Introdução ao serviço Network Load Balancer
Saiba como os balanceadores de carga de rede podem fornecer distribuição de tráfego automatizada de um ponto de entrada para vários servidores em um conjunto de backend.
Modos de Operação
O Balanceador de Carga de Rede é um serviço de balanceamento de carga que opera nas Camadas 3 e 4 do modelo OSI (Open Systems Interconnection). Esse serviço fornece os benefícios da alta disponibilidade e oferece alto throughput, mantendo a latência ultrabaixa. Você tem três modos no Balanceador de Carga de Rede nos quais pode operar:
- Modo de Tradução Completa de Endereço de Rede (NAT): O Balanceador de Carga de Rede traduz o endereço IP de origem e o endereço IP de destino do pacote antes de enviá-lo para o backend.
- Modo de Preservação de Origem: O serviço Network Load Balancer faz um NAT de destino do listener do serviço Network Load Balancer (VIP) para o endereço IP do servidor de backend. No entanto, ele preserva as informações originais do endereço IP de origem/porta antes de enviá-las ao servidor de backend.
- Modo Transparente (Preservação de Origem/Destino): O Balanceador de Carga de Rede não altera nenhuma informação no pacote. Esse modo encaminha os pacotes para os servidores de back-end, operando efetivamente como um "bump-in-the-wire". Esse modo requer que o tráfego seja direcionado por meio dele usando uma entrada de tabela de roteamento da VCN.
A tabela a seguir responde a perguntas sobre os modos de operação do Balanceador de Carga de Rede.
| Modo | Outros Nomes | Onde Ativado? | O Tráfego do Cliente Usa o Listener? | Suporte a Balanceadores de Carga da Rede Pública? | Suporte a Balanceadores de Carga da Rede Privada? |
|---|---|---|---|---|---|
| NAT Completo | Nenhuma | Ativado desativando os modos Preservação do Cabeçalho de Origem e Preservação do Cabeçalho de Origem/Destino. | Sim | Sim | Sim |
| Preservação do Cabeçalho (IP/Porta) de Origem |
|
Ativado por meio da configuração do Conjunto de Backend (criar ou editar). | Sim | Sim | Sim |
| Preservação de Cabeçalho (IP/Porta) Origem/Destino |
|
Ativado na página Detalhes do Network Load Balancer. | Número | Número | Sim |
Tipos de Balanceador de Carga da Rede
O serviço Balanceador de Carga de Rede Flexível permite que você crie um balanceador de carga de rede público ou privado na sua VCN. Um balanceador de carga de rede pública tem um endereço IP público acessível pela Internet. Um balanceador de carga de rede privada tem um endereço IP da sub-rede de host, que permanece visível somente dentro da sua VCN. Você pode configurar vários listeners para um endereço IP para carregar o tráfego da Camada 4 (TCP/UDP/ICMP). Os balanceadores de carga públicos e privados podem rotear o tráfego de dados para qualquer servidor de backend que esteja dentro da VCN.
Balanceador de Carga da Rede Pública
Para aceitar o tráfego proveniente da internet, crie um balanceador de carga de rede pública. O serviço designa a ele um endereço IP público que serve como ponto de entrada para o tráfego recebido. Associe o endereço IP público a um nome DNS amigável por meio de qualquer fornecedor de DNS.
Um balanceador de carga de rede pública pode ser regional ou específico de domínio de disponibilidade no escopo. A sub-rede na qual o balanceador de carga de rede é criado determina esse escopo. Um balanceador de carga de rede pública criado em uma sub-rede regional tem um escopo regional. Um balanceador de carga de rede pública criado em uma sub-rede específica do domínio de disponibilidade é o escopo específico do domínio de disponibilidade. O serviço Network Load Balancer garante alta disponibilidade e capacidade de acesso mesmo quando um dos domínios de disponibilidade tem uma interrupção.
Você não pode especificar uma sub-rede privada para o seu balanceador de carga público. Para obter mais informações, consulte Sub-redes Públicas e Privadas.
Balanceador de Carga da Rede Privada
Para isolar o balanceador de carga de rede da internet e simplificar a sua postura de segurança, crie um balanceador de carga de rede privado. O balanceador de carga da rede designa a ele um endereço IP privado que atua como ponto de entrada para o tráfego recebido. O balanceador de carga da rede só pode ser acessado por meio da VCN que contém a sub-rede regional do host ou, da mesma forma, restringida pelas suas regras de segurança.
Um balanceador de carga de rede privada pode ser regional ou específico de domínio de disponibilidade no escopo. A sub-rede na qual o balanceador de carga de rede é criado determina esse escopo.
