OCI技術資料 : ロード・バランサ 詳細 - フレキシブル・ロード・バランサ(FLB)

Transcript

1. ロード・バランサ FLB 詳細 Load Balancer FLB Level 200 Oracle Cloud

   Infrastructure 技術資料 2025年2月

2. フレキシブルロードバランサ FLB OCI ロード・バランサの種類 FLB/NLB Copyright © 2025, Oracle and/or

   its affiliates 2 • レイヤー7での高度なバランシング機能 • 有償サービス • レイヤー3,4の単純なロードバランシング機能 • 高帯域、低レイテンシ • 無償サービス ネットワークロードバランサ NLB 本資料はこちらをメインに解説 IP : 10.0.0.1 IP : 10.0.0.2

3. フレキシブル・ロード・バランサ(FLB) • 単に「ロード・バランサ」と呼ばれることも • プロキシ型で動作 • すべてのクライアントからのTCPコネクションが一旦 ロード・バランサで終端し、新たに別のTCPコネクショ ンがロード・バランサからバックエンドのサーバーに対 して確立

   • 特徴 : 高度なバランシング機能 • 有償サービス(Always Freeシェイプあり) ネットワーク・ロード・バランサ(NLB) • パススルー型で動作 • クライアントから来たTCPやUDPなどのIPトラフィック をそのままバックエンドのサーバーに伝える • 特徴 : 低レイテンシ、高い負荷追従性 • 無償サービス 2種類のロード・バランサ - FLBとNLB Copyright © 2025, Oracle and/or its affiliates 3 クライアント サーバー フレキシブル・ ロード・バランサ (FLB) ネットワーク・ ロード・バランサ (NLB) プロキシ型 クライアントから受けた通信を、ロード・ バランサが一度仲介し、別のコネクション としてサーバーに接続する パススルー型 クライアントから受けた通信をそ のままサーバーに転送する Load Balancerの課金項目 Metric 価格 Load Balancer Base Load Balancer Hour ¥1.7515/hour Load Balancer Bandwidth Mbps per Hour ¥0.0155/hour 例）10Mbpsの場合： ¥1.7515 + ¥0.0155 x 10 = ¥1.9064/hour

4. NLBは無料なので、高機能なFLBが必要な場合以外は積極的に使おう! ロード・バランサの選択 – 超簡易フローチャート Copyright © 2025, Oracle and/or its

   affiliates 4 HTTP or HTTPS TCP クライアントIP 保全する?** フレキシブル・ ロード・バランサ ネットワーク ・ロード・バランサ UDP / ICMP Y Y N* N レイヤー7の 制御機能を利用? N SSLオフロードする? Y * クライアントのIPアドレスがhttpヘッダ(X-Forwarded-For)から取得できればいい場合はこちらでもOK **プロキシプロトコルでもクライアントIPを伝達可能（FLBはプロキシプロトコルv1とv2に対応、NLBはプロキシプロトコルv2に対応） • Cookieによるセッション永続性 • 仮想ホストによる振り分け • URIパスによる振り分け • HTTPヘッダーによる振り分け • HTTPヘッダーの操作 • Web Application Firewall • HTTPアクセラレーション(圧縮、キャッシュ) N インターネットに振分る? Y

5. FLBとNLBの機能面の差異 Copyright © 2025, Oracle and/or its affiliates 5 フレキシブル・ロード・バランサ(FLB)

   ネットワーク・ロード・バランサ(NLB) タイプ プロキシ型 パススルー型 対応プロトコル TCP / HTTP / HTTPS / HTTP2 / gRPC TCP / UDP / ICMP スループット 10Mbps~最大8Gbps バックエンドのネットワーク帯域までスケール （8Gbpsを超えることもある） レイヤー3/4バランシング機能 あり あり レイヤー7バランシング機能 • Cookieによるセッション永続性 • 仮想ホストによる振り分け • URIパスによる振り分け • HTTPヘッダーによる振り分け • HTTPヘッダー操作 あり なし インターネットや他リージョン のサーバーへの振り分け 可能 インターネットは不可、DRG経由の他リージョ ンは可能 リスナーの最大数 16 50 ソースIPアドレスの保全 なし (X-Forwarded-Forヘッダを利用可能) あり (選択式) SSLターミネーション機能 あり なし SSLパススルー機能 あり (TCPリスナー選択時のみ) あり(SSL使用する場合は常に) パーシステンス機能 Cookieによる制御(HTTP/HTTPSリスナー) ソースIPベースの振り分け(TCPリスナー) ソースおよび宛先IPとポート、 プロトコルの組合せ Web Application Firewall機能 組み込み可能(有償) 組み込み不可 HTTPアクセラレーション機能 組み込み可能 組み込み不可

6. OCI Region この資料では、以下のことを解説しています FLB 詳細編 内容 Copyright © 2025, Oracle

   and/or its affiliates 7 Webサーバー Webサーバー IPアドレス リスナー1 Webサーバー Webサーバー トラフィック ロード・バランサ バックエンドセット1 リスナー2 バックエンドセット2 1台のロード・バランサで２つのリスナーを作成し 2つのバックエンドセット内のWebサーバーに負荷分散させた図 • IPアドレス • リスナーの種類 • SSL通信への対応 • ロードバランサのシェイプ • タイムアウトとキープアライブ設定 • セッションの永続性を利用したバックエンド サーバの固定方法 • 高度なルーティング設定 • ロードバランシングポリシー • リクエストルーティング • ヘルスチェックとトラブルシューティング その他 • Web Application Acceleration • WAF • ロギング • メトリック • 制限事項

7. ◼ FLBの可視性としてパブリックFLBとプライベートFLBがある ◼ FLBには固定された1つの接続用の仮想IPアドレス(プライベート or パブリッ クIP)を持つ ※別の接続用IPアドレスが必要な場合は、別のロード・バランサを作成する必要が ある ◼

   バックエンドサーバと通信するためのプライベートIPアドレスは、FLBに配 置したサブネットから取得される ※パブリックFLBの場合は接続用のパブリックIPが1つとプライベートIPが2つ取得される ◼ IPアドレスの変更可能性 • クライアント接続用IPアドレス→FLBを削除するまで変更されない • バックエンド通信用IPアドレス→途中で変更される可能性がある →セキュリティリストで許可するIPアドレスは注意が必要 FLBで使用されるIPアドレス Copyright © 2025, Oracle and/or its affiliates 8 Webサーバー Webサーバー クライアント接続用 IPアドレス リスナー1 FLB バックエンドセット バックエンド サーバ通信用 IPアドレス クライアント

8. ◼ トラフィックを受信する「プロトコル、ポート、転送先のバックエンド・セット」を定義するもの • プロトコルとポートの組み合わせ毎に1つのリスナーを構成 • 例1 : HTTP(80) と HTTPS(443)

   両方受け付けるにはリスナーが2つ必要 • 例2 : tcp/8000 と udp/8000 にはリスナーが2つ必要 ◼ FLBのリスナーでサポートされるプロトコルは以下 • HTTPS • HTTP • HTTP/2 • gRPC • TCP • HTTP/HTTPS/HTTP/2リスナーはレイヤー7で、 TCPリスナーはレイヤー3/4で動作 • HTTP/HTTPSリスナーで作成した場合は、セッション永続性、 リクエスト・ルーティング、ルール・セット等のレイヤー7の 高度な機能 を利用可能 ◼ リスナー毎に1つのSSL証明書をバンドル可能 ◼ デフォルトのリスナーのサービスリミットは16つ FLBで使えるリスナーの種類 Copyright © 2025, Oracle and/or its affiliates 9 Webサーバー Webサーバー IPアドレス リスナー1 プロトコル ポート番号 Webサーバー Webサーバー FLB バックエンドセット1 バックエンドセット2 紐づける 紐づける リスナー2 プロトコル ポート番号

