー情報を保持します。この方法により、ファイアウォール・アプライアンスは、スポークVCN内のアプリケーション・バックエンド・サーバーに転送する前に、元のクライアント・パケットを検査してセキュリティ・ポリシーを適用できます。

次に、ネットワーク・ロード・バランサ・アーキテクチャを示します。

ネットワーク・ロード・バランサのアーキテクチャ

すべてのネットワーク・ロード・バランサ

ネットワーク・ロード・バランサには、受信トラフィックをコンピュート・インスタンスにルーティングするためのバックエンド・セットがあります。バックエンド・セットは、次を含む論理エンティティです:

  • バックエンド・サーバーのリスト

  • ロードバランシングポリシー

  • ヘルス・チェック・ポリシー

バックエンド・セットに関連付けられたバックエンド・サーバー(コンピュート・インスタンス)は、関連付けられたネットワーク・セキュリティ・グループ(NSG )、セキュリティ・リストおよびルート表が目的のトラフィック・フローを許可しているかぎり、どの場所にでも存在できます。

VCNでNSGを使用する場合は、ロード・バランサをNSGに関連付けることができます。NSGには、セキュリティ・ルールのセットがあり、インバウンドおよびアウトバウンド・トラフィックの許可されるタイプを制御します。ルールは、グループ内のリソースにのみ適用されます。NSGとは対照的に、セキュリティ・リストでは、ルールはリストを使用するサブネットのすべてのリソースに適用されます。NSGの詳細は、ネットワーク・セキュリティ・グループを参照してください。

VCNのセキュリティ・リストを優先して使用する場合は、ロード・バランシング・サービスによって適切なセキュリティ・リスト・ルールが推奨されます。これらは、ネットワーキング・サービスを通じて独自に構成することもできます。詳細は、セキュリティ・リストを参照してください。NSGとセキュリティ・リストの比較の詳細は、セキュリティ・ルールを参照してください。

バックエンド・サーバーは、Oracleでは、リージョン内のすべての可用性ドメインに分散することをお薦めします。

プライベートIPアドレスの使用

パブリック・サブネットで作成されたパブリック・ネットワーク・ロード・バランサは、ホスト・サブネットの1つのプライベートIPアドレスを使用します。

1つのサブネットで作成されたプライベート・ネットワーク・ロード・バランサは、ホスト・サブネットの1つのプライベートIPアドレスを使用します。

ネットワーク・ロード・バランサの概念

この機能をよりよく理解して使用するために、ネットワーク・ロード・バランサの概念について学習します。

バックエンド・サーバー
受信クライアント・トラフィックに応答してコンテンツを生成するアプリケーション・サーバー。アプリケーション・サーバーは、通常、オーバーレイ(プライベート) IPv4アドレスとポートの一意の組合せで識別します。たとえば、10.10.10.1: 8080や10.10.10.2: 8080などです。詳細は、バックエンド・サーバーの管理に関する項を参照してください。
バックエンド・セット
バックエンド・サーバー、ロード・バランシング・ポリシーおよびヘルス・チェック・ポリシーのリストで定義される論理エンティティ。バックエンド・セットは、ネットワーク・ロード・バランサがバックエンド・サーバーの集合に対してトラフィックをどのように振り分けるかを決定します。詳細は、バックエンド・セットの管理を参照してください。
ヘルス・チェック

ヘルス・チェックは、バックエンド・サーバーの可用性を確認するためのテストです。ヘルス・チェックは、リクエストまたは接続試行です。指定した時間間隔に基づいて、ロード・バランサは、ヘルス・チェック・ポリシーを適用してバックエンド・サーバーを継続的にモニターします。サーバーがヘルス・チェックに失敗すると、ロード・バランサは一時的にサーバーをローテーションから除外します。その後、サーバーがヘルス・チェックに合格すると、ロード・バランサはそれをローテーションに戻します。

バックエンド・セットを作成する際に、ヘルス・チェック・ポリシーを構成します。バックエンド・サーバーに対して、TCPレベル、UDPレベルまたはHTTPレベルのヘルス・チェックを構成できます。

