エンハンスドロードバランサ¶
[更新: 2019年4月12日]
アプライアンス「エンハンスドロードバランサ」の仕様詳細や利用方法についての説明ページです。
概要¶
「エンハンスドロードバランサ」は、大規模構成向けのHTTP/HTTPS専用ロードバランサアプライアンスです。お客様が構築したスイッチに接続しDSR型のロードバランサとして機能する ロードバランサ アプライアンスや、DNSが応答するIPアドレスにより実サーバへのアクセス分散を行う GSLB と異なり、さくらのクラウドのグローバルネットワークに設置するプロキシ型のロードバランサとして動作します。大規模・高性能・高機能なロードバランサが求められる環境に適した機能です。
参考
エンハンスドロードバランサと、GSLB 、 ロードバランサ の違いについては、よくある質問と回答の 3種類のロードバランサアプライアンスの違いは何ですか? を参照ください。
主な機能¶
- HTTPおよびHTTPSに特化したプロキシ型のロードバランサです。
- SSL証明書を設定することでHTTPSの負荷を実サーバからロードバランサ側にオフロードすることが可能です。SNIに対応し、1つのエンハンスドロードバランサに4つのSSL証明書を設定できます。
- ロードバランシング先となる実サーバはさくらのクラウドの他、 さくらのVPS や 専用サーバ など、さくらインターネットがお客様向けに提供するグローバルIPアドレスを指定できます。
- 設定した条件に沿って実サーバのヘルスチェックを実施し、一定期間応答に失敗した実サーバは振り分け先から除外し可用性を高めます。
- 仮想IPアドレス(VIP)を監視し、DoS攻撃などにより応答しなくなった場合に自動的にVIPアドレスを変更するVIPフェイルオーバ機能を有効にできます。
- ソーリーサーバ設定機能により、障害やメンテナンス時に一時的にクライアントに情報提供するサーバを設定可能です。
- 実サーバの状態や負荷状況などの稼働状況が、コントロールパネル上のグラフなどで分かりやすく表示されます。
- 負荷状況に応じて随時プラン変更することが可能となり、負荷の高い時間帯や臨時のイベントの際だけよりハイスペックなプランに変更するなど、柔軟で低コストな運用が可能です。
仕様¶
エンハンスドロードバランサの仕様は以下の通りです。
| ネットワーク構成方式 | プロキシ方式 |
|---|---|
| ロードバランシングが可能なプロトコル | HTTP, HTTPS, WebSocket(ws,wss) ※IPv6接続には非対応となります |
| ロードバランサの冗長化 | 標準で複数台構成による冗長化対応済み |
| 仮想IPアドレス(VIP)、ポート番号 | 1台ごとにグローバルIPアドレス1個付属(追加不可)/待受ポート2個設定可 |
| 設定可能な最大実サーバ数 | 40台 |
| 振り分けアルゴリズム | least connection |
| セッション維持機能 | なし |
| ヘルスチェック判定 | ・サーバダウン判定のチェック回数: 3回連続タイムアウト(httpの場合は"200"以外のステータスコード)でダウン判定 (タイムアウト判定は「チェック間隔」で指定した秒数と同値) ・サーバアップ判定のチェック回数: 2回連続で成功した場合にアップ状態に遷移 ※タイムアウトはTCP監視においてはTCPコネクション確立までの時間、http監視においてはhttpレスポンス受信までの時間となります |
| 設定可能なSSL証明書の形式 | PEM形式、RSA 1024,2048bit(楕円曲線暗号ECDSAは非対応)、公開鍵、中間証明書、秘密鍵 |
| 実サーバへのプロキシ時の付加ヘッダ | 以下のHTTPヘッダを付加します。 X-Real-IP : アクセス元IPアドレス X-Forwarded-For : アクセス元IPアドレス X-Forwarded-Proto : 終端プロトコル("http"もしくは"https") |
料金¶
エンハンスドロードバランサは許容する同時セッション数ごとに5つのプランを用意しており、プラン名がそのままhttpでのセッション数の上限を表します。