9. Copyright © 2025, Oracle and/or its affiliates 10 SSL通信への対応 SSL

   Handling

10. 3種類のSSL通信方式 Copyright © 2025, Oracle and/or its affiliates 11 SSLターミネーション

    • ロード・バランサでSSLを終端 • クライアントとロード・バランサ間の通信を暗号化 • SSL証明書をロード・バランサで一括管理 • バックエンドのWebサーバーの負荷を軽減 • FLBのHTTPSリスナーでのみ利用可能 エンド・ツー・エンドSSL • ロード・バランサで一度SSLを終端した上で、別のSSL通信を バックエンド・サーバーとの間で確立 • クライアントからバックエンド・サーバー間通信が全暗号化 • SSL証明書をロード・バランサとバックエンドサーバーの両 方で管理 • FLBのHTTPSリスナーでのみ利用可能 SSLパススルー • ロード・バランサがSSLをパススルーして、バックエンド・ サーバー側でSSLを終端 • ロード・バランサでのSSL証明書管理は不要 • FLBのTCPリスナーとNLBで利用可能 HTTPS (暗号化) HTTP (非暗号化) ロード・バランサ HTTPS (暗号化) HTTPS (暗号化) ロード・バランサ HTTPS(暗号化) ロード・バランサ バックエンド ・サーバー バックエンド ・サーバー バックエンド ・サーバー クライアント クライアント クライアント

11. OCI 証明書(Certificates)サービスとの連携 Copyright © 2025, Oracle and/or its affiliates 12

    OCI 証明書サービスが管理するSSL証明書を、フレキシブル・ロード・バランサ(FLB)から利用可能 →証明書の更新などの管理作業をOCI証明書サービスの機能で省力化 OCI 証明書サービス(OCI Certificates Service)は、証明書の発行、保管、管理機能を提供するサービス • 証明書(Certificate)、認証局(CA)、CAバンドルのライフサイクル管理 • CA/証明書/CAバンドルの作成、更新、削除 • 証明書の自動更新、有効期間設定、バージョン管理とローテーション • 外部からの証明書インポートなど • 管理者は手動での証明書の更新や期限管理などの作業から解放される サーバ証明書 発行 認証局 Flexible Load Balancer Virtual Machine User httpsでアクセス httpでアクセス サーバ証明書

12. SSLが有効化されていない ロード・バランサ Copyright © 2025, Oracle and/or its affiliates 15

13. RSAキーの作成 証明書署名要求 (CSR) の作成 SSLの設定ステップ - 1. 秘密鍵と証明書署名要求(CSR) の生成 Copyright

    © 2025, Oracle and/or its affiliates 16 $ openssl req -new -key MyKey.key -out MyCSR.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:US State or Province Name (full name) [Some-State]:WA Locality Name (eg, city) []:Redmond Organization Name (eg, company) [Internet Widgits Pty Ltd]:Oracle Organizational Unit Name (eg, section) []:OCI Common Name (e.g. server FQDN or YOUR name) []:*.example.org Email Address []:[email protected] Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: $ openssl genrsa -out MyKey.key 2048 Generating RSA private key, 2048 bit long modulus .........................+++ .....................+++ e is 65537 (0x10001)

14. 自己署名証明書の生成 SSLの設定ステップ - 2. 自己署名証明書の生成 Copyright © 2025, Oracle and/or

    its affiliates 17 $ openssl x509 -req -days 365 -in MyCSR.csr -signkey MyKey.key -out ExampleCert.crt Signature ok subject=/C=US/ST=WA/L=Redmond/O=Oracle/OU=OCI/CN=*.example.org/[email protected] Getting Private key $ openssl x509 -in exampleCert.crt -noout -text Certificate: Data: Version: 1 (0x0) Serial Number: fa:98:bb:ae:1e:19:4d:a3 Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, ST=WA, L=Redmond, O=Oracle, OU=OCI, CN=*.example.org/[email protected] Validity Not Before: Jun 6 18:34:41 2018 GMT Not After : Jun 6 18:34:41 2019 GMT Subject: C=US, ST=WA, L=Redmond, O=Oracle, OU=OCI, CN=*.example.org/[email protected] Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:c0:63:f1:aa:d8:98:b1:01:0f:9f:fa:71:6a:9a: f1:05:9d:d6:84:01:88:8d:51:6e:b5:d4:fa:5e:fb: 95:f7:ac:ed:07:11:bf:89:85:4b:39:70:71:9e:7e: cd:ba:24:96:65:d9:41:69:d1:05:f7:1a:a2:43:29: 7a:6b:de:11:e7:2b:6f:95:ee:04:de:2b:23:b1:0b: a6:a2:76:8f:40:42:50:1e:d8:2a:16:2c:d5:97:2b:

15. 証明書を PEM 形式に変換 SSLの設定ステップ - 3. ロード・バランサに証明書を追加 Copyright © 2025,

    Oracle and/or its affiliates 18 $ openssl x509 -in ExampleCert.crt -out ExampleCert.pem -outform PEM

16. SSLの設定ステップ - 4. ポート443でリッスンするリスナーを作成 Copyright © 2025, Oracle and/or its

    affiliates 19

17. SSLが有効化されたロード・バランサ Copyright © 2025, Oracle and/or its affiliates 20 ※自己署名証明書は完全暗号化されますが、公開サイトにアクセスするとほとんどのブラウザに警告また

    はエラーが表示されます

18. Copyright © 2025, Oracle and/or its affiliates 21 ロード・バランサのシェイプ

19. インスタンス • コンピュートなどと同じように「インスタン ス」という概念で管理を行う • 作成、課金、終了などのライフサイクルの単位 • 内部の物理コンポーネントは隠蔽化されている • 冗長化されており、SLO設定単位

    シェイプ • インスタンスの大きさを表す概念 • ロード・バランサでは捌くことのできる帯域 幅を示す(Mbps) • FLBの場合 • ユーザーが選択した帯域幅パラメーターに応じた シェイプを持つ • シェイプは固定値(動的シェイプ)または最低帯域 幅(フレキシブルシェイプ)が確保済 • フレキシブルシェイプは設定した最大帯域幅まで 自動で拡張(ベストエフォート) • NLBの場合 • 明示的なシェイプはなくバックエンドのネット ワーク帯域まで自動的にスケールする ロード・バランサのインスタンスとシェイプ Copyright © 2025, Oracle and/or its affiliates 22

20. 負荷に応じシェイプ・サイズが自動的に変動 • インスタンス毎に 10Mbps ~ 8,000 Mbps の範 囲で最小帯域幅と最大帯域幅を設定可能 •

    最小帯域幅分は必ず帯域が確保される • 負荷状況に応じて最大帯域幅までシェイプが 自動で変更される(バースティング) * • インスタンス作成後も最小帯域幅/最大帯域幅 を変更可能 • リージョン単位で以下のサービス制限を受け る • フレキシブルLBの数(lb-flexible-count) • 合計帯域(lb-flexible-bandwidth-sum) : 各FLBイン スタンスの最大帯域幅の合計値 FLBのフレキシブル・シェイプ (2020年12月~) Copyright © 2025, Oracle and/or its affiliates 23 * 最大帯域幅までのバースティングについてはベストエフォートで、帯域混雑時は一部のパケットがド ロップされる場合があります。帯域幅の確保が必要な場合は、最小帯域幅をそれ以上に設定するよう にしてください

