Oracle Cloud Infrastructureドキュメント

ロード・バランサの作成

ロード・バランサを作成して、1つのエントリ・ポイントから仮想クラウド・ネットワーク(VCN)からアクセス可能な複数のサーバーに自動的にトラフィックを分散することが可能です。

前提条件の詳細は、ロード・バランサ管理を参照してください。

  • 「ロード・バランサ」リスト・ページで、「ロード・バランサの作成」を選択します。リスト・ページの検索に関するヘルプが必要な場合は、ロード・バランサのリストを参照してください。

    ロード・バランサの作成は、次のページで構成されています:

    • 1.詳細の追加

    • 2.バックエンドの選択

    • 3.リスナーの構成

    • 4.ロギングの管理

    • 5.確認および作成

    次の各ワークフローを順番に実行します。前のページに戻るには、「前」を選択します。

    1. 詳細の追加

    「詳細の追加」ページでは、ロード・バランサの基本情報を指定します。

    次の情報を入力します:

    • ロード・バランサ名: デフォルト名を受け入れるか、ロード・バランサのフレンドリ名を入力します。この名前は一意である必要はありませんが、コンソールでは変更できません。ただし、APIでは変更できます。

    • 表示タイプの選択: 次のいずれかのオプションを選択します:

      • パブリック: パブリック・ロード・バランサを作成します。割り当てられたパブリックIPアドレスを受信トラフィックのフロント・エンドとして使用して、すべてのバックエンド・サーバー間のトラフィックのバランスをとることができます。パブリックIPアドレス・オプションを選択すると、パブリックIPアドレス・タイプを選択および完了するように求められます。

      • プライベート: プライベート・ロード・バランサを作成します。割り当てられたプライベートIPアドレスを内部受信VCNトラフィックのフロント・エンドとして使用して、すべてのバックエンド・サーバー間のトラフィックのバランスをとることができます。

    • パブリックIPアドレスの割当て: パブリック・ロード・バランサの作成を選択した場合は、次のいずれかのオプションを選択します。詳細は、パブリックIPアドレスを参照してください。

      • Ephemeral IP address: OracleがOracle IPプールからエフェメラルIPアドレスを指定できます。このオプションがデフォルトです。

      • 予約済IPアドレス: 名前で既存の予約済IPアドレスを指定するか、名前を割り当ててそのアドレスのソースIPプールを選択して新しい予約済IPアドレスを作成します。ユーザー作成プールを選択しない場合は、デフォルトのOracle IPプールが使用されます。

    帯域幅

    ロード・バランサの帯域幅について、「フレキシブル・シェイプ」を選択します。動的シェイプは非推奨であり、使用することはお薦めしません。

    • 「Minimum bandwidth」および「Maximum bandwidth」: 値を選択して、ロード・バランサの帯域幅シェイプの上限と下限のサイズ範囲を作成します。指定可能なサイズ範囲は10Mbpsから8,000Mbpsです。

      • 最小帯域幅は、ワークロードに対してすぐに準備できるように常に使用可能な帯域幅の量を示します。

      • 最大帯域幅は、ワークロードのピーク時にロード・バランサでサポートされる帯域幅の上限の量です。

      固定シェイプ・サイズ(500 Mbpsなど)を指定するには、最小スライダと最大スライダを同じ値に設定します。

      ロード・バランサを有料アカウント・ユーザーとして作成する場合、制限に基づいて様々なシェイプ・オプションを作成し、ロード・バランサの作成後にシェイプを変更して後から帯域幅を調整できます。コンソールでサービス制限および割当て制限を表示するには、「ガバナンスと管理」>「制限、割当ておよび使用状況」に移動します。「サービス」リストから「LbaaS」を選択します。帯域幅サイズのオプションがリストされます。サービス制限を参照してください。

      請求は、ロード・バランサ・ベース・インスタンスに対する1分当たりの課金に、帯域幅使用料を加えたものです。

      • 実際の使用量が指定した最小帯域幅以下の場合、最小帯域幅に対して請求されます。

      • 実際の使用量が最小帯域幅を超える場合、分単位で使用された実際の帯域幅に対して請求されます。

      Always Freeオプションは、ホーム・リージョンの有料アカウントに組み込まれています。帯域幅の最初の10Mbpsは無料であり、そのように請求に示されます。

      ノート

      プリペイド動的(固定)シェイプ・サイズを使用する政府アカウントでは、フレキシブル帯域幅シェイプが事前に決定されたサイズを超えると、超過料金が発生するリスクがあります。フレキシブル・ロード・バランサ機能を使用する前に、契約で適切な帯域幅の量を持つフレキシブル・ロード・バランサSKUに政府アカウントを更新してください。

