使用灵活的负载平衡和网络负载平衡器服务处理高峰 SSL 流量
Oracle Cloud Infrastructure Load Balancing 服务提供基于代理的自动通信分布,从一个入口点到可从虚拟云网络 (VCN) 访问的多个服务器,用于 TCP 和 HTTP 通信。该服务为负载平衡器提供了您选择的公共或专用 IP 地址以及预配的带宽。
Oracle Cloud Infrastructure 灵活网络负载平衡服务 (Network Load Balancer) 自动将流量分布从一个入口点到后端集中的多个服务器。它支持 TCP、UDP 和 ICMP 流量的分布。
合并这两种模式将允许大量 SSL 连接,同时允许将 SSL 开销卸载到负载平衡,从而无需后端证书分发并减少后端资源的整体负载。
净结果能够扩展到多个灵活负载平衡器,从而指数化地增加可用容量,同时维护工作量的单个入口点。
体系结构
此体系结构显示如何使用灵活的负载平衡服务和网络负载平衡器水平缩放与单个端点的 SSL 连接。
公共子网中的网络负载平衡器提供了公共 IP 地址,以确保应用程序始终在高峰需求期间可用。网络负载平衡器根据 IP 协议数据平衡到后端服务器的传入 SSL 连接。专用子网中的灵活负载平衡器连接到具有自动缩放功能的单个实例池,以允许后端服务器弹性和满足需求。使用此体系结构,根据传入流量模式,随着流量减少,可用带宽从最小值向上扩展或从最大值缩小。
下图说明了此引用体系结构。 插图 horizontal-scaling-using-lbaas.png 的说明
体系结构包含以下组成部分:
- 区域
Oracle Cloud Infrastructure 区域是包含一个或多个数据中心(称为可用性域)的本地化地理区域。区域独立于其他区域,其距离很广(跨越国家或甚至大陆)。
- 虚拟云网络 (VCN) 和子网
VCN 是在 Oracle Cloud Infrastructure 区域中设置的可定制的软件定义网络。与传统的数据中心网络一样,VCN 为您提供了对网络环境的完全控制。VCN 可以有多个非重叠 CIDR 块,您可以在创建 VCN 后更改这些块。可以将 VCN 细分为子网,子网可限定为区域或可用性域。每个子网包含一系列与 VCN 中的其他子网不重叠的地址。您可以在创建后更改子网的大小。子网可以是公共的或专用的。
- 负载平衡器
Oracle Cloud Infrastructure Load Balancing 服务提供从单个入口点到后端多个服务器的自动通信分发。
- 实例池
实例池是区域中从同一实例配置创建并作为组管理的一组实例。
- 自动缩放
自动缩放使您可以根据性能度量(例如 CPU 占用率)自动调整实例池中的计算实例数。
当实例池向外扩展或向内扩展时,将自动更新关联的负载平衡器的后端集。
- 网络负载平衡器
Oracle Cloud Infrastructure Flexible Network Load Balancing 服务是负载平衡器,它还会自动从一个入口点进行通信分配,但它是一个非代理传递,支持 TCP、UDP 和 ICMP 流量的分配。
建议
- VCN
创建 VCN 时,根据计划附加到 VCN 中子网的资源数确定所需的 CIDR 块数和每个块的大小。使用标准专用 IP 地址空间内的 CIDR 块。
选择不与您打算设置专用连接的任何其他网络(在 Oracle Cloud Infrastructure、内部部署数据中心或其他云提供商中)重叠的 CIDR 块。
创建 VCN 后,可以更改、添加和删除其 CIDR 块。
设计子网时,请考虑流量和安全要求。将特定层或角色中的所有资源附加到可用作安全边界的同一子网。
- 网络负载平衡器
在公共子网中部署单个网络负载平衡器,同时在后端使用多个负载平衡器实例。
- Oracle Cloud Infrastructure Load Balancing 服务
在专用子网中部署 Oracle Cloud Infrastructure Load Balancing 实例。建议在负载平衡实例上执行 SSL 终止,以减少后端服务器上的开销。
- 实例池
所有负载平衡实例都附加到配置有应用程序特定配置的单个实例池。这将确保所有负载平衡实例具有相同的后端 IP 和端口组合,以允许所有平衡器中的会话持久性。
- 自动缩放配置
确保将自动缩放配置为部署多个实例以满足专用子网中的带宽和连接要求。
- 源保留
在网络负载平衡器上配置源保留以允许负载平衡错误和访问日志反映准确的源客户机 IP 地址。
- 日志
此体系结构从负载平衡服务和 VCN 流日志捕获日志。连接到 VCN 的每个计算实例负载平衡和网络负载平衡器都有一个或多个虚拟网络接口卡 (virtual network interface card, VNIC)。使用 VCN 流日志对安全规则进行故障排除,并审计 VNIC 和 VNIC 之间的通信。您还可以使用负载平衡错误和访问日志来监视。
- 访问控制
使用安全列表、NSG 和负载平衡器访问控制列表的组合可遵循最小权限原则,以提供正确操作应用程序所需的最细粒度访问级别。