Capacidade de Acesso ao Serviço Network Load Balancer
O balanceador de carga de rede não responde diretamente a um pacote de ping ICMP ou TCP/UDP cliente. Em vez disso, o balanceador de carga de rede direciona o pacote para um servidor de backend, de acordo com a política de balanceamento de carga. O servidor de backend então retorna uma resposta ao cliente.
Somente balanceadores de carga de rede privada suportam o protocolo ICMP. O balanceador de carga de rede também deve ter o recurso de Preservação do Cabeçalho de Origem/Destino (IP, Porta) ativado. Se esse recurso não estiver ativado ou se você estiver usando um balanceador de carga de rede pública, poderá verificar a capacidade de acesso ao balanceador de carga de rede por meio dos protocolos disponíveis ativados por listener (TCP/UDP).
Usando um Balanceador de Carga de Rede Privada como Destino de Rota de Próximo Salto com o Roteamento de Trânsito da VCN
Use um balanceador de carga de rede privada como destino de rota IP privada do próximo salto com roteamento de trânsito da VCN. Esse método permite que o balanceador de carga de rede opere como um balanceador de carga transparente da camada 3 BITW (bump-in-the-wire) ao qual os pacotes são encaminhados ao longo do caminho para o destino final. Roteamento de trânsito se refere a uma topologia de rede na qual a sua rede local usa uma VCN (rede virtual na nuvem) conectada para acessar recursos ou serviços Oracle além dessa VCN. Conecte a rede local à VCN com o FastConnect ou a VPN Site-to-Site. Em seguida, configure o roteamento da VCN para que o tráfego passe pela VCN até seu destino além da VCN. Consulte Roteamento de trânsito dentro de uma VCN hub para obter mais informações.
O balanceador de carga de rede roteia o tráfego do usuário para as instâncias de firewall hospedadas por trás do balanceador de carga de rede na VCN do Hub usando tabelas de roteamento da VCN. Esse é o tráfego do usuário que de outra forma fluiria da origem diretamente ao destino. Nesse modo, o balanceador de carga de rede não modifica as características do pacote do cliente e preserva as informações do cabeçalho IP de origem e destino do cliente. Esse método permite que os appliances de firewall inspecionem o pacote do cliente original e apliquem políticas de segurança antes de encaminhá-lo aos servidores de backend de aplicativos nas VCNs de spoke.
Veja a seguir a arquitetura do balanceador de carga da rede.
|
Destino |
Destino |
|---|---|
|
10.0.0.0/24 |
IP VIP de Flex-NLB |
|
10.1.0.0/24 |
IP VIP de Flex-NLB |
|
Destino |
Destino |
|---|---|
|
172.16.0.0/16 |
DRG |
|
Destino |
Destino |
|---|---|
|
0.0.0.0/0 |
IGW |
|
Destino |
Destino |
|---|---|
|
10.0.0.0/24 |
LPG da Web do Hub |
|
10.1.0.0/24 |
LPG do Banco de Dados do Hub |
|
Destino |
Destino |
|---|---|
|
0.0.0.0/0 |
IP de FW Trust Int |
Todos os Balanceadores de Carga da Rede
O seu balanceador de carga de rede tem um conjunto de backend que roteia o tráfego recebido para as suas instâncias de computação. O conjunto de backend é uma entidade lógica que inclui:
- Uma lista de servidores de backend
- Uma política de balanceamento de carga
- Uma política de verificação de integridade
Os servidores de backend (instâncias de computação) associados a um conjunto de backend podem existir em qualquer lugar, contanto que os grupos de segurança de rede (NSGs), as listas de segurança e as tabelas de roteamento associadas a eles permitam o fluxo de tráfego pretendido.
Se a sua VCN utilizar NSGs (grupos de segurança de rede), você poderá associar o seu balanceador de carga a um NSG. Um NSG tem um conjunto de regras de segurança que controla os tipos permitidos de tráfego de entrada e saída. As regras se aplicam somente aos recursos do grupo. Compare os NSGs com uma lista de segurança, na qual as regras se aplicam a todos os recursos em qualquer sub-rede que use a lista. Consulte Grupos de Segurança de Rede para obter mais informações sobre NSGs.
Se você preferir usar listas de segurança para a sua VCN, o serviço Load Balancing poderá sugerir regras de lista de segurança apropriadas. Você também pode configurá-las por meio do serviço Networking. Consulte Listas de Segurança para obter mais informações. Para obter informações detalhadas sobre a comparação entre NSGs e listas de segurança, consulte Regras de Segurança.