      非ユニバーサル・クレジットSKUを使用する場合、超過料金が発生しないように、更新するシェイプが契約に含まれていることを確認してください。

      ロード・バランサの作成が完了した後で、帯域幅シェイプを別のサイズに調整できます。Load Balancerの帯域幅シェイプの変更を参照してください。

    • IPv6アドレス割当ての有効化: ロード・バランサが受信リクエストに対してIPv6アドレスをサポートする場合は、このチェック・ボックスを選択します。Oracle Cloud InfrastructureのIPv6実装の詳細は、IPv6アドレスを参照してください。

      ロード・バランサを作成する場合、オプションでIPv4/IPv6デュアルスタック構成を選択できます。IPv6オプションを選択すると、ロード・バランシング・サービスによってIPv4とIPv6アドレスの両方がロード・バランサに割り当てられます。ロード・バランサは、割り当てられたIPv6アドレスに送信されるクライアント・トラフィックを受信します。ロード・バランサは、IPv4アドレスのみを使用してバックエンド・サーバーと通信します。ロード・バランサとバックエンド・サーバーは、IPv6通信を使用しません。

      IPv6アドレスの割当ては、ロード・バランサの作成時にのみ行われます。既存のロード・バランサにIPv6アドレスを割り当てることはできません。

    ネットワーキングの選択

    現在のコンパートメントに少なくとも1つのVCNが含まれている場合、コンソールには選択元のVCNsのリストが表示されます。必要に応じてコンパートメントを変更し、使用するVCNを検索します。

    • 仮想クラウド・ネットワーク・コンパートメント: ロード・バランサに使用するVCNを含むコンパートメントを選択します。

    • 仮想クラウド・ネットワーク: ロード・バランサに使用するVCNを選択します。

    • サブネット・コンパートメント: 使用可能なサブネットを選択します。パブリック・ロード・バランサの場合、これはパブリック・サブネットである必要があります。パブリックまたはプライベートに加え、サブネットはリージョンまたはAD固有のいずれかになります。リージョナル・サブネットを使用することをお薦めします。VCNとサブネットの概要を参照してください。

    • サブネット(2/2): 「サブネット」にAD固有のサブネットを指定し、作業しているリージョンに複数の可用性ドメインが含まれる場合のパブリック・ロード・バランサで必須。2番目のパブリック・サブネットを選択します。2番目のサブネットは、最初のサブネットとは別の可用性ドメインに存在する必要があります。

      ノート

      まだ含まれていないコンパートメントにVCNを作成するには、VCNの作成が自動的に提供されます。オプションで、新しいVCNのわかりやすい名前を入力できます。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。新しいVCNの名前を指定しない場合、自動的に名前が生成されます。

    • ネットワーク・セキュリティ・グループを使用してトラフィックを制御: ロード・バランサをネットワーク・セキュリティ・グループ(NSG)に追加する場合に選択します。ネットワーク・セキュリティ・グループを参照してください。デフォルトでは、コンソールに、作業しているコンパートメント内のNSGのリストが表示されます。コンパートメントを変更して、別のコンパートメントからNSGを選択します。次に、NSGを選択します。複数のNSGを選択できます。ロード・バランサが属するNSGは、作成後に変更できます。

    セキュリティ

    • Webアプリケーション・ファイアウォール・ポリシーを使用してレイヤー7攻撃から保護: Webアプリケーション・ファイアウォール・ポリシーを攻撃に対する保護としてロード・バランサに適用する場合に選択します。

    • リージョン内のWebアプリケーション・ファイアウォール・ポリシーの割当て: 現在のコンパートメントで使用可能なWebアプリケーション・ファイアウォール・ポリシーをリストから選択します。別のコンパートメント内のWebアプリケーション・ファイアウォール・ポリシーにアクセスするようにコンパートメントを変更します。