21. ユーザーが指定した帯域が固定で確保 • 帯域幅を4種類からユーザーが選択 • 10Mbps(Always Free) • 100Mbps / 400Mbps

    / 8000Mbps (有償) • 選択した帯域幅は必ず確保される • インスタンス作成後も帯域幅を変更可能 • 後方互換のための古い機能 • 2020年12月以降に作成されたテナンシでは利用不 可能 • 作成済インスタンスはフレキシブル・シェイプに 変換可能(不可逆) →右図参照 • フレキシブル・シェイプに変換後も、最小帯域幅 と最大帯域幅を同じ値に設定すると動的シェイプ と同じ運用が可能 FLBの動的シェイプ(古い機能) Copyright © 2025, Oracle and/or its affiliates 24

22. Copyright © 2025, Oracle and/or its affiliates 25 タイムアウトとキープ・アライブ設定

23. FLBにおけるタイムアウト、キープアライブの挙動 Copyright © 2025, Oracle and/or its affiliates 26 clients

    Load Balancer Backend Servers HTTP message/ TCP segment HTTP 200 3way handshake 3way handshake Fin/ACK GET HTTP message/ TCP segment HTTP message/ TCP segment GET HTTP 200 HTTP message/ TCP segment Fin/ACK ロード・バランサとクライアント間のキープ・アライブ 設定 = アイドル65秒または最大10,000トランザクション(変更不可) ロード・バランサがクライアントに最後のメッセージの送信(C)を 行ってから、次にクライアントからのメッセージを受信(C')するま での時間 アイドル・タイムアウト(リスナー・タイムアウト) = TCPリスナー : デフォルト300秒, 最大7200秒 = HTTPリスナー : デフォルト60秒, 最大7200秒 ロード・バランサがクライアントからメッセージを受信(A)してか ら次に受信(A')するまでの時間、またはクライアントにメッセージ を返信(B)してから次の返信を行うまで(B')の時間 ロード・バランサとバックエンド・サーバー間のキー プ・アライブ設定 = アイドル300秒(変更不可) ロード・バランサがバックエンド・サーバーから最後のメッセージ を受け取ってから(D)、次のメッセージをバックエンド・サーバー に転送するまで(D')の時間 (バックエンド・サーバーの)キープ・アライブ設定 = バックエンド・サーバーで設定、推奨値310秒以上 バックエンド・サーバーが、ロード・バランサに応答を返した(E)後、 次にロード・バランサからリクエストが送られてくるまで(E')の時 間 (A) (A') (D') (D) (C) (C') (E') (E) (A-A') receive timer (B-B') send timer (B) (B') https://docs.oracle.com/ja-jp/iaas/Content/Balance/Reference/connectionreuse.htm

24. アイドル65秒経過時はFLBからFINパケットが送信されTCP接続が切断される 1 0.000000000 10.0.1.25 -> 10.0.2.228 TCP 74 43744 >

    http [SYN] Seq=0 Win=65340 Len=0 MSS=1485 SACK_PERM=1 TSval=3551202664 TSecr=0 WS=128 2 0.002493772 10.0.2.228 -> 10.0.1.25 TCP 74 http > 43744 [SYN, ACK] Seq=0 Ack=1 Win=26844 Len=0 MSS=8960 SACK_PERM=1 TSval=4158075881 TSecr=3551202664 WS=1024 3 0.000013286 10.0.1.25 -> 10.0.2.228 TCP 66 43744 > http [ACK] Seq=1 Ack=1 Win=65408 Len=0 TSval=3551202667 TSecr=4158075881 (略) 13 0.000005690 10.0.1.25 -> 10.0.2.228 TCP 66 43744 > http [ACK] Seq=241 Ack=1663 Win=64128 Len=0 TSval=3551202681 TSecr=4158075896 14 65.001322203 10.0.2.228 -> 10.0.1.25 TCP 66 http > 43744 [FIN, ACK] Seq=1663 Ack=241 Win=27648 Len=0 TSval=4158140891 TSecr=3551202681 15 0.040574411 10.0.1.25 -> 10.0.2.228 TCP 66 43744 > http [ACK] Seq=241 Ack=1664 Win=64128 Len=0 TSval=3551267723 TSecr=4158140891 16 40.054097462 10.0.1.25 -> 10.0.2.228 TCP 66 43744 > http [FIN, ACK] Seq=241 Ack=1664 Win=64128 Len=0 TSval=3551307777 TSecr=4158140891 17 0.001380630 10.0.2.228 -> 10.0.1.25 TCP 66 http > 43744 [ACK] Seq=1664 Ack=242 Win=27648 Len=0 TSval=4158180983 TSecr=3551307777 クライアント – FLB間のアイドル・タイムアウト発生時の挙動 Copyright © 2025, Oracle and/or its affiliates 28 3-way handshake 65秒経過 FINパケットがLB-> クライアントに送信 コネクションが切断

25. FLBのアイドルタイムアウト/キープ・アライブ/同時接続数の上限 Copyright © 2025, Oracle and/or its affiliates 29 VCN

    Webサブネット LBサブネット Security Lists Webサーバ FLB クライアント クライアント ロード・バランサとクライアント間の キープ・アライブ - 10,000トランザクション - 65秒のアイドル状態 の、いずれかの早い方 Security Lists ロード・バランサの同時接続数 ロードバランサのシェイプによる FLBのセキュリティ・ルールによる接続ト ラッキングの同時接続数上限 ・ステートフルセキュリティルールの場合 ロードバランサのシェイプによらず一定 ・ステートレスセキュリティルールの場合 同時接続に理論上の制限は存在しない ロード・バランサとバックエンド・サーバー間の キープ・アライブ 300秒 アイドル・タイムアウト(リスナー・タイムア ウト) TCPリスナー : デフォルト300秒, 最大7200秒 HTTPリスナー : デフォルト60秒, 最大7200秒 ステートフルセキュリティルールの場合の デフォルトアイドルタイムアウト値 プロトコル 状態 アイドル・タイムアウト TCP 確立済 1日 TCP 設定 1分 TCP クローズ 2分 UDP 確立済(パケットが両方向で 受信されたことを意味します) 3分 UDP 未確立(パケットは一方向の みで受信) 30秒 ICMP N/A 15秒 その他 N/A 5分 インスタンスのセキュリティ・ルールによる接 続トラッキングの最大同時接続数 シェイプに基づいて決まる https://docs.oracle.com/ja- jp/iaas/Content/General/Concepts/servicelimits.htm#connection- tracking

26. Copyright © 2025, Oracle and/or its affiliates 31 バックエンド・サーバーでの クライアントのIPアドレスの識別

27. フレキシブル・ロード・バランサを介したトラフィックは、送信元のIP 情報がロード・バランサの情報に変換されてバックエンド・サーバーに 転送されるため、バックエンド・サーバーにはロード・バランサのIPア ドレスやポートが送信元情報として渡される バックエンド・サーバーでクライアントのIPを取得したい場合は… • HTTPリスナーでは、HTTPヘッダーに挿入される X-Forwarded- ヘッダーから取得 •