Recomendamos que você distribua os seus servidores de backend em todos os domínios de disponibilidade dentro da região.
Consumo de Endereço IP Privado
Um balanceador de carga de rede pública criado em uma sub-rede pública usa um endereço IP privado da sub-rede do host.
Um balanceador de carga de rede privada criado em uma única sub-rede consome um endereço IP privado da sub-rede do host.
Conceitos de Balanceador de Carga da Rede
- SERVIDOR DE BACKEND
- Um servidor de aplicativos responsável por gerar conteúdo em resposta ao tráfego recebido do cliente. Geralmente, você identifica os servidores de aplicativos com uma combinação exclusiva de endereço e porta IPv4 (privados) (particulares), por exemplo, 10.10.10.1:8080 e 10.10.10.2:8080. Para obter mais informações, consulte Servidores de Backend para Balanceadores de Carga de Rede.Observação
O servidor de backend não pode funcionar como cliente e backend simultaneamente, pois ele não pode iniciar o tráfego para o IP virtual (VIP) do balanceador de carga de rede. - CONJUNTO DE BACKEND
- Uma entidade lógica definida por uma lista de servidores de backend, uma política de balanceamento de carga e uma política de verificação de integridade. O conjunto de backend decide como o balanceador de carga de rede direciona o tráfego para o conjunto de servidores de backend. Para obter mais informações, consulte Conjuntos de Backend para Balanceadores de Carga de Rede.
- VERIFICAÇÃO DE INTEGRIDADE
-
Uma verificação de integridade é um teste para confirmar a disponibilidade dos servidores de backend. Uma verificação de integridade pode ser uma solicitação ou uma tentativa de conexão. Com base em um intervalo especificado, o balanceador de carga aplica a política de verificação de integridade para monitorar continuamente os servidores de backend. Se um servidor falhar na verificação de integridade, o balanceador de carga colocará o servidor temporariamente fora de rotação. Se posteriormente o servidor for aprovado na verificação de integridade, o balanceador de carga vai retorná-lo à rotação.
Você configura a sua política de verificação de integridade ao criar um conjunto de backend. Você pode configurar verificações de integridade em nível de TCP, de UDP ou de HTTP para seus servidores de backend.
- As verificações de integridade em nível de TCP tentam estabelecer uma conexão TCP com os servidores de back-end e validam a resposta com base no status da conexão.
- As verificações de integridade em nível de UDP tentam estabelecer uma conexão UDP com os servidores de back-end e validam a resposta com base no status da conexão.
- As verificações de integridade em nível de HTTP enviam solicitações aos servidores de back-end em um URI específico e validam a resposta com base no código de status ou dados da entidade (corpo) retornados.
O serviço fornece recursos de verificação de integridade específicos para o aplicativo, a fim de aumentar a disponibilidade e reduzir a janela de manutenção do aplicativo. Para obter mais informações sobre a configuração da verificação de integridade, consulte Políticas de Verificação de Integridade para Balanceadores de Carga de Rede.
- STATUS DE INTEGRIDADE
- Um indicador que reporta a integridade geral dos balanceadores de carga da rede e de seus componentes. Para obter mais informações, consulte Status de Integridade para Balanceadores de Carga de Rede.
- LISTENER
- Uma entidade lógica que verifica o tráfego de entrada no endereço IP do balanceador de carga da rede. Você configura o protocolo e o número da porta de um listener. Os protocolos para os quais há suporte incluem:
- UDP
- TCP
- UDP/TCP
- TCP/UDP/ICMP (somente privado)
- IP L3
Observação
Os balanceadores de carga de rede privada só suportam o protocolo ICMP, se o recurso de Preservação do Cabeçalho (IP, Porta) de Origem/Destino estiver ativado. Consulte Ativando a Preservação da Origem do Conjunto de Backend do Network Load Balancer para obter mais informações. Para obter mais informações, consulte Listeners para Balanceadores de Carga de Rede.
- POLÍTICA DE BALANCEAMENTO DE CARGA DA REDE
- Uma política de balanceamento de carga da rede instrui o balanceador de carga como distribuir o tráfego de entrada para os servidores de back-end. As principais políticas do balanceador de carga incluem:
- Hash de 5 Tuplas
- Hash de 3 Tuplas
- Hash de 2 Tuplas
- REGIÕES E DOMÍNIOS DE DISPONIBILIDADE
- O serviço Network Load Balancer gerencia o tráfego de aplicativos nos domínios de disponibilidade dentro de uma região . Uma região é uma área geográfica localizada e um domínio de disponibilidade abrange um ou mais data centers localizados em uma região. Uma região é composta por vários domínios de disponibilidade. Para obter mais informações, consulte Regiões e Domínios de Disponibilidade.