重要
httpsの場合はプラン名に表示されるセッション数の10分の1の性能となります。
| 月額 | 日額 | 時間額 | |
|---|---|---|---|
| 1,000cpsプラン | 3,780円 | 189円 | 18円 |
| 5,000cpsプラン | 18,900円 | 945円 | 93円 |
| 10,000cpsプラン | 37,800円 | 1,890円 | 189円 |
| 50,000cpsプラン | 189,000円 | 9,450円 | 945円 |
| 100,000cpsプラン | 378,000円 | 18,900円 | 1,890円 |
※すべて税込価格です
新規作成¶
エンハンスドロードバランサの新規作成や作成済みエンハンスドロードバランサの管理は、コントロールパネル左側のメニュー「グローバル」以下にある「エンハンスドLB」を選択して行います。作成済みのエンハンスドロードバランサはリストに表示され、それをダブルクリックすることで該当のエンハンスドロードバランサの管理を行うことができます。
注釈
エンハンスドロードバランサはゾーンに依存しないグローバルリソースとなります。そのため、コントロールパネル左上の選択中のゾーンに関わらず、ログイン中のアカウントがさくらのクラウド上に作成したすべてのエンハンスドロードバランサが表示されます。
新規に作成する場合は右上の「作成」ボタンをクリックします。
新規作成画面が表示されます。
各フォームには以下の情報を入力します。
| 性能上限(*) | 作成するエンハンスドロードバランサの性能上限となるCPS(Connection per second;1秒あたりの接続可能数)を表示される5種類から選択します。 それぞれの性能上限値により価格が異なり、ラジオボタンを選択するたびに画面上部の料金表の表示が変化します。 ※表記の性能上限値はhttp使用時です。https使用時はhttp使用時の10分の1程度の性能となります。 |
|---|---|
| VIPフェイルオーバ | VIPフェイルオーバ機能を有効にする場合にチェックを入れます。 ※詳しくは VIPフェイルオーバ機能 の項目を参照ください。 |
| 監視方法(*) | 実サーバの死活監視の方法を"http"または"tcp"から選択します。 |
| Hostヘッダ ※監視方式に"http"を選択した場合のみ表示 |
フォームに入力されている場合、実サーバの監視時のhttpリクエストヘッダ"Host: "に、入力した文字列を付与してリクエストします。 |
| パス(*) ※監視方式に"http"を選択した場合のみ表示 |
実サーバの監視時にGETリクエストするパスを入力します。 |
| チェック間隔(秒) (*) | 実サーバの死活監視を行う間隔を10秒~60秒の範囲で指定します。 |
| ソーリーサーバ | バランシング先が全てダウン状態となった場合に表示するホストを設定します。 ラジオボタンで"入力"(任意のホストのIPアドレス・ポート番号を入力)または"サーバから選択"(ログイン中のアカウントで作成済みのサーバから選択)のいずれかの方式で指定することができます。 |
| 名前 / 説明 / タグ / アイコン | サーバやディスク、他のアプライアンスと同様に、わかりやすい名前設定やタグ、 アイコン 機能による分類が可能です。 |
※「*」は必須項目です
※ソーリーサーバはすべての実サーバがダウン判定される、または無効状態となった時に応答するサーバです。ダウン時やメンテナンス時にクライアントに告知する場合に便利です。
※監視方法がhttpの場合、応答するhttpステータスコードが"200"の場合のみ正常と判定します。それ以外のステータスコードの場合は異常判定されます。
※実サーバへの監視は「情報」タブに表示されるVIPアドレスから行われます。実サーバ側では必要に応じてアクセス制限を解除するなどエンハンスドロードバランサ側に対して正常な応答が行えるように設定してください。
作成が完了するとエンハンスドロードバランサ管理画面のリストに追加され、ダブルクリックで詳細な情報を確認することができます。
