Création d'un équilibreur de charge réseau

Lorsque vous sélectionnez le type de visibilité privée pour votre équilibreur de charge réseau, vous pouvez activer la conservation de l'en-tête source/de destination. Cette option vous permet de configurer l'équilibreur de charge réseau de l'adresse IP privée de sorte que l'en-tête source et de destination d'origine (adresses et ports IP) de chaque paquet entrant soit conservé jusqu'au serveur back-end. Pour plus d'informations, reportez-vous à Activation de l'équilibrage de charge réseau - Conservation de la source/source de destination.

La protection de l'en-tête source/de cible (adresse Internet, port) a une incidence sur tous les ensembles dorsaux de l'équilibreur de charge réseau. Mettez à jour votre table de routage pour utiliser cette fonctionnalité. Pour plus d'informations, reportez-vous à Tables de routage VCN.

Si le compartiment en cours contient des réseaux cloud virtuels à utiliser avec l'équilibreur de charge réseau, passez à l'étape suivante.

• Réseau cloud virtuel dans <compartment> : sélectionnez un VCN dans la liste.

  Lorsque le compartiment en cours ne contient aucun réseau cloud virtuel, la liste est désactivée. Le système propose de créer un réseau cloud virtuel pour vous. Entrez un nom pour le nouveau VCN dans la zone Nom du réseau cloud virtuel. Si vous n'indiquez pas de nom pour le nouveau VCN, le système génère un nom pour vous.

• Sous-réseau dans <compartment> : sélectionnez un sous-réseau dans la liste. Pour un équilibreur de charge public, vous devez sélectionner un sous-réseau public.
• Utiliser des groupes de sécurité réseau pour contrôler le trafic : sélectionnez cette option pour ajouter l'équilibreur de charge réseau à un groupe de sécurité réseau. Pour ce faire, procédez comme suit :
  1. Groupes de sécurité réseau dans <compartment> : sélectionnez un groupe de sécurité réseau dans la liste.
  2. + Un autre groupe de sécurité réseau : sélectionnez cette option pour ajouter l'équilibreur de charge réseau à un autre groupe de sécurité réseau.

  Reportez-vous à Groupes de sécurité réseau.

  Remarque
  
  Vous pouvez modifier les groupes de sécurité réseau auxquels l'équilibreur de charge réseau appartient après l'avoir créé. Sur la page Détails, sélectionnez Modifier en regard de la liste des groupes de sécurité réseau associés.

Appliquez des attributs de sécurité pour contrôler l'accès à vos ressources via le service Zero Trust Packet Routing. Pour plus d'informations, reportez-vous à Zero Trust Packet Routing.

Sélectionnez Ajouter un attribut de sécurité pour afficher les paramètres d'attribut de sécurité. Entrez les informations suivantes pour chaque attribut de sécurité :

• Espace de noms : sélectionnez un espace de noms d'attribut de sécurité dans la liste. Cette liste contient les espaces de noms d'attribut de sécurité déjà configurés. Pour plus d'informations, reportez-vous à Création d'un espace de noms d'attribut de sécurité.
• Clé : sélectionnez une clé dans la liste.
• Valeur : sélectionnez une valeur pour la clé correspondante dans la liste.
• Mode : vous pouvez appliquer des attributs de sécurité à un équilibreur de charge réseau dans les modes suivants :
  • Appliquer : applique des stratégies d'attribut de sécurité et bloque toute entrée ou sortie de trafic non autorisée.

Sélectionnez à nouveau Ajouter un attribut de sécurité pour ajouter un autre attribut.

Si vous disposez des droits d'accès permettant de créer une ressource, vous disposez également de ceux permettant de l'appliquer à cette ressource. Pour appliquer une balise defined, vous devez être autorisé à utiliser la balise namespace. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas sûr d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des balises ultérieurement.

Sélectionnez Suivant.

Entrez le délai d'expiration de chaque type de trafic en secondes. Si vous n'entrez pas de valeur d'expiration, les valeurs par défaut sont utilisées. Le nombre de valeurs d'expiration que vous devez saisir varie en fonction du type de trafic du processus d'écoute que vous avez sélectionné précédemment :

• UDP : un délai d'expiration. La valeur par défaut est de 120 secondes.
• TCP : un délai d'expiration. La valeur par défaut est de 360 secondes.
• UDP/TCP : deux délais d'attente, un pour chaque protocole (UDP et TCP). La valeur par défaut est 120 et 360 secondes.
• L3IP : trois délais d'attente, pour un pour chaque protocole (L3IP, UDP et TCP). La valeur par défaut est 120, 120 et 360 secondes.

Sélectionnez Suivant.

