VPC のロード・バランサーの概要
IBM Cloud® には、VPC 用のロード・バランサーとして、Application Load Balancer for VPC (ALB) および Network Load Balancer for VPC (NLB) という 2 つのファミリーがあります。
ロード・バランサーの種類
さまざまなタイプのロード・バランサーには、いくつかの違いがあります。
アプリケーション・ロード・バランサー
IBM Cloud は、Secure Sockets Layer (SSL) オフロードをサポートするパブリック ALB とプライベート ALB を提供します。 ALB は、 IBM Cloudでレイヤー 7 およびレイヤー 4 のロード・バランシングを提供しますが、ALB は主にレイヤー 7 の Web ベースのワークロードを対象としています。 ALB は、 IBM Cloud Direct Link を介してバックエンド・プール・メンバーとして接続された仮想サーバー・インスタンス、ベアメタル・サーバー・インスタンス、および Power Systems Virtual Server インスタンスをサポートします。 詳しくは、アプリケーション・ロード・バランサーについてを参照してください。
ネットワーク・ロード・バランサー
ALB とは対照的に、NLB は IBM Cloudでレイヤー 4 ロード・バランシングのみを提供し、SSL オフロードをサポートしていません。 クライアントはパブリック・ネットワーク・トラフィックを NLB に送信し、NLB はそれをターゲット仮想サーバーに転送します。 その後、これらの仮想サーバーは、Direct Server Return (DSR) を使用してクライアントに直接応答します。 NLB は主に、低遅延と高データ・スループットを必要とするワークロードを対象としています。
これにより、ネットワーク・ロード・バランサーは、以下の方法でパフォーマンスを向上させることで、ALB よりも優れています。
- ターゲット・サーバーからのリターン・トラフィックは NLB をバイパスし、クライアントに直接応答します。
- NLB は着信トラフィックを処理するため、トラフィック/ロードの高速ディストリビューターになることができます。
- NLB には、割り当てられた完全修飾ドメイン・ネーム (FQDN) ではなく、直接使用できる単一の高可用性仮想 IP (VIP) があります。 この VIP は、ロード・バランサーによって提供されるアプリケーションまたはサービスにアクセスするために IP を使用する必要があるクライアントを支援します。 また、アプリケーション・ロード・バランサーの DNS ベースの可用性と比較して、障害復旧を高速化することもできます。
ネットワーク・ロード・バランサーにアクセスするには、仮想プライベート・エンドポイント (VPE) を使用する必要があります。 VPE の作成は VPE サービス登録によって行われ、明示的なプロバイダー承認の対象にはなりません。 ネットワーク・ロード・バランサーのデータ・パスには、ロード・バランサー自体の内外のトラフィックに適用されるセキュリティー・グループまたはネットワーク ACL はありません。 ロード・バランサー・リスナーに送信されるトラフィックはロード・バランシングされ、メンバーに送信されます。
以下では、メンバー側でのネットワーク ACL およびセキュリティー・グループの動作について説明します。
- メンバーのヘルス・チェック
- ヘルス・チェック・トラフィックは常に許可されます。 NLB ヘルス・チェック・トラフィックのソース IP は、メンバーが存在するサブネットのデフォルト・ゲートウェイの IP アドレスです。
- メンバーへのデータ・パス
- トラフィックは、メンバー・ネットワーク・インターフェース上のセキュリティー・グループまたはネットワーク ACL の影響を受けます。 トラフィックのソース IP は、クライアントのサービス・ゲートウェイ、または CSE インスタンスのサービス・ゲートウェイです。 通常、プロバイダーは、セキュリティー・グループ (
10/8および関連する161,166CIDR) でこのトラフィックを明示的に許可します。 ソース IP はクライアントのサービス・ゲートウェイであるため、セキュリティー・グループまたはネットワーク ACL で特定のお客様の VPC を許可または拒否することが (理論上) 可能です。
Network Load Balancer for VPC は、ルーティング・モードが有効になっているロード・バランサー構成 (パブリック、プライベート、プライベート・パス、プライベート・タイプ) をサポートします。 詳しくは、 ネットワーク・ロード・バランサーについて を参照してください。
図 1 を使用すると、お客様 (ユーザー) が要件に合った適切なロード・バランサーを選択するのに役立ちます。
プライベート・パス・ネットワーク・ロード・バランサー
IBM Cloud Private Path サービスのベータ版は、許可リストに登録されているユーザーのみが使用できます。 このベータ版オファリングへの早期アクセスに関心がある場合は、 IBM サポート担当員にお問い合わせください。
プライベート・パス NLB は、 プライベート・パス・サービス を使用して、パブリック・インターネットと交差することのないプライベート・パス上のネットワーク・トラフィックを保持する場合に必要です。
プライベート・パス・サービスは、プライベート・パス NLB でのみ機能します。
VPE の作成は、プライベート・パス・サービスでのプロバイダーの承認によって行われます。 プライベート・パス・ネットワーク・ロード・バランサーのデータ・パスには、ロード・バランサー自体の内外のトラフィックに適用されるセキュリティー・グループまたはネットワーク ACL はありません。 ロード・バランサー・リスナーに送信されるトラフィックはロード・バランシングされ、メンバーに送信されます。
以下では、メンバー側でのネットワーク ACL およびセキュリティー・グループの動作について説明します。