    TCPリスナーではプロキシプロトコルでソースおよび宛先のIPアド レスとポートをバックエンド・サーバーに送信可能（ただしバック エンドサーバもプロキシプロトコルに対応する必要がある） クライアントのIPアドレスやポート情報の判別 Copyright © 2025, Oracle and/or its affiliates 32 送信元 : 1.1.1.1 送信先 : 192.168.1.2 Src 1.1.1.1 Dst 2.2.2.2 VIP : 2.2.2.2 192.168.1.254 Src 192.168.1.254 Dst 192.168.1.2 Src 192.168.1.2 Dst 192.168.1.254 Src 2.2.2.2 Dst 1.1.1.1 アドレス変換フロー X-Forwarded-For クライアントがロード・バランサへの接続に使用したIPアドレスを 識別。複数のIPアドレスをリスト可能 X-Forwarded-Host クライアントが要求した元のホストとポートを識別 X-Forwarded-Port クライアントがロード・バランサへの接続に使用したリスナー・ ポート番号を識別 X-Forwarded-Proto クライアントがロード・バランサに接続するために使用したプロ トコルを識別 X-Real-IP X-Forwarded-Forと同様。単一のIPアドレスを識別 ① ④ ① ④

28. FLBで使用可能なプロキシ・プロトコル Copyright © 2025, Oracle and/or its affiliates 33 ◼

    TCPリスナーでプロキシ・プロトコルを使用する と、クライアントIP情報をバックエンド・アプリ ケーションに送信できます。 ◼ FLBはプロキシプロトコルv1とv2に対応 • プロキシプロトコルv1：テキストベースのヘッダー • プロキシプロトコルv2：バイナリベースのヘッダー ※バックエンドサーバのアプリケーションもプロキシプロ トコルに対応する必要がある NLB Webサーバー クライアント 10.0.0.1 10.0.0.2 10.0.0.3 プロキシプロトコル 外部URL:プロキシ・プロトコル・バージョン2の詳細 クライアントのIPアドレスとポート番号を伝える

29. Copyright © 2025, Oracle and/or its affiliates 34 セッション永続性機能を利用した バックエンド・サーバーの固定

    Using Session Persistence

30. Webアプリケーションのセッションを維持するため、同一のクライアントからのリクエストを 同一サーバーに振り分ける機能 利用例 : ショッピングカートなど同じサーバーでトランザクション処理を必要とする場合 Cookie情報を元に転送先のサーバーを決定する Cookie persistence をサポート ※Cookieを受け入れないクライアントではセッション維持は不可

    セッション永続性 Copyright © 2025, Oracle and/or its affiliates 35 セッション永続性なしの場合 セッション永続性ありの場合 トランザクションが異なるサーバーに転送され 処理を継続できない Cookie情報よりトランザクションが 同一サーバーに転送され、一貫した処理が可能 ロード・バランサ Client A Client B cookieで転送先サーバーを特定 ロード・バランサ Client A Client B FLBのHTTP/HTTPSリスナーでのみ利用可能

31. セッション永続性に利用するCookieの2種類の生成方式 1. ロード・バランサCookieの永続性 • ロード・バランサ単独で生成するCookieが セッション永続性に使われる方式 • アプリケーション側でCookieが挿入ができな い場合でもOK 2.

    アプリケーションCookieの永続性 • アプリケーションが挿入したCookieの情報を セッション永続性のベースに使用する方式 • 細かい制御をしたい場合はこちらを選択 • 実際にはアプリケーションのCookieが直接使 用されるわけではなく、Cookie(+α)から生成 したハッシュ値を使ってロード・バランサが 新しいCookieを追加、このCookieがセッショ ン永続性維持に使われる FLBのHTTP/HTTPSリスナーでのみ利用可能 Copyright © 2025, Oracle and/or its affiliates 36

32. Cookieによるセッション永続性維持の処理シーケンス ロード・バランサCookieの永続性 の場合 Client Load Balancer Backend Server 1 2

    200 OK 3 200 OK Set-cookie:X-Oracle-BMC-LBS-Route=yyy 4 5 Set-cookie:X-Oracle-BMC-LBS-Route=yyy 追加 1. 初回アクセス時、ロード・バランサは負荷分散ア ルゴリズムに従ってトラフィックを特定のバック エンド・サーバーに転送 2. バックエンド・サーバーが返答 3. ロード・バランサは、バックエンド・サーバー情 報のハッシュ値からX-Oracle-BMC-LBS-Routeと いう名前の新しい Cookie を生成、レスポンス ヘッダーに追加して返送 4. 次回アクセス時、クライアントはCookieをリクエ ストヘッダーに設定して要求 5. ロード・バランサ はCookieの値を元に、元のバッ クエンド・サーバーにトラフィックを転送 FLBのHTTP/HTTPSリスナーでのみ利用可能 Copyright © 2025, Oracle and/or its affiliates 37

33. Cookieによるセッション永続性維持の処理シーケンス アプリケーションCookieの永続性 の場合 Client Load Balancer Backend Server 1 2

    200 OK Set-cookie: sessionid=xxx 3 200 OK Set-cookie:sessionid=xxx Set-cookie:X-Oracle-BMC-LBS-Route=yyy 4 5 Set-cookie:sessionid=xxx Set-cookie:X-Oracle-BMC-LBS-Route=yyy 追加 1. 初回アクセス時、ロード・バランサは負荷分散ア ルゴリズムに従ってトラフィックを特定のバック エンド・サーバーに転送 2. バックエンド・サーバーは、Set-cookie レスポン スヘッダーにCookie情報を格納して返答 3. ロード・バランサは、レスポンスヘッダーの Cookieを設定済条件と照合し、一致する場合はそ のCookie+バックエンド・サーバー情報のハッ シュ値からX-Oracle-BMC-LBS-Routeという名前 の新しいCookieを生成、レスポンスヘッダーに追 加して返送 4. 次回アクセス時、クライアントはCookieをリクエ ストヘッダーに設定して要求 5. ロード・バランサはCookieの値を元に、元のバッ クエンド・サーバーにトラフィックを転送 注意 : アプリケーション側でFLBが発行する X-Oracle-VMC- LBS-Route と同じ名前のCookieを発行しないでください。発 行するとロードバランサが2つの同名Cookieを混同するため 正しくセッション維持ができなくなります。 FLBのHTTP/HTTPSリスナーでのみ利用可能 Copyright © 2025, Oracle and/or its affiliates 38

34. Q. 元のバックエンド・サーバーが利用できなくなった場合はどのような挙動になりますか? • フォールバック(Fallback)パラメーターの設定値により挙動が変わる • フォールバック有効 : バックエンド・セット内の異なるバックエンド・サーバーを選択してセッションをリダイ レクト •

    フォールバック無効 : ロード・バランサがHTTPコード 502を応答してリクエストを失敗させる Q. セッション永続性を止めるには? • 該当のcookie(match-allパターンを使用している場合はすべてのcookie)を削除すればセッション永続 性は停止 • 一般的には cookie をいきなり削除するのではなく、過去の有効期限を設定してCookieを更新するこ とで無効化し、一定期間挙動を見た後に削除することが多い • Cookie 削除(無効化)後に受け付けたリクエストは、構成されているトラフィック分散メカニズム (重 み付けラウンド・ロビン、最小接続など) に従って処理される セッション永続性に関するFAQ Copyright © 2025, Oracle and/or its affiliates 39 FLBのHTTP/HTTPSリスナーでのみ利用可能