設定¶
新規作成時に指定した情報以外の実サーバの登録や待ち受けポートの設定、https使用時の証明書の登録などはこの画面で進めていきます。
注釈
新規作成時に指定した「名前」・「説明」・「タグ」・「アイコン」などの基本項目は「情報」タブ内右下の「編集」ボタン、監視方法やチェック間隔、ソーリーサーバ設定は右上の「監視方法の変更」ボタンにて変更することが可能です。
待ち受けプロトコル・ポート設定¶
エンハンスドロードバランサが待ち受けるプロトコルとポート番号を設定します。「待受ポート」タブをクリックすると設定済みのポートが表示されます。新たに追加する場合は「追加」ボタンをクリックします。
設定ダイアログボックスが表示されるのでフォームを入力します。いずれも必須項目となります。
| プロキシ方式 | プロキシするプロトコルをhttpまたはhttpsより選択します。 |
|---|---|
| 待受ポート番号 | 待ち受けるポート番号を指定します。 |
重要
httpsを選択した場合はSSL証明書の設定が必須となります。また、エンハンスドロードバランサと実サーバ間はプロキシ方式の選択によらず、常にhttpでの通信となります。実サーバがエンハンスドロードバランサ以外からの接続を許可したくない場合は、エンハンスドロードバランサ情報に表示されるプロキシ元ネットワークに表示されるネットワークのみに制限するなどの対策を行うことを推奨します。
設定後、右上の「反映」ボタンをクリックしてアプライアンス側に変更点を保存することで動作に反映されます。
注釈
登録リストは右側の鉛筆アイコン 
で編集、削除アイコン 
で削除が行えます。編集や削除作業を行った後も反映ボタンをクリックし変更値をロードバランサ側に保存する必要があります。
実サーバ登録¶
ロードバランシング先である実サーバを登録します。「実サーバ」タブをクリックすると登録済みの実サーバのリストが表示されます。追加するには「追加」ボタンをクリックします。
設定ダイアログボックスが表示されるのでフォームを入力します。
| IPアドレス | 実サーバのIPアドレスを指定します。 |
|---|---|
| ポート番号 | 実サーバに接続する際のポート番号を指定します。 |
| 有効/無効 | 登録した実サーバを有効にするかどうかを指定します。 |
※「IPアドレス」と「ポート番号」は必須項目です。「有効/無効」については、反映操作時に設定値を有効化したい場合は「有効」を、リストへの登録のみ行い現在の段階では有効化しておきたくない場合は「無効」を選択します。
設定後、右上の「反映」ボタンをクリックしてアプライアンス側に変更点を保存することで動作に反映されます。
注釈
登録リストは右側の鉛筆アイコン で編集、削除アイコン で削除が行えます。編集や削除作業を行った後も反映ボタンをクリックし変更値をロードバランサ側に保存する必要があります。
SSL証明書の設定¶
待ち受けポートのプロキシ方式にhttpsを設定した場合、画面上部に「SSL証明書の設定」ボタンが追加で表示されます。このメニューよりSSL関連の設定操作を行います。
SSL証明書の登録¶
SSL証明書の初期登録や登録済み証明書の更新、登録された証明書の削除を行うことができます。
| 設定 | フォームに入力したSSL証明書を登録する場合は「有効」、登録済みのSSL証明書を削除し無効化する場合は「無効」を選択します。 ※「無効」を選択した場合は以下の入力フォームが非表示となります。 |
|---|---|
| SSL証明書 | 証明書を入力します。 |
| 中間証明書 | SSL証明書に中間証明書が付属する場合はこのフォームに入力します。 |
| 秘密鍵 | SSL証明書の秘密鍵を入力します。 |
フォームに入力後、「更新」ボタンをクリックすることで「設定」で選択した操作が実行されます。また、SSL証明書が登録されると「情報」タブ画面で「SSL証明書有効期限」の項目が追加表示され、登録された証明書の有効期限を確認することができます。
注意