    Webアプリケーション・ファイアウォール・ポリシーの詳細は、Web Application Firewallの概要を参照してください。

    アクセラレーション

    • Webアプリケーション・アクセラレーション・ポリシーを使用したパフォーマンスのスピードアップ: Webアプリケーション・アクセラレーション・ポリシーを適用してパフォーマンスを高速化する場合に選択します。

    • Webアプリケーション・高速化ポリシーの割当て: 現在のコンパートメントで使用可能なWebアプリケーション・ファイアウォール・ポリシーをリストから選択します。コンパートメントを変更して、別のコンパートメントのWebアプリケーション・アクセラレーション・ポリシーにアクセスします。

    Webアプリケーション・アクセラレーション・ポリシーの詳細は、「Webアプリケーション・アクセラレーション」を参照してください。

    管理

    • コンパートメントに作成: ロード・バランサのコンパートメントを選択します。

    • ロード・バランサ、リスナーおよびバックエンドがまだアクティブな場合の削除の防止: トラフィックを受け入れるように構成されている場合、ロード・バランサ、またはロード・バランサに含まれるリスナーまたはバックエンド・サーバーが誤って削除されないようにするには、このチェック・ボックスを選択します。

      • ロード・バランサは、トラフィックを受け入れるように構成されたリスナーが含まれている場合にトラフィックを受け入れるように構成されます。

      • リスナーは、トラフィックを受け入れるように構成されたバックエンド・サーバーを含むバックエンド・セットを参照するときに、トラフィックを受け入れるように構成されます。

      • バックエンド・サーバーは、リスナーによって参照されるバックエンド・セット内にあり、バックエンド・サーバーがドレインもオフラインもしていない場合にトラフィックを受け入れるように構成されます。

    タグ付け

    リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に連絡してください。タグは後で適用できます。

    動的シェイプ(非推奨)

    次に、特定のレガシー・カスタマ・アカウントでのみ使用可能な動的シェイプ機能について説明します:

    動的シェイプ: 次の事前定義済シェイプ・サイズのいずれかを選択します:

    • 10 Mbps

    • 100 Mbps

    • 400 Mbps

    • 8,000 Mbps

    ロード・バランサを有料アカウント・ユーザーとして作成する場合、制限に基づいて様々なシェイプ・オプションを作成し、ロード・バランサの作成後にシェイプを変更して後から帯域幅を調整できます。コンソールでサービス制限および割当て制限を表示するには、「ガバナンスと管理」>「制限、割当ておよび使用状況」に移動します。「サービス」リストからLbaaSを選択します。帯域幅サイズのオプションがリストされます。サービス制限を参照してください。

    ロード・バランサの作成が完了した後で、帯域幅シェイプを別のサイズに調整できます。Load Balancerの帯域幅シェイプの変更を参照してください。

    スライダを使用して動的サイズの値を柔軟なサイズに調整する場合、どのサイズの動的シェイプにも戻すことはできません。最小スライダと最大スライダを同じサイズに設定することで、動的(固定)サイズの効果を実現できます。

    「次へ」を選択して、次のステップに進みます。

    2. バックエンドの選択

    「バックエンドの選択」ページは、バックエンド・サーバーおよびバックエンド・セットを設定する場所です。

    ロード・バランサは、トラフィックをバックエンド・セット内のバックエンド・サーバーに分散します。バックエンド・セットは、ロード・バランシング・ポリシー、バックエンド・サーバー(コンピュート・インスタンス)のリスト、およびヘルス・チェック・ポリシーによって定義された論理エンティティです。ロード・バランサ作成ワークフローでは、ロード・バランサに対して1つのバックエンド・セットが作成されます。オプションで、ロード・バランサの作成後にバックエンド・セットおよびバックエンド・サーバーを追加できます。これらの機能の詳細は、バックエンド・セットおよびバックエンド・サーバーを参照してください。

    次の情報を入力します:

    ロード・バランシング・ポリシー

    バックエンド・セットに使用するロード・バランサ・ポリシーを選択します:

    • 加重ラウンド・ロビン: (デフォルト)受信トラフィックをバックエンド・セット・リストの各サーバーに順番に分散します。各サーバーが接続を受信すると、ロード・バランサはリストを同じ順序で繰り返します。ラウンド・ロビンは、基本的なロード・バランシング・アルゴリズムです。最適なのは、すべてのバックエンド・サーバーの容量が類似しており、各リクエストで要求される処理の負荷がそれほど大きくない場合です。