35. Q. ロード・バランサの構成ノードに障害が起きた場合のセッション永続性の挙動は? • フレキシブル・ロード・バランサの構成ノードに障害が起きた場合にも、Cookieによるセッション 情報は維持され、健全な構成ノードで処理が実行される • Cookieの再設定や、別のバックエンドサーバーに割り振られるという挙動は発生しない • 発行済のCookieを持つクライアントからリクエストは、問題なく今まで割り振られていたバックエ ンドサーバーに接続する

    Q. フレキシブル・ロード・バランサが生成するCookieに属性値を追加することはできますか? • いいえ、現在のFLBはロード・バランサCookieにユーザーが属性値を追加することはできません • もし属性値の追加が必要な場合は、アプリケーションCookieをご利用ください。アプリケーション Cookieに付加されている属性値は、そのままFLBが生成するCookieの属性に取り込まれます • Cookie属性の例 : Expires, Max-Age, SameSite, Secure, HTTP-Only など • 補足 : リクエスト・ルーティングのヘッダー・ルール機能を利用しても、FLBが生成するCookieに属 性の追加はできません。これはFLB内部の処理順序に起因します セッション永続性に関するFAQ Copyright © 2025, Oracle and/or its affiliates 40 FLBのHTTP/HTTPSリスナーでのみ利用可能

36. Cookieベースのセッション永続性機能の利用可否 ① 利用可◦ - フレキシブル・ロード・バランサ(FLB)のHTTP/HTTPSリスナー ② 利用不可× - フレキシブル・ロード・バランサ(FLB)のTCPリスナー ③

    利用不可× - ネットワーク・ロード・バランサ(NLB) Cookieベースのセッション永続性機能は、HTTPヘッダー内のCookie情報を利用するため、①FLBのHTTP(S)リスナー でのみ利用可能 ②③のCookieが利用できない場合は、ロード・バランシング・ポリシーにIPハッシュ(FLB)や2タプル・ハッシュ(NLB) を利用することで、クライアントのIP(のハッシュ値)でバックエンド・サーバーの固定が可能 Cookieベースのセッション永続性機能が利用できない場合のバックエンド・ サーバーの固定方法 Copyright © 2025, Oracle and/or its affiliates 41 Proxy 1.1.1.1 2.2.2.2 3.3.3.3 1.1.1.1 2.2.2.2 3.3.3.3 5.5.5.5 NLBの2タプル・ ハッシュ FLB TCPリスナ のIPハッシュ

37. Copyright © 2025, Oracle and/or its affiliates 42 リクエスト・ルーティングを用いた 高度なルーティング

    Request Routing

38. • リクエスト・ルーティングを用いることにより、ホスト名やIPアドレスよりも細かい特定のリクエス トパラメーターに基づいてトラフィックの転送先や転送ルールを設定することが可能 • リクエスト・ルーティングはFLBのHTTP、HTTPSリスナーのみ対応 • 理由 : レイヤー7の情報を利用するため •

    FLBのTCPリスナーや、NLBは非対応 • 3種類の手法を用意 1. 仮想ホスト - 仮想的なホスト名単位でリクエストを制御 2. ルーティング・ポリシー – URIパス、リクエストヘッダー、パラメータ、Cookieなどに基づいてリクエストを 制御 • 2021年3月までの標準だった パス・ルート・セット(現在は設定不可)の上位互換機能 3. ルール・セット - HTTP(S)のリクエストまたはレスポンスに対して様々な操作を行うためのルール定義 リクエスト・ルーティング Copyright © 2025, Oracle and/or its affiliates 43 FLBのHTTP/HTTPSリスナーでのみ利用可能

39. ロード・バランサ (IP : xxx.xxx.xxx.xxx) バックエン ド・セット 1 バックエン ド・セット 2

    リスナー(IPアドレス+プロトコル+ポート)に対し て仮想的なホスト名を定義することにより、仮想 ホスト単位でリクエストの転送先のバックエン ド・セットをを制御することが可能になる機能 メリット • 1つのIPアドレスで異なるホスト名を利用でき る • 1つのロード・バランサで異なるホスト名のア プリケーションをサポートできる • 1つのロード・バランサで済むためバックエン ド・セットの管理が効率化できる • 1つのロード・バランサで済むため帯域効率や コスト効率が良くなる リクエスト・ルーティング – 1. 仮想ホスト リスナー1 (TCP/80) リスナー2 (TCP/80) 仮想ホスト www.example1.com 仮想ホスト www.example2.com FLBのHTTP/HTTPSリスナーでのみ利用可能 Copyright © 2025, Oracle and/or its affiliates 44

40. 仮想ホスト名のマッチング順 • FQDNの完全一致 (e.g. app.example.com) • アスタリスクで始まる部分一致 (*.example.com) • アスタリスクで終わる部分一致

    (app.example.*) 仮想ホストが指定されていないリスナーは、そのポートのデフォルト・リスナーとして機能(Catch-all) • ※ 全てのリスナーに仮想ホストが指定されている場合は、そのポート用に最初に定義した仮想ホス トがデフォルト・リスナーとして機能する 仮想ホスト機能の制限 • 正規表現の利用不可 • リスナーあたりの仮想ホスト名は最大16個まで • ロード・バランサあたりの仮想ホスト名は最大16個まで リクエスト・ルーティング – 1. 仮想ホスト Copyright © 2025, Oracle and/or its affiliates 45 FLBのHTTP/HTTPSリスナーでのみ利用可能

41. リクエスト・ルーティング – 2. ルーティング・ポリシー 1つのリスナー(IPアドレス+プロトコル+ポート)に 対して複数のルールを定義することにより、リク エストの転送先のバックエンド・セットをより細 かく制御する機能 • 以下のパラメータの複合条件が設定可能

    • URL、URI(パス) • HTTPリクエストヘッダー • Cookie メリット • 1つのホスト名とポートで異なるバックエン ド・サーバーに処理を振り分けできる • 1つのロード・バランサで済むためバックエン ド・セットの管理が効率化できる • 1つのロード・バランサで済むため帯域効率や コスト効率が良くなる ロード・バランサ (IP : xxx.xxx.xxx.xxx) リスナー (TCP/80) バックエン ド・セット 1 バックエン ド・セット 2 ルール1 user-agent = mobile ルール2 パス = /admin/ FLBのHTTP/HTTPSリスナーでのみ利用可能 Copyright © 2025, Oracle and/or its affiliates 46

42. ロード・バランサ (IP : xxx.xxx.xxx.xxx) リスナー (Port : 80) バックエン ド・セット

    1 バックエン ド・セット 2 下位互換機能、今後はルーティング・ポリシー機能をご利用ください 2022/3/24以降は設定不可[CN-64788] →機能的にも上位互換のルーティング・ポリシー を利用してください 1つのリスナー(IPアドレス+プロトコル+ポート)に 対して URI パスに基づく複数のパス・ルート・ ルールを定義することにより、URIパス単位でリ クエストの転送先のバックエンド・セットをを制 御することが可能になる機能 • 1つのホスト名とポートで異なるバックエン ド・サーバーに処理を振り分けできる • 1つのロード・バランサで済むためバックエン ド・セットの管理が効率化できる • 1つのロード・バランサで済むため帯域効率や コスト効率が良くなる リクエスト・ルーティング – 2'. パス・ルート・セット(~2022/3/24) パス・ルート ・ルール1 /pages/ パス・ルート ・ルール2 /video/ FLBのHTTP/HTTPSリスナーでのみ利用可能 Copyright © 2025, Oracle and/or its affiliates 47

