Azure Gateway Load Balancer

  • [アーティクル]

Azure Gateway Load Balancer は、サードパーティのネットワーク仮想アプライアンス (NVA) を使用するハイ パフォーマンスと高可用性のシナリオに対応する、Azure Load Balancer ポートフォリオの SKU です。 Azure Gateway Load Balancer 機能を使用すると、NVA を簡単にデプロイ、スケーリング、管理できます。 ゲートウェイ ロード バランサーをパブリック エンドポイントにチェーンするには、1 回の選択しか必要ありません。

アプライアンスは、次のようなさまざまな種類のシナリオに対して透過的に挿入できます。

  • ファイアウォール
  • 高度なパケット分析
  • 侵入の検出と防止システム
  • トラフィックのミラーリング
  • DDoS 保護
  • カスタム アプライアンス

ゲートウェイ ロード バランサーを使用すると、管理上のオーバーヘッドを増やすことなく、高度なネットワーク機能を簡単に追加または削除できます。 これにより、パブリック エンドポイントへのすべてのトラフィックがアプリケーションの前にアプライアンスに最初に送信されるのを確認するために必要な、ネットワーク内の Bump-in-the-wire テクノロジが提供されます。 NVA を使用するシナリオでは、フローが対称的である点が特に重要です。 Azure Gateway Load Balancer は、バックエンド プール内の特定のインスタンスへのフローの保持性と、フローの対称性を維持します。 その結果、手動で追加の構成を行うことなく、ネットワーク仮想アプライアンスへの一貫したルートが保証されます。 その結果、パケットは両方向に同じネットワーク パスを通過し、このキー機能を必要とするアプライアンスはシームレスに機能できます。

正常性プローブは、すべてのポートをリッスンし、HA ポート規則を使用してバックエンド インスタンスにトラフィックをルーティングします。 Azure Gateway Load Balancer との間で送信されるトラフィックは、VXLAN プロトコルを使用します。

メリット

Azure Gateway Load Balancer には、次の利点があります。

  • 仮想アプライアンスをネットワーク パスに透過的に統合します。

  • ネットワーク パス内のネットワーク仮想アプライアンスを簡単に追加または削除できます。

  • コストを管理しながら簡単にスケーリングできます。

  • ネットワーク仮想アプライアンスの可用性を向上させます。

  • リージョンとサブスクリプション間でアプリケーションをチェーンする

Standard Public Load Balancer または仮想マシンの Standard IP 構成は、Azure Gateway Load Balancer にチェーンできます。 Standard Public Load Balancer フロントエンドまたは仮想マシンの Standard IP 構成にチェーンされた後、アプリケーション エンドポイント間のトラフィックがゲートウェイ ロード バランサーに送信されるのを確認するために、追加の構成は必要はありません。

トラフィックは、コンシューマー仮想ネットワークからプロバイダー仮想ネットワークに移動します。 その後、トラフィックはコンシューマー仮想ネットワークに返されます。 コンシューマー仮想ネットワークとプロバイダー仮想ネットワークは、異なるサブスクリプション、テナント、またはリージョンに含めることができ、管理オーバーヘッドが低減されます。

Diagram of gateway load balancer

図: Azure Gateway Load Balancer の図。

Components

Azure Gateway Load Balancer は、次のコンポーネントで構成されます。

  • フロントエンド IP 構成 - Azure Gateway Load Balancer の IP アドレス。 この IP はプライベートのみです。

  • 負荷分散規則 - ロード バランサーの規則は、バックエンド プール内のすべてのインスタンスに受信トラフィックを分散させる方法を定義するために使用されます。 負荷分散規則により、フロントエンドの特定の IP 構成およびポートがバックエンドの複数の IP アドレスおよびポートにマップされます。

    • Azure Gateway Load Balancer 規則は、HA ポート規則のみを指定できます。

    • Azure Gateway Load Balancer 規則は、最大 2 つのバックエンド プールに関連付けできます。

  • バックエンド プール - 受信要求を処理する仮想マシンのグループまたは仮想マシン スケール セット内のインスタンスのグループ。 コスト効果に優れた方法でスケーリングして大量の受信トラフィックに対処するために、コンピューティングのガイドラインでは通常、バックエンド プールにインスタンスを追加することが推奨されます。 Load Balancer は、インスタンスがスケールアップまたはスケールダウンされると、自動再構成を通じてすぐに自身を再構成します。 バックエンド プールの VM を追加または削除すると、追加操作なしに、ロード バランサーが再構成されます。 バックエンド プールのスコープは、1 つの仮想ネットワーク内の任意の仮想マシンです。

  • Tunnel インターフェイス - Azure Gateway Load Balancer バックエンド プールには、Tunnel インターフェイスと呼ばれる別のコンポーネントがあります。 Tunnel インターフェイスを使用すると、バックエンド内のアプライアンスで、ネットワーク フローが想定した方法で確実に処理されます。 各バックエンド プールには、最大 2 つの Tunnel インターフェイスを保有できます。 Tunnel インターフェイスは、内部または外部のいずれかにできます。 バックエンド プールに送信されるトラフィックの場合は、外部の種類を使用する必要があります。 アプライアンスからアプリケーションに送信されるトラフィックの場合は、内部の種類を使用する必要があります。

  • チェーン - Azure Gateway Load Balancer は、Standard Public Load Balancer フロントエンドまたは仮想マシン上の Standard Public IP 構成によって参照できます。 特定のシーケンスでの高度なネットワーク機能の追加は、サービス チェーンと呼ばれます。 その結果、この参照はチェーンと呼ばれます。 クロス テナント チェーンには、別のサブスクリプションにあるゲートウェイ ロード バランサーへの Load Balancer フロントエンドまたはパブリック IP 構成のチェーンが含まれます。 テナント間チェーンの場合、ユーザーには次のものが必要です。

    • リソース プロバイダー操作 Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action のアクセス許可。
    • ゲートウェイ ロード バランサーのサブスクリプションへのゲスト アクセス。

価格

価格については、「Load Balancer の価格」を参照してください。

制限事項

  • Azure Gateway Load Balancer は、Global Load Balancer レベルでは機能しません。
  • テナント間のチェーンは、Azure portal を介してはサポートされません。

次のステップ