- SUB-REDE
- Uma subdivisão que você define em uma rede virtual na nuvem (VCN), como 10.0.0.0/24 e 10.0.1.0/24. Uma sub-rede consiste em um intervalo contíguo de endereços IP que não se sobrepõem a outras sub-redes da VCN. Para cada sub-rede, você especifica as regras de roteamento e de segurança que se aplicam a ela. Para obter mais informações sobre sub-redes, consulte Gerenciamento de VCN e Sub-rede e Faixas de Endereços IP Públicos.
- TAGS
-
Você pode aplicar tags aos seus recursos para ajudar a organizá-los de acordo com suas necessidades comerciais. Você pode aplicar tags no momento da criação de um recurso ou pode atualizar o recurso posteriormente com as tags desejadas. Para obter informações gerais sobre como aplicar tags, consulte Tags de Recursos.
- REDE VIRTUAL NA NUVEM (VCN)
- Uma rede privada que você configura nos data centers da Oracle, com regras de firewall e tipos específicos de gateways de comunicação que você pode optar por usar. Uma VCN abrange um único bloco IPv4 CIDR contíguo de sua escolha nos intervalos de endereços IP permitidos. Você precisa de pelo menos uma rede virtual na nuvem para que possa iniciar um balanceador de carga da rede. Para obter informações sobre a configuração de redes virtuais na nuvem, consulte Visão Geral do Serviço Networking.
- VISIBILIDADE
- Especifica se o seu balanceador de carga de rede é público ou privado.
- SOLICITAÇÃO DE SERVIÇO
- Um objeto que reporta o estado atual de uma solicitação do balanceador de carga de rede. O Balanceador de Carga de Rede trata as solicitações de forma assíncrona. Cada solicitação retorna um ID de solicitação de serviço (OCID) como resposta. Você pode exibir o item de solicitação de serviço para ver o status da solicitação. Para obter mais informações, consulte Solicitações de Serviço para Balanceadores de Carga de Rede.
Identificadores de Recurso
A maioria dos tipos de recursos do Oracle Cloud Infrastructure tem um identificador exclusivo designado pela Oracle chamado OCID (Oracle Cloud ID). Para obter informações sobre o formato do OCID e outras maneiras de identificar seus recursos,, consulte Identificadores de Recursos.
Maneiras de Acessar o Oracle Cloud Infrastructure
Você pode acessar o OCI (Oracle Cloud Infrastructure) usando a Console (uma interface baseada em browser), a API REST ou a CLI do OCI. Instruções para usar a Console, API e CLI estão incluídas em tópicos ao longo deste guia. Para ver uma lista de SDKs disponíveis, consulte Software Development Kits e Interface de Linha de Comando.
Recursos de Monitoramento
Você pode monitorar a integridade, a capacidade e o desempenho dos recursos do Oracle Cloud Infrastructure usando métricas, alarmes e notificações. Para obter mais informações, consulte os serviços Monitoring e Notifications.
Para obter informações sobre o monitoramento do tráfego que passa pelo balanceador de carga da rede, consulte Métricas do Serviço Network Load Balancer.
Autenticação e Autorização
Cada serviço do Oracle Cloud Infrastructure integra-se ao serviço IAM para autenticação e autorização em relação a todas as interfaces (a Console, SDK ou CLI e API REST).
Um administrador de uma organização precisa configurar grupos, compartimentos e políticas que controlam quais usuários podem acessar quais serviços, quais recursos e o tipo de acesso. Por exemplo, as políticas controlam quem pode criar novos usuários, criar e gerenciar a rede na nuvem, criar instâncias, criar buckets, fazer download de objetos e assim por diante. Para obter mais informações, consulte Gerenciando Domínios de Identidades. Para ver detalhes específicos sobre a gravação de políticas para cada um dos diferentes serviços, consulte a Referência de Políticas.
Se você for um usuário comum (não um administrador) que precisa usar os recursos do Oracle Cloud Infrastructure que a empresa possui, entre em contato com um administrador para configurar um ID de usuário para você. O administrador pode confirmar o(s) compartimento(s) que você pode usar.