43. 下位互換機能、今後はルーティング・ポリシー機能をご利用ください パス・ルート・ルールは、パス・ルート文字列とパターンマッチで構成 パターンマッチの種類 • 完全一致(EXACT_MATCH) • 着信URIパスと完全一致する文字列 : ^<path_string>$ •

    最長接頭辞の強制一致(FORCE_LONGEST_PREFIX_MATCH) • URIパスの先頭から最もよく一致する文字列 : <path_string>.* • 接頭辞一致(PREFIX_MATCH) • 着信URIパスの先頭部分に一致する文字列 : ^<path_string>.* • 接尾辞一致(SUFFIX_MATCH) • 着信URIパスの末尾部分に一致する文字列 : .*<path_string>$ リクエスト・ルーティング – 2'. パス・ルート・セット(~2022/3/24) Copyright © 2025, Oracle and/or its affiliates 48 FLBのHTTP/HTTPSリスナーでのみ利用可能

44. 下位互換機能、今後はルーティング・ポリシー機能をご利用ください パス・ルート・ルールの優先順位 1. 完全一致(EXACT_MATCH) 2. 最長接頭辞の強制一致 (FORCE_LONGEST_PREFIX_MATCH) 3. 接頭辞一致(PREFIX_MATCH) もしくは

    接尾 辞一致(SUFFIX_MATCH) に設定した順序 完全一致と最長接頭辞の強制一致は、ルールの順 序設定に関係なく優先的に適用 複数の接頭辞一致または接尾辞一致を同時に使用 する場合、上位のルールから順に適用される リクエスト・ルーティング – 2'. パス・ルート・セット(~2022/3/24) Copyright © 2025, Oracle and/or its affiliates 49 FLBのHTTP/HTTPSリスナーでのみ利用可能

45. 下位互換機能、今後はルーティング・ポリシー機能をご利用ください パス・ルート・ルールの制限 • パス・ルート・セットごとに最大20のパス・ルート・ルール • リスナーごとに1つのパス・ルート・セット リクエスト・ルーティング – 2'. パス・ルート・セット(~2022/3/24)

    Copyright © 2025, Oracle and/or its affiliates 50 FLBのHTTP/HTTPSリスナーでのみ利用可能

46. 組み合わせた場合は、仮想ホストの設定は、ルーティング・ポリシーやパス・ルート・セットの設定よ りも優先度が高くなる 仮想ホストごとにURIパス、リクエストヘッダー、Cookieなどのルーティングが動作する 例 : 1つのリスナーとA、B、Cの3つのバックエンド・セット、デフォルト・バックエンド・セットはA • 仮想ホストの設定 • foo.com

    → バックエンド・セットB • bar.com →バックエンド・セットC • URIパスによるポリシーの設定 • /biz → バックエンド・セットB (完全一致) • /baz →バックエンド・セットC (完全一致) 仮想ホストとルーティング・ポリシーを組み合わせた場合 Copyright © 2025, Oracle and/or its affiliates 51 URL ルーティング先 http://foo.com B http://foo.com/biz B http://foo.com/baz C http://bar.com C http://bar.com/biz B http://bar.com/baz C http://example.com A http://example.com/biz B http://example.com/baz C FLBのHTTP/HTTPSリスナーでのみ利用可能

47. 仮想ホストとルーティング・ポリシーを組み合わせた場合 LB-APPS-1 ipAddress = ip-1 name = foo-and-bar-LB BackendSet[[] Listeners[]

    PathRouteSet[] Listener-default port = 554 serverName = null defaultBackendSet = foo.BES-1 certificate = foo-Certificate PathRouteSet = PRS-1 Listener-foo port = 443 serverName = *.foo.com defaultBackendSet = foo.BES-1 certificate = foo-Certificate PathRouteSet = null Listener-bar port = 443 serverName = *.bar.com defaultBackendSet = bar.BES-1 certificate = foo-Certificate PathRouteSet = PRS-1 foo-Certificate CN = www.foo.com SAN = *.foo.com bar-Certificate CN = www.bar.com SAN = *.bar.com foo-BES-1 [] – foo-Backends-1 bar-BES-1 [] – bar-Backends-1 bar-BES-2 [] – bar-Backends-2 PRS-1 [] – bar-path-route-rules Exact Matches /biz → bar-BES-1 /baz → bar-BES-2 URL 転送先 http://example.com foo-BES-1 http://example.com/biz bar-BES-1 http://example.com/baz bar-BES-2 http://foo.com foo-BES-1 http://bar.com bar-BES-1 http://bar.com/baz bar-BES-2 FLBのHTTP/HTTPSリスナーでのみ利用可能 Copyright © 2025, Oracle and/or its affiliates 52

48. HTTP(S)のリクエストまたはレスポンスに対して様々な操作を行うためのルール定義 アクセス制御ルール • 特定のIPアドレス範囲に合致するトラフィックのみ を許可するルール アクセス方法ルール • GET、HEAD、POSTなど、特定のHTTPメソッドの みを許可するルール URLリダイレクト・ルール

    • 特定のURI パスへのアクセスに対し、HTTPリクエ ストを別のURI パスにリダイレクトするルール • 例えばHTTP(80)へのリクエストをすべて HTTPS(443)にリダイレクトしてSSL通信を強制す る場合などに利用 リクエスト・ヘッダー・ルール • バックエンド・サーバーに送信されるリクエストの HTTPヘッダーに対して追加、拡張(変更)、削除な どの操作を行うルール • デバッグヘッダーの付与などに利用 レスポンス・ヘッダー・ルール • クライアントに返送されるレスポンスのHTTPヘッ ダーに対して追加拡張(変更)、削除などの操作を行 うルール • デバッグヘッダーの削除、[x-xss-protection]や[x- content-type]ヘッダ追加などに利用 HTTPヘッダー・ルール • HTTPヘッダーのバッファ・サイズを初期値の8KB よりも大きく拡張したい場合に設定するルール、ア プリケーション側の要求に合わせて最大64KBまで 拡張 • ピリオド「.」やアンダースコア「_」など、通常は 使用できない特殊文字の使用を許可するルールも設 定できる 最大リスナー接続ルールの指定 • すべてのIPからのリスナーに対する最大の接続数 ルールの設定 • 特定のIPからのリスナーに対する接続数ルールの 設定 リクエスト・ルーティング – 3. ルール・セット FLBのHTTP/HTTPSリスナーでのみ利用可能 Copyright © 2025, Oracle and/or its affiliates 53

49. ヘッダー・ルール リスナーを経由するリクエストまたはレスポンス に対してHTTPヘッダの追加、変更、削除が可能 ロード・バランサにつき最大50個のルール ルールセットを利用することにより以下のような 対応が可能 • バックエンド・サーバー情報の不要な流出を 抑制 •

    [Server]などのデバッグヘッダー削除 • Webサーバーに対するセキュリティ対策の補 助 • [x-xss-protection]や[x-content-type]ヘッダ追 加 FLBのHTTP/HTTPSリスナーでのみ利用可能 Copyright © 2025, Oracle and/or its affiliates 54

50. アクセス制御ルールとアクセス方法ルール アクセス制御ルール • アプリケーションへのアクセスを信頼済みの クライアントネットワークからのみに制限す ることが可能 • アクセスを許可するクライアントのIPアドレス範 囲を指定可能 アクセス方法ルール

    • GET、HEAD、POSTなど、特定のHTTPメ ソッドのみを許可するルール FLBのHTTP/HTTPSリスナーでのみ利用可能 Copyright © 2025, Oracle and/or its affiliates 55