    • IPハッシュ: 特定のクライアントからのリクエストが常に同じバックエンド・サーバーに転送されることを確認します。ロード・バランサは、サーバーが使用可能であるかぎり、同じクライアントから同じバックエンド・サーバーにリクエストをルーティングします。このポリシーでは、初期接続を確立するときにサーバーの重み設定が考慮されます。バックアップとしてマークされたバックエンド・サーバーは、IPハッシュ・ポリシーを使用するバックエンド・セットに追加できません。

    • 最少接続: 受信リクエスト・トラフィックを、アクティブ接続が最も少ないバックエンド・サーバーにルーティングします。このポリシーは、バックエンド・サーバーでアクティブな接続を均等に分散するのに役立ちます。ラウンド・ロビン・ポリシーと同様に、各バックエンド・サーバーに重みを割り当て、トラフィック分散をさらに制御できます。

    これらのポリシーの詳細は、ロード・バランサ・ポリシーを参照してください。

    バックエンド・サーバー

    ロード・バランサに使用する1つ以上のバックエンド・サーバーを指定します。必要に応じて、ロード・バランサの作成後にさらに追加できます。

    1. バックエンド・サーバーとして使用するコンピュート・インスタンスを含むコンパートメントを選択します。一度に1つのコンパートメントからのみインスタンスを選択できます。
    2. 「インスタンスの追加」を選択します。
    3. 「バックエンドの追加」パネルで、ロード・バランサのバックエンド・セットに含めるインスタンスを選択します。バックアップとしてマークされたバックエンド・サーバーは、IPハッシュ・ポリシーを使用するバックエンド・セットに追加できません。
    4. 「インスタンスの追加」を選択します。
    5. 別のコンパートメントからインスタンスを追加するには、そのコンパートメントを選択し、前述のステップを繰り返します。

    バックエンド・セットにインスタンスを追加すると、それらは「バックエンド・サーバーの選択」表に表示されます。実行できるアクションは、次のとおりです:

    • ロード・バランサがトラフィックを転送する必要のあるサーバー・ポートを指定します。デフォルトはポート80です。

    • バックエンド・サーバーの「アクション」メニューから、「削除」を選択してバックエンド・セットから削除します。

    ヘルス・チェック・ポリシー

    バックエンド・サーバーのヘルスを確認するテスト・パラメータを指定します:

    • プロトコル: ヘルスチェックの問合せに使用するプロトコルとして、HTTPまたはTCPを指定します。ヘルス・チェック・プロトコルをアプリケーションまたはサービスと一致するように構成してください。ロード・バランサのヘルス・チェック・ポリシーを参照してください。

    • ポート: ヘルス・チェックを実行するバックエンド・サーバー・ポートを指定します。ヘルス・チェックでバックエンド・サーバーのトラフィック・ポートを使用するように、値"0"を入力できます。

    • プレーン・テキスト・ヘルス・チェックの強制: (HTTPのみ) SSLなしでバックエンド・サーバーにヘルス・チェックを送信する場合に選択します。このオプションは、バックエンド・サーバーのプロトコルがHTTPに設定されている場合にのみ使用できます。バックエンド・サーバーでSSLが有効になっていない場合、影響はありません。SSLが無効になっている場合、ヘルス・チェックは常にプレーン・テキストです。

    • 間隔(ミリ秒): ヘルス・チェックの実行頻度をミリ秒単位で指定します。デフォルトは10000(10秒)です。

    • タイムアウト(ミリ秒): ヘルス・チェックの応答を待機する最大時間をミリ秒単位で指定します。ヘルス・チェックは、このタイムアウト期間内に応答が返された場合にのみ成功します。デフォルトは3000(3秒)です。

    • 再試行回数: バックエンド・サーバーを異常とみなすまでの再試行回数を指定します。この数値は、サーバーを正常な状態にリカバリするときにも適用されます。デフォルトは3です。