「設定」の項目で「無効」を選択した場合、保存されていたSSL証明書情報は削除され復旧することはできません。操作の際は十分ご注意ください。
エンハンスドロードバランサはSNIに対応しており、プライマリ証明書に加えて3枚の証明書を追加設定することができます。追加画面右上の「SSL証明書を追加する」ボタンをクリックすることにより、オプショナル #1~#3までのタブが追加され、それぞれにSSL証明書を設定することが可能です。
SSL証明書の監視追加¶
シンプル監視 サービスのSSL証明書有効期限アラート設定画面に移動し、設定したSSL証明書に対する有効期限アラートを簡単に設定することができます。詳しくは SSL証明書有効期限アラート 機能のページを参照ください。
VIPフェイルオーバ機能¶
「VIPフェイルオーバ機能」は、クライアントがエンハンスドロードバランサに接続する際に使用する仮想IP(VIP)アドレスの応答を常時監視し、応答が無くなった場合に自動的に別のVIPアドレスに変更する機能です。これにより、DoS攻撃などによりサイトが応答しなくなる状態が継続することを防ぎ、より可用性を高めることが可能となります。
重要
VIPフェイルオーバ機能を有効にしてエンハンスドロードバランサを作成すると、クライアント側の接続点としてVIPアドレスに加えDNS名が併せて払い出され、その名前を正引きした際に返答するIPアドレスを変化させることによりVIPフェイルオーバが行われます。そのため、クライアント側が変更されたVIPアドレスに追従し正しくフェイルオーバを機能させるには、サービス用ホスト名を払い出されたDNS名に対しCNAME設定する必要があります。
また、VIPアドレスの無応答検知からフェイルオーバ動作までの目安時間は5分程度となります。
VIPフェイルオーバ機能を有効にする場合、新規作成画面の「VIPフェイルオーバ」の項目でチェックした状態で作成することで有効となります。
注意
エンハンスドロードバランサの作成完了後にVIPフェイルオーバ機能の有効/無効を切り替えることはできません。
作成完了後は「情報」タブから払い出されたDNS名を確認することができます。
このDNS名に対し、エンハンスドロードバランサを使用してロードバランシングさせたいサービス用ドメイン名をCNAME設定します。
参考
サービス用ドメイン名: secure.example.jp
払い出されたDNS名: site-abcdefg1234567.proxylb1.sakura.ne.jp
の場合の example.jp ゾーン レコード設定例:
secure CNAME site-abcdefg1234567.proxylb1.sakura.ne.jp.
VIPフェイルオーバ機能によりVIPアドレスが切り替わると、緊急連絡用メールアドレス に設定されたメールアドレス(未設定の場合は会員IDの登録メールアドレス)宛に、変更後のVIPアドレスや切り替わりが行われた時刻が以下のような文面でメール通知されます。
From: さくらのクラウド <noreply@sakura.ad.jp>
Subject: [エンハンスドロードバランサ] VIPフェイルオーバ発生のお知らせ
※ このメッセージは自動送信されています。
さくらのクラウドエンハンスドロードバランササービスです。
下記のご契約においてVIPの到達性がなくなったため
フェイルオーバ処理を実施しました。
リソースID: 1131000XXXXX
FQDN: site-XXXXXXX-proxylb1.sakura.ne.jp
旧VIP: 163.43.XXX.XXX
新VIP: 163.43.YYY.YYY
フェイルオーバ発生時刻: 2019-03-28 12:34:56 (JST)
上記の通りVIPが変更になっておりますので、念のためお客様にて
疎通のご確認をお願いします。
アクティビティグラフ¶
「アクティビティ」タブでは、エンハンスドロードバランサに対する外部からのコネクション数をグラフで確認することができます。
また、実サーバの登録や削除を行う「実サーバ」タブでは、個別の実サーバごとのコネクションを確認することができます。