- メンバーのヘルス・チェック
- ヘルス・チェック・トラフィックは常に許可されます。
詳しくは、「 プライベート・パス・ソリューション・ガイド」を参照してください。
ロード・バランサーの比較グラフ
次の表に、ロード・バランサーのタイプの比較を示します。
| 機能 | アプリケーション・ロード・バランサー (パブリック/プライベート) |
ネットワーク・ロード・バランサー (パブリック/プライベート) |
ネットワーク・ロード・バランサー (プライベート・パス) |
|---|---|---|---|
| HA モード | アクティブ-アクティブ (複数の仮想 IP (VIP) が DNS 名に割り当てられている) | アクティブ-スタンバイ (単一の VIP を使用) | アクティブ-アクティブ (地域 HA) |
| インスタンス・グループ・サポート | はい (ALB for VPC とインスタンス・グループの統合 を参照) | いいえ | いいえ |
| モニタリング・メトリック | ある | ある | いいえ |
| マルチゾーン・サポート | ある | 制限付き [1](マルチゾーン・サポート を参照) | ある |
| セキュリティー・グループ・サポート | はい (ALB for VPC とセキュリティー・グループの統合を参照) | はい ( ネットワーク・ロード・バランサーとセキュリティー・グループの統合 を参照) | いいえ |
| 送信元 IP アドレスが保持される | はい (プロキシー・プロトコルを使用) | ある | いいえ |
| SSL オフロード | ある | いいえ | いいえ |
| サポートされているプロトコル | HTTPS、HTTP、TCP | TCP、UDP | TCP |
| トランスポート層 | レイヤー 4、レイヤー 7 | レイヤー 4 | レイヤー 4 |
| 仮想 IP アドレス (VIP) | 複数 | 単一 | N/A |
| VNF のルーティング・モード | いいえ | はい ( VPC を介した仮想ネットワーク機能について を参照) | いいえ |
| VPC 上の仮想サーバー | ある | ある | ある |
| メンバーのタイプ | 仮想サーバー・インスタンス、ベア・メタル、Power Systems Virtual Server | 仮想サーバー・インスタンス | 仮想サーバー・インスタンス |
| Direct Link を介して接続された Power Systems Virtual Server インスタンス | はい (インスタンス・グループのサポートなし) | いいえ | いいえ |
| ポート範囲 | いいえ | パブリックのみ [2] | ある |
ロード・バランサーのアーキテクチャー、メソッド、ユース・ケースなどについて詳しくは、 アプリケーション・ロード・バランサーについて および ネットワーク・ロード・バランサーについて を参照してください。
高可用性モード
アプリケーション・ロード・バランサーは、アクティブ-アクティブのモードで構成されます。 ロード・バランサーのすべてのコンピュート・リソースが、トラフィックの転送にアクティブに使用されます。
高可用性 (HA) は、ドメイン・ネーム・サービス (DNS) を使用して実現されます。 各計算リソースの VIP は、割り当てられた DNS に登録されます。 いずれかのコンピュート・リソースがダウンした場合は、他のリソースがトラフィックの転送を続けます。
NLB は、アクティブ-スタンバイのモードで構成されます。 DNS には単一の VIP が登録され、トラフィックはそのコンピュート・リソースによって転送されます。 アクティブなコンピュート・リソースがダウンした場合には、スタンバイが引き継ぎ、VIP がスタンバイに移動します。
プライベート・パス NLB インスタンスは、メンバーが構成されているすべてのゾーンで実行され、いずれかのゾーンに正常なメンバーが存在する限りトラフィックを処理できます。
マルチゾーン・サポート
パブリックとプライベート: パブリックとプライベートのネットワーク・ロード・バランサーは、3 つのアベイラビリティー・ゾーンすべてにわたってメンバーを受け入れることができますが、NLB 自体は 1 つの特定のゾーンにあります。 ゾーンは、ロード・バランサーの作成時に選択するサブネットを介して指定します。 Cloud Internet Services (CIS) グローバル・ロード・バランサーまたはプライベート DNS は、マルチゾーンの可用性のために複数のゾーン・ネットワーク・ロード・バランサーとともに使用できます。
アプリケーション・ロード・バランサーは、複数のゾーンにまたがるように構成することもできます。 バックエンド・サーバーは、リージョン内の任意のゾーンに配置できます。
プライベート・パス NLB は、3 つのすべてのゾーンのメンバーを受け入れることができ、(どのゾーンにあっても) 正常なメンバーが存在する限り、トラフィックを処理することができます。 プライベート・パス NLB 用に定義されたサブネットを保持しているゾーンがダウンしている場合でも、ロード・バランサーは稼働したままになり、他のゾーンのメンバーにトラフィックを提供することができます。
プライベート・カタログとの統合
ALB と NLB は両方ともプライベート・カタログと統合して、 IBM Cloud カタログおよび独自のカタログ内の製品へのアクセスを一元的に管理します。 プライベート・カタログをカスタマイズすると、アカウントの特定ユーザーに対してロード・バランサーのプロビジョニングを許可または禁止できます。 詳しくは、プライベート・カタログで選択できるもののカスタマイズを参照してください。
価格設定メトリック
ALB と NLB は、以下のメトリックに基づいて価格設定を決定します。
1 カ月当たりのインスタンス時間: 暦月ごとに ALB または NLB が使用される時間数を測定します。
処理されたデータ: 暦月に ALB または NLB によって処理されたデータの量をギガバイト (GB) 単位で測定します。