    • ステータス・コード: (HTTPのみ)正常なバックエンド・サーバーが返す必要のあるステータス・コードを指定します。

    • URLパス(URI): (HTTPのみ)ヘルス・チェックを実行する対象のURLエンドポイントを指定します。

    • レスポンス本文の正規表現: (HTTPのみ)バックエンド・サーバーからレスポンス本文を解析するための正規表現を指定します。

    SSL

    SSLをロード・バランサ・バックエンドに適用する場合に選択します。このオプションを選択する場合、次を行います最適なセキュリティが必要な場合、ユーザーには、ロード・バランサとバックエンド・セット間のトラフィックに常にHTTPSを使用する責任があります。次の情報を入力します:

    • 証明書リソース: リストから次のいずれかのオプションを選択します。

      • ロード・バランサ・サービス管理対象証明書: 「CAバンドル」または「認証局」オプションを選択し、関連リストから選択します。「コンパートメントの変更」を選択して、CAバンドルまたは認証局を選択する別のコンパートメントを選択します。

      • ロード・バランサ管理証明書: 次のいずれかを選択します:

        • SSL証明書ファイルの選択: 証明書ファイルを「SSL証明書」フィールドにドラッグします。「ファイルの選択」を選択して、アップロードする証明書ファイルを選択できるシステム内を移動することもできます。証明書ファイルはPEM形式で、.pem.cerまたは.crtファイル拡張子を持っている必要があります。

          バックエンドSSLの自己署名証明書を送信する場合は、対応するCA証明書フィールドに同じ証明書を送信する必要があります。

        • SSL証明書のペースト: 証明書をコピーしてこのフィールドに直接貼り付けます。

    • CA証明書の指定: (バックエンドSSL終了構成で推奨。)CA証明書を指定する場合に選択します。ロード・バランサ管理SSL証明書を参照してください。

    • 秘密キー・ファイルの選択: PEM形式の秘密キーを「秘密キー」フィールドにドラッグします。「秘密キーの貼付け」オプションを選択して、秘密キーをこのフィールドに直接貼り付けることもできます。

    • 秘密キーのパスフレーズを入力します: 秘密キーのパスフレーズを指定します。

    バックエンド・セット

    バックエンド・セットの名前を入力します。ロード・バランサ内で一意になるように指定してください。変更できません。名前を指定しない場合、ロード・バランサ・サービスによって自動的に作成されます。バックエンド・セット名には英数字、ダッシュ("-")およびアンダースコア("_")のみを使用します。バックエンド・セット名にスペースは使用できません。

    最大バックエンド接続数

    • 制限の設定: 同時にアクティブなバックエンド接続の数に制限を設定する場合に選択します。このバックエンド・セットのバックエンド・サーバー接続の最大数に制限を設定すると、バックエンド・セット内のすべてのバックエンド・サーバーのデフォルトの最大接続値を指定します。バックエンド・セット内の個々のバックエンド・サーバーは、このデフォルト値をオーバーライドする独自の最大接続値を持つことができます。詳細は、バックエンド・セットの編集を参照してください。

    • バックエンド接続の最大数: ボックス内の接続の最大数を指定します。256–65535接続の範囲内の値を指定する必要があります。

    セキュリティ・リスト

    目的のトラフィックを許可するサブネット・セキュリティ・リスト・ルールを手動で構成するか、システムでセキュリティ・リスト・ルールを自動的に作成するかを選択します。これらのルールについてさらに学習するには、セキュリティ・ルールの構成要素を参照してください。

    • バックエンド・サーバーの追加後にセキュリティ・リスト・ルールを手動構成: このオプションを選択した場合、バックエンド・サーバーの追加後にセキュリティ・リスト・ルールを構成する必要があります。

    • セキュリティ・リスト・ルールを自動的に追加: このオプションを選択した場合、ロード・バランサ・サービスによってセキュリティ・リスト・ルールが作成されます。エグレス・セキュリティ・リストおよびイングレス・セキュリティ・リストの表が表示されます。各表では、関連するサブネットに適用するセキュリティ・リストを選択できます。影響を受ける各サブネットに対して、提案されたルールを適用するかどうかを選択できます。

    セッション永続性

    ロード・バランサがセッション永続性を管理する方法を指定します。これらの設定の構成に関する重要な情報は、ロード・バランサのセッション永続性を参照してください。

    • セッション永続性の無効化: Cookieベースのセッション永続性を無効にする場合は、このオプションを選択します。

    • アプリケーションCookie永続性の有効化: 指定したCookie名を持つSet-cookieヘッダーがバックエンド・アプリケーション・サーバーのレスポンスに含まれる場合に、単一の論理クライアントから永続セッションを有効にするには、このオプションを選択します。