Limites dos Balanceadores de Carga de Rede
Cada balanceador de carga tem os seguintes limites de configuração:
- Um endereço IPv4 e um endereço IPv6
- 50 conjuntos de backend
- 512 servidores de backend por conjunto de backend
- Um total de 1.024 servidores de backend
- 50 listeners
- Limite padrão de 330.000 conexões simultâneas por domínio de disponibilidade
Para obter uma lista dos limites e instruções aplicáveis para solicitar um aumento de limite, consulte Limites do Serviço
Políticas de IAM Obrigatórias
Para usar o Oracle Cloud Infrastructure, um administrador deve ser membro de um grupo com acesso de segurança concedido em uma política por um administrador da tenancy. Esse acesso será necessário se você estiver usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Se você receber uma mensagem de que não tem permissão ou que não está autorizado, verifique com o administrador da tenancy qual tipo de acesso você tem e em qual compartimento seu acesso funciona.
Para administradores: Para uma política típica que permite acesso a balanceadores de carga e seus respectivos componentes, consulte Permitir que os administradores de rede gerenciem balanceadores de carga.
Observe também que uma instrução de política com inspect load-balancers oferece ao grupo especificado a capacidade de verificar todas as informações sobre os balanceadores de carga. Para obter mais informações, consulte Detalhes do Serviço Load Balancing.
Se você iniciante em matéria de políticas, consulte Conceitos Básicos de Política and Políticas Comuns.
Políticas do Serviço Network Load Balancer
Após criar um balanceador de carga de rede, você pode aplicar políticas para controlar a distribuição do tráfego aos seus servidores de backend. Consulte Criando um Balanceador de Carga de Rede.
O serviço Network Load Balancer suporta três tipos principais de política do balanceador de carga da rede:
- Hash de 5 Tuplas:: Roteia o tráfego de entrada com base no Hash de 5 Tuplas (IP e porta de origem, IP e porta de destino, protocolo). Esta é a política padrão do balanceador de carga da rede.Observação
Quando o protocolo de listener IP L3 é selecionado, o balanceador de carga não suporta políticas de hash de 5 Tuplas. - Hash de 3 Tuplas: Roteia o tráfego de entrada com base no Hash de 3 Tuplas (IP de origem, IP de destino, protocolo).
- Hash de 2 Tuplas: Roteia o tráfego de entrada com base no Hash de 2 Tuplas (IP de origem, IP de destino).
A política de Hash de 5 Tuplas fornece afinidade de sessão dentro de uma determinada sessão TCP ou UDP, na qual os pacotes na mesma sessão são direcionados ao mesmo servidor de backend por trás do balanceador de carga de rede flexível. Use uma política de balanceamento de carga de rede de 3 Tuplas ou 2 Tuplas para fornecer afinidade de sessão além do tempo de vida de uma determinada sessão.
Ao processar carga ou capacidade que varia entre os servidores de backend, você pode refinar cada um desses tipos de política com a ponderação do servidor de backend. A ponderação afeta a proporção de solicitações direcionadas a cada servidor. Por exemplo, um servidor ponderado como 3 recebe três vezes o número de conexões do servidor ponderado como 1. Você designa pesos com base em critérios da sua escolha, como a capacidade de tratamento de tráfego de cada servidor. Os valores de peso devem ser de 1 a 100.
Timeout de Conexões Ociosas
O balanceador de carga da rede rastreia o estado de todos os fluxos TCP e UDP que passam por ele. Uma combinação de protocolo IP e endereços IP e portas de origem e destino definem um fluxo. O fluxo poderá ser removido se nenhum tráfego for recebido do cliente ou do servidor por mais tempo que o timeout de inatividade. Todos os pacotes TCP recebidos após o timeout de inatividade são eliminados. Para fluxos UDP, um pacote posterior é considerado como um novo fluxo e roteado para um novo servidor de backend.
A duração do timeout de inatividade para fluxos TCP é de 6 minutos e para fluxos UDP é de 2 minutos. Você pode ajustar esses horários ao criar um listener para um balanceador de carga de rede e também ao editar um listener existente. Consulte Alterando o Timeout de Inatividade de um Listener para obter mais informações.
Registro em Log
As atividades de balanceamento de carga da rede são registradas por meio dos logs de fluxo da rede virtual na nuvem (VCN). Consulte Logs de Fluxo da VCN para obter mais informações.
Criptografia
O serviço Network Load Balancer não altera diretamente o tráfego recebido. Portanto, para proteger o tráfego que está sendo enviado por meio do balanceador de carga de rede para os backends, você é responsável por criptografar os aplicativos nos backends que recebem o tráfego. Para incorporar o encerramento de SSL em um balanceador de carga, use o serviço Load Balancer.