Lorsque vous sélectionnez TCP, UDP/TCP, TCP/UDP/ICMP ou L3 IP comme type de trafic du processus d'écoute, vous avez la possibilité d'activer le protocole proxy version 2. Pour plus d'informations sur l'utilisation du protocole proxy avec des équilibreurs de charge réseau, reportez-vous à la section Proxy Protocol

La liste Back-ends affiche les serveurs back-end qui sont configurés et disponibles pour utilisation avec l'équilibreur de charge réseau que vous créez. La liste affiche les détails de chaque serveur back-end, notamment son nom (pour les serveurs basés sur une instance de calcul), son adresse IP, son domaine de disponibilité, son compartiment, son port et son poids. Vous pouvez ajouter un serveur back-end à la liste en sélectionnant Ajouter des back-ends et en le configurant comme décrit dans la suite de cette section.

Le nombre de back-ends que vous pouvez affecter à un ensemble de back-ends dépend de son type. Un ensemble de back-ends par défaut peut être affecté à un nombre illimité de serveurs back-end. Un ensemble de back-ends non préventifs ne peut être affecté qu'à deux serveurs back-end au maximum. Pour les ensembles de back-ends non préventifs, vous pouvez indiquer l'un des deux serveurs back-end comme sauvegarde pour l'autre.

Une fois les instances ajoutées à l'ensemble de back-ends, celles-ci apparaissent dans la table Sélectionner des serveurs back-end. Vous pouvez effectuer les tâches suivantes :

• Mettre à jour le port de serveur vers lequel l'équilibreur de charge réseau doit acheminer le trafic. Le port par défaut est le port 80.
• Mettez à jour la pondération du serveur qui indique la proportion de trafic entrant géré par le back-end. Plus le chiffre est élevé, plus le trafic reçu est important.
• Pour enlever une instance, sélectionnez-la et sélectionnez Enlever. Vous pouvez également sélectionner Enlever dans le menu Action à la fin d'une entrée d'instance.

Conserver l'adresse IP de la source : sélectionnez cette option pour conserver l'en-tête source et d'origine de destination (adresses et ports IP) de chaque paquet entrant jusqu'au serveur back-end. Vous ne pouvez pas ajouter de serveurs back-end basés sur une adresse IP si la fonctionnalité de conservation de l'adresse IP source est activée. Pour plus d'informations, reportez-vous à Activation de la conservation de l'ensemble de back-ends de l'équilibreur de charges réseau.

Indiquez les paramètres de test permettant d'assurer l'état des serveurs back-end. Pour plus d'informations sur cette fonctionnalité, reportez-vous à Stratégies de vérification de l'état.

Saisissez les informations suivantes :

• Protocole : indiquez le protocole à utiliser pour les requêtes de vérification de l'état :
  • HTTP
  • HTTPS
  • TCP
  • UDP
  • DNS : pour plus d'informations sur la configuration de vos stratégies de vérification de l'état pour le protocole DNS, reportez-vous à Vérification de l'état DNS.
  Important
  
  Configurez le protocole de vérification de l'état pour qu'il corresponde à l'application ou au service. Pour plus d'informations, reportez-vous à Stratégies de vérification de l'état.

  Pour TCP et UDP, les données fournies doivent être encodées en base64. Utilisez n'importe quel outil d'encodage base64 pour convertir les chaînes de texte brut en chaînes codées based64, et utilisez les chaînes codées pour la configuration de la vérification de l'état. Par exemple, la chaîne de texte brut suivante :

  this is the request data for my NLB backend health check

  est encodée comme suit :

  dGhpcyBpcyB0aGUgcmVxdWVzdCBkYXRhIGZvciBteSBOTEIgYmFja2VuZCBoZWFsdGggY2hlY2s

  La chaîne encodée est celle qui sert à la configuration de la vérification de l'état.

  La longueur maximale prise en charge de la chaîne avant l'encodage en base64 est de 1 024 octets. Si la chaîne dépasse cette limite, l'appel de configuration échoue avec le code de statut HTTP 400.