      • Cookie名: セッション永続性の有効化に使用するCookie名。*を指定すると、任意のCookie名と一致します。

      • フォールバックの無効化: 元のサーバーが使用不可の場合にフォールバックを無効にする場合に選択します。

    • ロード・バランサCookieの永続性を有効化: このオプションを選択すると、ロード・バランサによって挿入されたCookieに基づいて永続セッションが有効になります。

      • Cookie名: セッション永続を有効にするために使用するCookieの名前を指定します。空白の場合、デフォルトのCookie名はX-Oracle-BMC-LBS-Routeです。バックエンド・アプリケーション・サーバーで使用されるCookie名が、ロード・バランサで使用されるCookie名と異なっていることを確認してください。

      • フォールバックの無効化: 元のサーバーが使用不可の場合にフォールバックを無効にする場合に選択します。

      • ドメイン名: Cookieが有効なドメインを指定します。この属性にデフォルト値はありません。値を指定しない場合、ロード・バランサはドメイン属性をSet-cookieヘッダーに挿入しません。

      • パス: オプション。Cookieが有効なパスを指定します。デフォルト値は/です。

      • 有効期限(秒): Cookieが有効な時間を指定します。空白の場合、クライアント・セッションの終了時にCookieの有効期限が切れます。

      • セキュア: Set-cookieヘッダーにSecure属性を含める必要があるかどうかを指定します。選択すると、クライアントはセキュア・プロトコルを使用している場合にのみCookieを送信します。この設定を有効にした場合、対応するバックエンド・セットとHTTPリスナーを関連付けることはできません。

      • HTTPのみ: Set-cookieヘッダーにHttpOnly属性を含める必要があります。選択すると、CookieはHTTPリクエストに制限されます。JavaScriptチャネルなど非HTTP APIを介してCookieにアクセスする場合、クライアントはCookieを省略します。

    「次へ」を選択して、次のステップに進みます。

    3. リスナーの構成

    「リスナーの構成」ページでは、ロード・バランサのリスナーを設定します。

    リスナーは、ロード・バランサのIPアドレス上の受信トラフィックをチェックする論理エンティティです。TCP、HTTPおよびHTTPSトラフィックを処理するには、トラフィック・タイプごとに少なくとも1つのリスナーを構成する必要があります。リスナーを作成する場合、VCNのセキュリティ・ルールでリスナーによるトラフィックの受入れが許可されていることを確認する必要があります。

    次の情報を入力します:

    • リスナー名: リスナーの名前を入力します。名前は一意である必要があります。変更することはできません。名前を指定しない場合、ロード・バランサ・サービスによって自動的に作成されます。

    • リスナーで処理するトラフィック・タイプの指定: リスナーで処理するトラフィック・タイプをリストから選択します:

      • HTTPS

      • HTTP

      • HTTP/2

      • gRPC

      • TCP

    • リスナーでイングレス・トラフィックをモニターするポートの指定: リスナーでイングレス・トラフィックをモニターするポートを指定します。デフォルト値は次のとおりです。

      • 443 (HTTPS)

      • 80 HTTP

      • 443 (HTTP/2)

      • 443 (gRPC)

      • 22 (TCP)

    SSL証明書

    HTTPS、HTTP/2またはgRPCプロトコルを選択した場合、またはTCPプロトコルを選択して「SSLの使用」を選択した場合は、証明書情報を指定します。最適なセキュリティが必要な場合、ユーザーには、ロード・バランサとバックエンド・セット間のトラフィックに常にHTTPSを使用する責任があります。

    「証明書リソース」で、次のいずれかのオプションを選択します。

    • 証明書サービス管理証明書: このオプションでは、Oracle Cloud Infrastructure Certificatesサービスを使用して、ロード・バランサで使用される証明書を管理します。詳細は証明書の概要を参照してください。

      ノート

      ロード・バランサで使用する証明書を作成および管理するには、証明書サービスを使用することをお薦めします。

      「CAバンドル」または「認証局」オプションを選択し、関連リストから選択します。

    • ロード・バランサ管理証明書: このオプションでは、ロード・バランサ・サービスの一部であるSSL証明書機能を使用します。詳細は、ロード・バランサ管理対象SSL証明書を参照してください。次のいずれかのオプションを選択します:

      • 証明書リソース: 証明書ファイルを「SSL証明書」フィールドにドラッグ・またはアップロードします。証明書ファイルはPEM形式で、.pem.cerまたは.crtファイル拡張子を持っている必要があります。

        証明書の内容をこのボックスに直接コピーして貼り付けることもできます。

        バックエンドSSLの自己署名証明書を送信する場合は、対応するCA証明書フィールドに同じ証明書を送信する必要があります。

      • CA証明書の指定: (バックエンドSSL終了構成で推奨。)認証局ファイルを「CA certificate」フィールドにドラッグまたはアップロードします。CA証明書ファイルはPEM形式で、.pem.cerまたは.crtファイル拡張子を持っている必要があります。

        CA証明書コンテンツをこのボックスに直接コピーして貼り付けることもできます。

      • 秘密キーの指定: PEM形式の秘密キー・ファイルを「秘密キー」ボックスにドラッグ・またはアップロードします。

        秘密キーの内容をこのボックスに直接コピーして貼り付けることもできます。

        オプションとして、「Enter private key passphrase」ボックスで秘密キー・パスフレーズを指定できます。

    • セッションの再開の有効化: 各リクエストの前に新しいSSL接続を完了するのではなく、前の暗号化セッションを再開する場合に選択します。セッションの再開を有効にすると、パフォーマンスが向上しますが、セキュリティのレベルは低くなります。

      各リクエストの前に新しいSSL接続を強制的に解除する機能をクリアします。セッション再開を無効にすると、セキュリティは向上しますが、パフォーマンスは低下します。

    • SSLの使用: SSLをロード・バランサ・バックエンドに適用する場合に選択します。このオプションを選択する場合、次を行います最適なセキュリティが必要な場合、ユーザーには、ロード・バランサとバックエンド・セット間のトラフィックに常にHTTPSを使用する責任があります。

    SSLポリシー

    (HTTPS、HTTP/2およびgRPCのみ)使用する暗号スイートのタイプを構成します。

    • TLSバージョン: Transport Layer Security (TLS)バージョンを指定します: 1.01.11.21.3

      1.2を推奨します。複数のバージョンを任意に組み合せて選択できます。HTTP/2プロトコルは、TLS 1.2およびTLS 1.3のみをサポートします。

    • 暗号化方式群の選択: 事前定義された暗号化方式群を使用するには、このオプションを選択し、使用する暗号化方式群を選択します。リストされているすべての暗号化方式群には、選択した各TLSバージョンから少なくとも1つの暗号化方式群があります。HTTP/2プロトコルは、デフォルトの暗号のみをサポートします。変更できません。

    • カスタム暗号スイートの作成: 新しいスイートに暗号を追加するには、このオプションを選択して次のステップを実行します:

      1. 「スイート名」フィールドに顧客暗号スイートの名前を入力します。

      2. Select ciphers」ボタンを選択します。

      3. 「暗号の選択」パネルで、スイートに含める各暗号を選択します。「バージョン」列に、各暗号に関連付けられているTLSバージョンがリストされます。選択する暗号が、前に選択したTLSバージョンと互換性があることを確認します。作成する暗号スイートには少なくとも1つの暗号を割り当ててください。暗号を含まない暗号スイートを作成することはできません。

      4. 除外する暗号をすべてクリアします。

      5. Select ciphers」ボタンを選択します。

    • 暗号化方式群の詳細の表示: 選択すると、選択した暗号化方式群に含まれる暗号が表示されます。

    • サーバー順序プリファレンス: クライアントよりもサーバー暗号をプリファレンスできます。

    拡張SSL

    (HTTPおよびTCPのみ)リスナーで使用するCAバンドルまたは認証局を選択します。次に、対応するリストからCAバンドルまたは認証局を選択します。現在のコンパートメントに必要なアイテムが見つからない場合は、コンパートメントを変更します。