  • TCPレベルのヘルス・チェックでは、バックエンド・サーバーにTCP接続を確立し、接続ステータスに基づいてレスポンスを検証します。

  • UDPレベルのヘルス・チェックでは、バックエンド・サーバーにUDP接続を確立し、接続ステータスに基づいてレスポンスを検証します。

  • HTTPレベルのヘルス・チェックでは、特定のURIのバックエンド・サーバーにリクエストを送信し、戻されるステータス・コードまたはエンティティ・データ(本文)に基づいてレスポンスを検証します。

このサービスは、可用性の向上に役立つアプリケーション固有のヘルス・チェック機能を提供し、アプリケーション・メンテナンス・ウィンドウを短縮します。ヘルス・チェック構成の詳細は、ヘルス・チェック・ポリシー管理を参照してください。

ヘルス・ステータス
ネットワーク・ロード・バランサとそのコンポーネントの一般的なヘルスをレポートするインジケータ。詳細は、Health Status Managementを参照してください。
LISTENER
ネットワーク・ロード・バランサのIPアドレス上の受信トラフィックをチェックする論理エンティティ。リスナーのプロトコルおよびポート番号とオプションのSSL設定を構成します。

サポートされるプロトコルを示します:

  • TCP

  • UDP

  • ICMP

詳細は、リスナー管理を参照してください。

ネットワーク・ロード・バランス・ポリシー
ネットワーク・ロード・バランシング・ポリシーは、ネットワーク・ロード・バランサに対し、受信トラフィックをバックエンド・サーバーに分散する方法を指示します。

一般的なロード・バランサ・ポリシーを示します:

  • 5 タプル・ハッシュ

  • 3 タプル・ハッシュ

  • 2 タプル・ハッシュ

詳細は、ネットワーク・ロード・バランサ・ポリシーを参照してください。

リージョンおよび可用性ドメイン
ネットワーク・ロード・バランサ・サービスは、リージョン内の可用性ドメイン間のアプリケーション・トラフィックを管理します リージョンは限られた地理的領域で、可用性ドメインはリージョン内に配置された1つ以上のデータ・センターです。1つのリージョンは、複数の可用性ドメインで構成されます。詳細は、リージョンと可用性ドメインを参照してください。
サブネット
10.0.0.0/24や10.0.1.0/24など、仮想クラウド・ネットワーク(VCN)で定義する下位区分。サブネットは、VCN内の他のサブネットと重複しない連続したIPアドレスの範囲で構成されます。サブネットごとに、適用するルーティング・ルールおよびセキュリティ・ルールを指定します。サブネットの詳細は、VCNとサブネットおよびパブリックIPアドレス範囲を参照してください。
タグ

リソースにタグを適用すると、ビジネス・ニーズに応じてそれらを整理しやすくなります。リソースの作成時にタグを適用することも、後でリソースを必要なタグで更新することもできます。タグ適用についての一般情報は、リソース・タグを参照してください。

仮想クラウド・ネットワーク(VCN)
Oracleデータ・センターに設定するプライベート・ネットワークで、使用を選択できるファイアウォール・ルールおよび特定のタイプの通信ゲートウェイがあります。VCNは、許可されるIPアドレス範囲内で選択した単一の連続IPv4 CIDRブロックをカバーします。ネットワーク・ロード・バランサを起動するには、少なくとも1つの仮想クラウド・ネットワークが必要です。仮想クラウド・ネットワークの設定の詳細は、ネットワーキングの概要を参照してください。
表示
ネットワーク・ロード・バランサがパブリックとプライベートのどちらであるかを指定します。
PUBLIC
パブリック・ネットワーク・ロード・バランサには、インターネットからアクセスできるパブリックIPアドレスがあります。
民間
プライベート・ネットワーク・ロード・バランサには、VCNローカル・サブネットのプライベートIPアドレスがあります。

プライベートIPへのアクセスを提供できる次のような方法とテクノロジを使用して、プライベート・ネットワーク・ロード・バランサにアクセスできます:

  • クロスVCN (LPGピアリングを使用)

  • 別のリージョンから(RPCを使用)

  • オンプレミスから(FCプライベート・ピアリングを使用)

詳細は、ネットワーク・ロード・バランサの管理を参照してください。

作業リクエスト
ネットワーク・ロード・バランサ・リクエストの現在の状態についてレポートするオブジェクト。ネットワーク・ロード・バランサは、リクエストを非同期に処理します。各リクエストは、レスポンスとして作業リクエストID (OCID)を戻します。作業リクエスト・アイテムを表示して、リクエストのステータスを確認できます。詳細は、作業リクエスト管理を参照してください。

リソース識別子

ネットワーク・ロード・バランサ・リソースがリソース識別子を使用する方法について学習します。

ほとんどのタイプのOracle Cloud Infrastructureリソースには、Oracle Cloud ID (OCID)と呼ばれるOracleによって割り当てられた一意の識別子があります。OCIDのフォーマットおよびリソースを識別するその他の方法の詳細は、リソース識別子を参照してください。

Oracle Cloud Infrastructureへのアクセス方法

Oracle Cloud Infrastructureにアクセスする様々な方法を学習します。

コンソール(ブラウザベースのインタフェース)またはREST APIを使用してOracle Cloud Infrastructureにアクセスできます。コンソールおよびAPIに関する手順は、このガイド全体のトピックに記載されています。使用可能なSDKのリストは、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

コンソールにアクセスするには、サポートされているブラウザを使用する必要があります。コンソールのサインイン・ページに移動するには、このページ上部のナビゲーション・メニューを開き、「インフラストラクチャ・コンソール」をクリックします。クラウド・テナント、ユーザー名およびパスワードの入力を求められました。

リソースのモニタリング

メトリック、アラームおよび通知を使用して、Oracle Cloud Infrastructureリソースのヘルス、容量およびパフォーマンスをモニターする方法について学習します。

メトリック、アラームおよび通知を使用して、Oracle Cloud Infrastructureリソースのヘルス、容量およびパフォーマンスをモニターできます。詳細は、モニタリングおよび通知を参照してください。

ネットワーク・ロード・バランサを通過するトラフィックのモニタリングの詳細は、ネットワーク・ロード・バランサ・メトリックを参照してください。

認証と認可

ネットワーク・ロード・バランサが認証および認可を使用してその機能へのアクセスを管理する方法について説明します。

Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)の認証および認可のためIAMと統合されています。

組織の管理者は、どのユーザーがどのサービスとリソースにアクセスできるか、およびアクセスのタイプを制御する、グループコンパートメントおよびポリシーを設定する必要があります。たとえば、ポリシーは、新しいユーザーの作成、クラウド・ネットワークの作成と管理、インスタンスの起動、バケットの作成、オブジェクトのダウンロードなどを実行できるユーザーを制御します。詳細は、ポリシーの開始を参照してください。異なる各サービスに対するポリシーの記述の詳細は、ポリシー・リファレンスを参照してください。

会社が所有するOracle Cloud Infrastructureリソースを使用する必要がある通常のユーザー(管理者ではない)の場合は、ユーザーIDを設定するよう管理者に連絡してください。管理者は、使用する必要があるコンパートメントを確認できます。

ネットワーク・ロード・バランシング・リソースの制限

ネットワーク・ロード・バランサ・リソースの制限について学習します。

各ロード・バランサには次の構成制限があります:

  • 1つのIPアドレス

  • 50のバックエンド・セット

  • 1つのバックエンド・セット当たり512のバックエンド・サーバー

  • 合計1024のバックエンド・サーバー

  • 50リスナー

適用可能な制限の一覧と制限の引上げをリクエストする手順は、「サービス制限」を参照してください。

必須IAMポリシー

アイデンティティおよびアクセス管理ポリシーと、それらがネットワーク・ロード・バランサ・サービスにどのように適用されるかについて学習します。

Oracle Cloud Infrastructureを使用するには、管理者によってポリシー内でセキュリティ・アクセス権を付与されている必要があります。このアクセスは、コンソールまたはREST APIを、SDK、CLIまたはその他のツールのどれと使用する場合でも必要です。権限がない、または認可されていないというメッセージが表示された場合は、管理者に付与されているアクセスのタイプと作業するコンパートメントを確認してください。