• Protocole de transport : (DNS uniquement) indiquez le protocole de transport utilisé pour envoyer le trafic lorsque DNS est sélectionné en tant que protocole :
  • UDP
  • TCP
• Port : : indiquez le port du serveur back-end sur lequel exécuter la vérification de l'état. Vous pouvez saisir la valeur "0" pour que la vérification de l'état utilise le port de trafic du serveur back-end.
• Intervalle en MS : indiquez la fréquence d'exécution de la vérification de l'état, en millisecondes. La valeur par défaut est de 10 000 (10 secondes).
• Délai d'expiration en ms : indiquez la durée maximale d'attente d'une réponse à une vérification de l'état, en millisecondes. Une vérification de l'état aboutit uniquement si une réponse est renvoyée dans ce délai d'expiration. La valeur par défaut est de 3 000 (3 secondes).
• Nombre de relances : indiquez le nombre de relances à effectuer avant de considérer un serveur back-end comme étant en mauvais état. Ce nombre s'applique également lors de la récupération du bon état d'un serveur. La valeur par défaut est 3.
• Données de demande : (requis pour UDP et facultatif pour TCP uniquement) entrez le message de demande inclus dans la demande. Ces données de demande sont incluses dans la demande unique adressée au serveur back-end. Les données de demande sont comparées aux données de réponse
• Données de réponse : (requis pour UDP et facultatif pour TCP uniquement) entrez le message de réponse par rapport auquel la fonctionnalité de vérification de l'état envoie une seule demande au serveur back-end. En cas de correspondance, la vérification de l'état réussit.
• Code de statut : (HTTP et HTTPS uniquement) indiquez le code de statut qu'un serveur back-end en bon état doit renvoyer.
• Chemin d'URL (URI) : (HTTP et HTTPS uniquement) indiquez l'adresse d'URL sur laquelle exécuter la vérification de l'état.
• Corps de réponse (expression régulière) : indiquez une expression régulière pour analyser le corps de réponse à partir du serveur back-end.
• Nom de requête : (DNS uniquement) indiquez un nom de domaine DNS pour la requête.
• Classe de requête : (DNS uniquement) sélectionnez l'une des options suivantes :
  • IN : Internet (par défaut)
  • CH : Chaos
• Type de requête : (DNS uniquement) sélectionnez l'une des options suivantes :
  • A : indique un nom d'hôte correspondant à l'adresse IPv4. (par défaut)
  • AAAA : indique un nom d'hôte correspondant à l'adresse IPv6.
  • TXT : indique un champ de texte.
• Codes de réponse acceptables : sélectionnez une ou plusieurs des options suivantes :
  • La requête DNS RCODE:0 NOERROR s'est terminée avec succès.
  • Le serveur RCODE:2 SERVFAIL n'a pas pu terminer la demande DNS.
  • Le nom de domaine RCODE:3 NXDOMAIN n'existe pas.
  • RCODE:5 REFUSED Le serveur a refusé de répondre à la requête.
• Echec d'ouverture : (facultatif) sélectionnez cette option pour que l'équilibreur de charge réseau continue à déplacer le trafic vers les serveurs back-end de cet ensemble de back-ends à l'aide de la configuration en cours, même si tous les états des serveurs back-end ne sont pas en bon état.
• Activer le basculement instantané : (requis pour DNS, facultatif pour tous les autres protocoles) sélectionnez cette option pour rediriger le trafic existant vers un serveur back-end en bon état si le serveur back-end en cours devient en mauvais état. Cette fonctionnalité ne fonctionne pas si l'option Echec d'ouverture est activée et que tous les serveurs back-end deviennent en mauvais état.
• Envoyer la réinitialisation TCP : (L3 processus d'écoute IP uniquement) sélectionnez cette option pour réinitialiser automatiquement la connexion TCP sur un serveur back-end en échec.

Sélectionnez cette option pour configurer manuellement les règles de liste de sécurité de sous-réseau afin d'autoriser le trafic prévu ou permettre au système de créer des règles de liste de sécurité pour vous. Pour plus d'informations sur ces règles, reportez-vous à Parties d'une règle de sécurité.

Sélectionnez l'une des options suivantes :

• Configurer manuellement des règles de liste de sécurité après la création de l'équilibreur de charge réseau : lorsque vous sélectionnez cette option, vous devez configurer des règles de liste de sécurité après la création de l'équilibreur de charge réseau.
• Ajouter automatiquement des règles de liste de sécurité : lorsque vous sélectionnez cette option, le service d'équilibreur de charge réseau crée des règles de liste de sécurité pour vous.

  Le système affiche une table pour les règles sortantes et une table pour les règles entrantes. Chaque table permet de sélectionner la liste de sécurité qui s'applique au sous-réseau approprié.

  Vous pouvez décider d'appliquer ou non les règles proposées pour chaque sous-réseau concerné.

Sélectionnez l'une des stratégies d'équilibrage de charge suivantes :

• Hachage à 5 tuples : arrête le trafic entrant en fonction d'un hachage à 5 tuples (port et adresse IP source, port et adresse IP de destination, protocole).
  Remarque
  
  Lorsque le protocole de processus d'écoute IP L3 est sélectionné, l'équilibreur de charge ne prend pas en charge les stratégies de hachage à 5 tuples.
• Hachage à 3 tuples : arrête le trafic entrant en fonction d'un hachage à 3 tuples (adresse IP source, adresse IP de destination, protocole).
• Hachage à 2 tuples : achemine le trafic entrant en fonction du hachage à 2 tuples (destination d'adresse IP source, adresse IP de destination).

Sélectionnez Suivant.