51. URLリダイレクト・ルール ロード・バランサのリスナー・ルール・セッ トとして、HTTPリクエストを別のURLにリ ダイレクトするルールを設定可能に • 例）HTTPからHTTPSへのリダイレクト、ド メイン名のリダイレクトやパスベースでのリ ダイレクトなどが可能 FLBのHTTP/HTTPSリスナーでのみ利用可能 Copyright

    © 2025, Oracle and/or its affiliates 56

52. ロード・バランサの構成ノードに障害が起きた場合のセッション永続性の挙動は? • フレキシブル・ロード・バランサの構成ノードに障害が起きた場合にも、Cookieによるセッション 情報は維持され、健全な構成ノードで処理が実行される • Cookieの再設定や、別のバックエンドサーバーに割り振られるという挙動は発生しない • 発行済のCookieを持つクライアントからリクエストは、問題なく今まで割り振られていたバックエ ンドサーバーに接続する リクエスト・ルーティングに関するFAQ

    Copyright © 2025, Oracle and/or its affiliates 57 FLBのHTTP/HTTPSリスナーでのみ利用可能

53. Copyright © 2025, Oracle and/or its affiliates 58 ヘルスチェック・トラブル時の対応ガイドライン Troubleshooting

    Guidelines

54. FLBのヘルスチェック Copyright © 2025, Oracle and/or its affiliates 59 定期間隔でヘル

    スチェック 応答がなかった 場合、転送停止 ロード・バランサ バックエンド・サーバーの状態を監視するために定期的にロー ド・バランサから送信されるテスト • チェック対象 • バックエンドサーバー • バックエンド・セット • ロード・バランサ全体 • ヘルスチェックに失敗したバックエンド・サーバーは、トラ フィック転送を一時的に停止させる • 復旧した場合は、再びトラフィック転送を再開 • 監視に利用するプロトコル • TCP : 特定ポートの応答状態で確認 • HTTP(S) : 特定URIパスに対してHTTPリクエストを送り、レスポンス コードやボディ内の文字列一致による判定などの高度なチェック

55. アプリケーションに合わせて適切にヘルスチェックのパラメーターを設定 • ヘルス・ステータスは3分ごとに更新、より細かい粒度は使用不可 障害時はステータス・インジケーターの情報を使って問題を調査 • バックエンド・サーバーの[詳細]ページの[ステータス]フィールドに表示されているエラーコードを 確認する よくあるケース • ヘルスチェックの設定が間違っている

    • リスナーの構成が誤っている • 間違ったポートでリッスンしている • 間違ったプロトコルを使用している • 間違ったポリシーを使用している • セキュリティ・リストが誤って設定されている • VCNのセキュリティ・リストまたはネットワーク・セキュリティ・グループがトラフィックをブロックしてい る • ルート表の構成が誤っている トラブル時の対応ガイドライン Copyright © 2025, Oracle and/or its affiliates 60

56. Copyright © 2025, Oracle and/or its affiliates 61 WAF(Web Application

    Firewall)、 Webアプリケーション・アクセラレーションとの連携

57. FLB上でWAF保護ポリシーを適用し、 VCN内アプリケーションを保護 • OCI Web Application Firewall（WAF）は、アプリケーション層（L7）DDOS攻撃、クロスサイトスクリ プティング、SQLインジェクション、などの多数のサイバー脅威からWebアプリケーションを保護する サービス •

    VCN内のフレキシブル・ロード・バランサー（パブリック/プライベート）に対してWAF保護ポリシー を適用できるようになった • インターネット・アプリケーションだけではなくVCN内部のプライベートなアクセスに対しても WAFでの保護が可能に • Blog：Announcing Oracle Cloud Infrastructure WAF Protection on Flexible Load Balancers • WAF課金体系の変更 フレキシブル・ロード・バランサー上でのWeb Application Firewall Copyright © 2025, Oracle and/or its affiliates 62 2021/10/27 新機能 OCI パブリック・サブ ネット プライベート・サブネット VCN DRG パブリック・ ロード・バラ ンサ インター ネット・ ゲートウェ イ インスタンス インスタンス プライベー ト・ロード・ バランサ WAFポリ シー WAFポリ シー オンプレミス 保護 保護 インターネッ ト Product Price Metric Instance $5 Instance Per Month Requests $0.6 1,000,000 Incoming Requests Per Month

58. ロードバランサにキャッシュと圧縮機能を追加して、HTTPベースアプリケーションのトラ フィックを軽減 • キャッシュの最大サイズは100MB • リクエストにAccept-Encodingヘッダーを入れる必要がある • ログの取得も可能 [Network] Web

    Application Acceleration Copyright © 2025, Oracle and/or its affiliates 63 2022/6/15 新機能 “cacheStatus” HIT ・・キャッシュあり MISS・・キャッシュなし キャッシングを有効にすると圧縮も選択可能 参考ブログ：https://blogs.oracle.com/oracle4engineer/post/ja-intro-waa

59. Copyright © 2025, Oracle and/or its affiliates 64 ロード・バランサのロギング Logging

    for Load Balancers

60. フレキシブル・ロード・バランサ(NLB)は、OCIロギング・サービ スにログ出力が可能 • アクセス・ログ、エラー・ログの2種類が出力 • 他サービスのログ、監査ログ、カスタムログと統合して蓄積、 分析が可能 • サービス・コネクタ・ハブ経由でオブジェクト・ストレージ やロギング・アナリティクス・サービスなどに出力可能

    ※ネットワーク・ロード・バランサ(NLB)はアクセス/エラーログ 出力不可 ログ出力はオプションのため要設定 • ロード・バランサ・インスタンス毎にユーザーが有効化/無効 化を選択 • OCIロギング・サービスの課金枠を消費するため、大量のトラ フィックがある場合には課金に注意(無料枠あり : 10GB/月) アクセス・ログ/エラー・ログの OCI ロギング・サービスへの出力 Copyright © 2025, Oracle and/or its affiliates 65 Logging ロギング 監査 VCN Flow Logs アプリケー ション ロード バランサー オブジェクト ストレージ OCIネイティ ブサービス

61. https://docs.oracle.com/ja-jp/iaas/Content/Network/Concepts/vcn_flow_logs.htm VCNフロー・ログ機能を利用することで、ロード・バランサを通過するトラフィックの情報を収集し、 OCIロギング・サービスに出力することができる • VCNフロー・ログは、サブネット単位(or VCN単位)で有効化可能 → ロード・バランサの存在するサブネットに対して有効化を設定する • 有効化すると、ロード・バランサの仮想NICを流れるトラフィックのIPヘッダ情報をログとして収集

    • 収集したログは、OCIロギング・サービスに出力される フロー・ログで記録されるのは、あくまでIPヘッダの一部の情報のみのため、それ以上の情報が必要な 場合は、前述のアクセス・ログ機能や後述のVTAPを利用すること VCNフロー・ログ内容の例 (フォーマット詳細) ACCEPT TCP 172.21.2.185 Port 43360 → 129.146.13.236 Port 443 Bytes 10515 Packets 19 ACCEPT TCP 129.146.13.236 Port 443 → 172.21.2.185 Port 43360 Bytes 5548 Packets 14 VCNフロー・ログを利用したトラフィック・ログの取得 Copyright © 2025, Oracle and/or its affiliates 66 VCN Flow Logs

62. https://docs.oracle.com/ja-jp/iaas/Content/Network/Tasks/vtap.htm フレキシブル・ロード・バランサ(FLB)に VTAP (Virtual Test Access Point) をアタッチすること で、ロード・バランサを流れるトラフィックをミ ラーし、ネットワーク・ロード・バランサ(NLB)