管理者用:ロード・バランサとそのコンポーネントへのアクセス権を付与する一般的なポリシーについては、ネットワーク管理者によるロード・バランサの管理を参照してください。

また、inspect load-balancersを含むポリシー・ステートメントによって、指定したグループがロード・バランサに関するすべての情報を表示する権限を付与されることにも注意してください。詳細は、ロード・バランシングの詳細を参照してください。

ポリシーに慣れていない場合は、ポリシーの開始および共通ポリシーを参照してください。

ネットワーク・ロード・バランサのポリシー

トラフィック分散を制御するネットワーク・ロード・バランサ・リソース・ポリシーをバックエンド・サーバーに適用する方法を学習します。

ネットワーク・ロード・バランサを作成した後は、トラフィック分散を制御するポリシーをバックエンド・サーバーに適用できます。「ネットワーク・ロード・バランサの作成」を参照してください。

ネットワーク・ロード・バランサ・サービスでは、次の3つのプライマリ・ネットワーク・ロード・バランサのポリシー・タイプがサポートされます。

  • 5タプル・ハッシュ:受信トラフィックを5タプル(ソースIPおよびポート、宛先IPおよびポート、プロトコル)のハッシュに基づいてルーティングします。これはデフォルトのネットワーク・ロード・バランサ・ポリシーです。

  • 3タプル・ハッシュ: 3タプル(ソースIP、宛先IP、プロトコル)ハッシュに基づいて受信トラフィックをルーティングします。

  • 2タプル・ハッシュ: 2タプル(ソースIP、宛先、宛先IP)ハッシュに基づいて受信トラフィックをルーティングします。

5タプル・ハッシュ・ポリシーは、指定されたTCPまたはUDPセッション内のセッション・アフィニティを提供します。この場合、同じセッションのパケットは、柔軟なネットワーク・ロード・バランサの背後にある同じバックエンド・サーバーに転送されます。3タプル・ネットワーク・ロード・バランシング・ポリシーまたは2タプル・ネットワーク・ロード・バランシング・ポリシーを使用して、特定のセッションの存続期間を超えてセッション・アフィニティを提供します。

処理の負荷または容量がバックエンド・サーバー間で異なる場合、これらの各ポリシー・タイプをバックエンド・サーバーの重み付けに従って調整できます。重み付けは、各サーバーに送信されるリクエストの割合に影響します。たとえば、重み付け3のサーバーの接続数は、重み付け1の3倍になります。各サーバーのトラフィック処理容量など、選択した基準に基づいて重みを割り当てます。

接続アイドル・タイムアウト

複数のクライアントから宛先バックエンド・サーバーへの多数の受信リクエストを単一または複数のバックエンド接続を経由してルーティングするようにネットワーク・ロード・バランサを構成する方法について説明します。

ネットワーク・ロード・バランサは、通過するすべてのTCPおよびUDPフローの状態を追跡します。IPプロトコルと送信元および宛先のIPアドレスとポートの組み合わせによってフローが定義されます。アイドル・タイムアウトより長い時間、クライアントまたはサーバーからトラフィックが受信されない場合は、フローを削除できます。アイドル・タイムアウト後に受信されたTCPパケットはすべて破棄されます。UDPフローの場合、後続のパケットは新しいフローとみなされ、新しいバックエンドにルーティングされます。

TCPフローのアイドル・タイムアウト期間は6分で、UDPフローのアイドル・タイムアウト期間は2分です。アイドル・タイムアウト期間は変更できません。

LOGGING

ネットワーク・ロード・バランサ・リソースのロギングにアクセスする方法について学習します。

ネットワーク・ロード・バランシング・アクティビティは、仮想クラウド・ネットワーク(VCN)フロー・ログを介してログに記録されます。詳細は、「VCNフロー・ログ」を参照してください。