ネットワーク・ロード・バランサ管理

TCPベースのリスナーを持つネットワーク・ロード・バランサでプロキシ・プロトコル機能を使用して、ネットワーク・アドレス変換(NAT)またはTCPプロキシのレイヤー間で、ソースと宛先のIPアドレスおよびポートをバックエンド・サーバーに送信できます。プロキシ・プロトコルを使用すると、ネットワーク・ロード・バランサは、ソース/宛先ヘッダーの保持機能が使用できないか無効になっている場合でも、クライアントIP情報をバックエンド・アプリケーションに送信できます。プロキシ・プロトコルを使用して、アプリケーション・セキュリティ(IP ACL)やコンプライアンス・ロギングなどのネットワーク要件をサポートします。

ネットワーク・ロード・バランサでプロキシ・プロトコルを有効にする前に、バックエンド・アプリケーションがプロキシ・プロトコルv2ヘッダーを想定して解析できることを確認します。プロキシプロトコルバージョン2の詳細については、次のWebサイトにアクセスし、プロキシプロトコルのドキュメント https://www.haproxy.org/にアクセスしてください。

次の図は、クライアント、ネットワーク・ロード・バランサおよびそのバックエンド・サーバー間でデータ・トラフィックを送信するためにプロキシ・プロトコルがどのように機能するかを示しています。

プロキシ・プロトコール・ヘッダーおよびタイプ長の値(TLV)は、クライアントからの最終確認(ACK)が送信された直後に、新しいTCPパケットでネットワーク・ロード・バランサによって送信されます。これは、3方向TCPハンドシェイクの一部です。ネットワーク・ロード・バランサは、プロキシ・プロトコル・ヘッダーのみを挿入します。既存のデータは上書きまたは破棄されません。ネットワーク・ロード・バランサは、TCPパケットのPSHフラグもマークします。サーバー側アプリケーションは、プロキシプロトコルヘッダー情報をすぐに処理できます。最後のACKがベアACKではなく、データがある場合、ネットワーク・ロード・バランサはデータを送信する前にプロキシ・プロトコル・パケットを送信します。

次の方法を使用して、ネットワーク・ロード・バランサでプロキシ・プロトコルを有効にできます。

• Oracle Cloud Infrastructure Console: Enable proxy protocol in the Configure listener section of the Create network load balancer dialog box when you create a network load balancer, or in the Edit listener dialog box of an existing network load balancer's listener.

• CLI: oci nlb network-load-balancer createまたはoci nlb listener updateコマンドを実行するときに、is-ppv2-enabledパラメータを値trueに含めます。例:

  oci nlb network-load-balancer create ... --is-ppv2-enabled true

  OR

  oci nlb listener update ... --is-ppv2-enabled true

• API: ネットワーク・ロード・バランサの作成時またはリスナーの更新時にisPpv2Enabledオプションを含めます。