    プロキシ・プロトコル

    ロード・バランサでプロキシ・プロトコルを有効化および構成します。この機能の詳細は、Proxy Protocolを参照してください。

    1. 「プロキシ・プロトコルの有効化」を選択します。
    2. 使用するプロキシプロトコルのバージョンを選択します。

      • バージョン1: 人間が読めるヘッダー(テキスト)形式をサポートし、通常はログ・エントリの1行です。このオプションは、実装がほとんどない初期導入段階でのデバッグに使用します。

      • バージョン2: バージョン1の判読可能なヘッダーのサポートとヘッダーのバイナリ・エンコーディングを組み合せて、生成および解析の効率を高めます。このオプションは、ASCII形式で生成および解析が困難なIPv6アドレスに使用します。バージョン2では、カスタム拡張機能もより適切にサポートされます。デフォルトでは、使用可能なバージョン2オプションとしてPP2 Type Authorityが選択されています。

    「次へ」を選択して、次のステップに進みます。

    4. ロギングの管理

    「ロギングの管理」ページでは、エラーおよびアクセス・ロギングを設定します。

    エラー・ログおよびアクセス・ログの有効化はオプションですが、推奨されます。これらのログを確認すると、バックエンド・サーバーの問題の診断と修正に役立ちます。ロギング機能を有効にすると、標準的な制限、制約およびレートが適用されます。ロード・バランサ・サービスでロギングを使用する方法に関する一般情報は、ロード・バランサのロギングを参照してください。ネーミング構文のガイドラインを含むログおよびログ・グループの詳細は、ログおよびログ・グループを参照してください。

    ノート

    エラー・ロギングはデフォルトで有効です。関連する料金を支払わない場合は、この機能を無効にしてください。

    次の情報を入力します:

    • エラー・ログ
      • 有効化: ロギングを有効にする場合に切り替えます。ロギングはデフォルトで有効です。

      • コンパートメント: ログ・ファイルが配置されるコンパートメントをリストから選択します。

      • ログ・グループ: リストから既存のログ・グループを選択するか、「新規グループの作成」を選択して、ログが配置される新しいロギング・グループの名前および説明を入力できます。

      • ログ名: ログの名前を入力します。

      • ログの保持: 各エラー・ロギング・エントリがリストから保持される期間(月)を選択します。

    • アクセス・ログ
      • 有効化: ロギングを有効にする場合に切り替えます。デフォルトでは、アクセス・ロギングは無効です。

      • コンパートメント: ログ・ファイルが配置されるコンパートメントをリストから選択します。

      • ログ・グループ: リストから既存のログ・グループを選択するか、「新規グループの作成」を選択して、ログが配置される新しいロギング・グループの名前および説明を入力できます。

      • ログ名: ログの名前を入力します。

      • ログの保持: 各エラー・ロギング・エントリを保持する期間(月)をリストから選択します。

    • 要求ID

      リクエストIDは、HTTPリクエストおよびレスポンス・ヘッダーで公開されている一意のリクエスト識別子を指定することで、リクエストの追跡および管理に役立ちます。

      リクエストIDを使用するには、トグルを「有効」に切り替えます。デフォルトのヘッダー名X-Request-Idは、ロード・バランサからバックエンドおよびHTTPヘッダー・レスポンスへのHTTPリクエスト・ヘッダーに含まれます。有効になっていない場合、ロード・バランサは、ロード・バランサ・バックエンドまたは返されたレスポンスに渡されたリクエストに、この一意のリクエストIDヘッダーを追加しません。デフォルトを使用するかわりに、異なるヘッダー名を入力できます。カスタム・ヘッダー名はすべて"X-"で始まる必要があります。

      詳細は、ロード・バランサ・ヘッダーを参照してください。

    「次へ」を選択して、次のステップに進みます。

    5. 確認および作成

    「確認および作成」ページの内容を確認します。設定を編集するか、前の画面に戻って情報を追加します。設定が完全に検証されたら、「送信」を選択します。

    作成したネットワーク・ロード・バランサが「ロード・バランサ」リスト・ページに表示されます。

  • ロード・バランサを作成するには、oci lb load-balancer createコマンドと必要なパラメータを使用します:

    oci lb load-balancer create --compartment-id compartment_id --display-name display_name --shape-name shape_name --subnet-id subnet_id [OPTIONS]

    CLIコマンドのパラメータおよび値の完全なリストは、CLIコマンド・リファレンスを参照してください。

  • CreateLoadBalancer操作を実行してロード・バランサを作成します。