    経由で他のインスタンスに転送できる ユースケース • トラフィックの蓄積、分析、監査、レポー ティング(パケット・キャプチャ) • IDSによる侵入検知、トラフィック監視 • 通信のトラブルシューティング FLB、VTAPそのものにはトラフィックの蓄積、分 析機能はないため、ミラー先にサードパーティ ツールなどを設置して利用 VTAP (Virtual Test Access Point) と連携したフル・パケット・キャプチャ Copyright © 2025, Oracle and/or its affiliates 67 フレキシブル・ロード・バランサ (ソース)

63. Copyright © 2025, Oracle and/or its affiliates 68 ロード・バランサのメトリック Metrics

    for Load Balancers

64. OCIのロードバランサ(FLB, NLB)の監視を行うに は、OCIモニタリングのメトリックの活用が不可 欠 • エージェントによる監視ができない • ユーザーによるエージェントのインストールはで きない •

    OCIモニタリング・エージェントも非対応 • OCI Eventsのイベントに非対応 • イベントを生成するサービス の一覧にない → 状態監視を行うにはOCIモニタリング、OCIロ ギングの2つのサービスを活用 ロードバランサのメトリックの活用 Copyright © 2025, Oracle and/or its affiliates 69

65. https://docs.oracle.com/ja-jp/iaas/Content/Balance/Reference/loadbalancermetrics.htm OCIのロード・バランサのメトリック (ネームスペース : oci_lbaas)は、大きく3つの種類(lbComonent)の メトリック群が用意されている • lbComponent = loadbalancer

    • ロード・バランサ全体のリクエスト数、接続数、SSLの状態、送受信バイト数、帯域などの情報(11種) • lbComponent = listener • リスナー毎のHTTP応答数(HTTPステータスコード別) (8種) • lbComponent = backendset • バックエンド・セット毎のバックエンドサーバーの状態、アクティブ接続数、タイムアウトの有無、送受信バ イト数、HTTP応答数(HTTPステータスコード別)、応答時間など (19種) 詳細はドキュメント : Load Balancerメトリック を参照してください ロード・バランサのメトリックの種類 Copyright © 2025, Oracle and/or its affiliates 70

66. ロード・バランサは常に2つ以上のアクティブな ホストが存在し、それぞれ固有のlbHostIdを持ち、 それぞれメトリック・ストリームを送出する 例えば左の図はあるロード・バランサのピーク帯 域幅(PeakBandwidth)のメトリック例だが、 lbHostId=ae41d2132、lbHostId=f6d9d18の2つの メトリックストリームが存在する 当該ロード・バランサ全体の帯域幅を知りたい場 合は、全てのlbHostIdのメトリックを「集計メト リックストリーム」(またはgrouping().sum())で

    合計した値を算出する必要がある あるロード・バランサの合計帯域幅を算出するMQLの例 PeakBandwidth[1m]{resourceId="ocid1…"}.grouping().s um() Tips : lbHostId 毎に異なるメトリック・ストリームが送出される Copyright © 2025, Oracle and/or its affiliates 71 MQL問い合わせでチェックをつけるとgrouping()ができる もしくはMQL問い合わせを右のように記述する

67. ロード・バランサの合計帯域幅を計測 PeakBandwidth[1m]{lbName="<LBの名前を指定>"}.grouping().sum() 異常なバックエンド・サーバーを検出したLBHOSTの数が全体の過半数を同時に超えた場合に発報 (UnHealthyBackendServers[1m].mean() > 0).groupBy(backendSetName).mean() > 0.5 5分間の中でHTTPステータスコードが200の返答率が95%を下回るリスナーが検出された場合に発報 HttpResponses200[5m]{lbname="<LBの名前を指定>"}.groupBy(listenerName).sum()

    / HttpResponses[5m]{lbname="<LBの名前を指定>"}.groupBy(listenerName).sum() < 0.95 メトリックを使ったロード・バランサの監視設定のサンプル Copyright © 2025, Oracle and/or its affiliates 72

68. 1つのFLBあたり • 1つのIPv4アドレスと1つのIPv6アドレス • 16のバックエンド・セット • 1つのバックエンド・セット当たり512のバックエンド・サーバー • 合計512のバックエンド・サーバー •

    16のリスナー • 16仮想ホスト名 • 同時接続数はシェイプによる（別途セキュリティリストのステートフル・ルールを使った 接続トラッキングの上限も考慮にいれる） https://docs.oracle.com/ja- jp/iaas/Content/Balance/Concepts/balanceoverview.htm#LimitsResources FLBの制限事項 Copyright © 2025, Oracle and/or its affiliates 73

69. この資料では、以下のことを解説しました • IPアドレス • リスナーの種類 • SSL通信への対応 • ロードバランサのシェイプ •

    タイムアウトとキープアライブ設定 • セッションの永続性を利用したバックエンドサーバ の固定方法 • 高度なルーティング設定 • ロードバランシングポリシー • リクエストルーティング • ヘルスチェックとトラブルシューティング まとめ Copyright © 2025, Oracle and/or its affiliates 74 その他 • Web Application Acceleration • WAF • ロギング • メトリック • 制限事項

70. 日本語マニュアル – ロード・バランシング • https://docs.oracle.com/ja-jp/iaas/Content/Balance/Concepts/balanceoverview.htm 日本語マニュアル – ネットワーク・ロード・バランサ • https://docs.oracle.com/ja-jp/iaas/Content/NetworkLoadBalancer/overview.htm

    チュートリアル – ロード・バランサでWebサーバーを負荷分散する • https://oracle-japan.github.io/ocitutorials/intermediates/using-load-balancer/ ロード・バランサ 関連の技術情報 Copyright © 2025, Oracle and/or its affiliates 75

71. Oracle Cloud Infrastructure マニュアル • https://docs.oracle.com/ja-jp/iaas/Content/home.htm - マニュアル(日本語) • https://docs.cloud.oracle.com/iaas/api/

    - APIリファレンス • https://docs.oracle.com/ja-jp/iaas/Content/General/Reference/aqswhitepapers.htm - テクニカ ル・ホワイト・ペーパー • https://docs.cloud.oracle.com/iaas/releasenotes/ - リリースノート • https://docs.oracle.com/ja-jp/iaas/Content/knownissues.htm - 既知の問題(Known Issues) • https://docs.oracle.com/ja-jp/iaas/Content/General/Reference/graphicsfordiagrams.htm - OCIアイ コン・ダイアグラム集(PPT、SVG、Visio用) Oracle Cloud Infrastructure マニュアル・ドキュメント Copyright © 2025, Oracle and/or its affiliates 76

72. Oracle Cloud Infrastructure 活用資料集 • https://oracle-japan.github.io/ocidocs/ チュートリアル - Oracle Cloud

    Infrastructureを使ってみよう • https://oracle-japan.github.io/ocitutorials/ Oracle 主催 セミナー、ハンズオン・ワークショップ • https://www.oracle.com/search/events/ (右側の Filter から Locations -> Asia Pacific -> Japan と絞り込み) Oracle Cloud Infrastructure – General Forum (英語) • https://cloudcustomerconnect.oracle.com/resources/9c8fa8f96f/summary Oracle Cloud Infrastructure トレーニング・技術フォーラム Copyright © 2025, Oracle and/or its affiliates 77

73. Thank You Copyright © 2025, Oracle and/or its affiliates 78

74. None