Azure Gateway Load Balancer
Azure Gateway Load Balancer は、サードパーティのネットワーク仮想アプライアンス (NVA) を使用するハイ パフォーマンスと高可用性のシナリオに対応する、Azure Load Balancer ポートフォリオの SKU です。 Azure Gateway Load Balancer 機能を使用すると、NVA を簡単にデプロイ、スケーリング、管理できます。 ゲートウェイ ロード バランサーをパブリック エンドポイントにチェーンするには、1 回の選択しか必要ありません。
アプライアンスは、次のようなさまざまな種類のシナリオに対して透過的に挿入できます。
- ファイアウォール
- 高度なパケット分析
- 侵入の検出と防止システム
- トラフィックのミラーリング
- DDoS 保護
- カスタム アプライアンス
ゲートウェイ ロード バランサーを使用すると、管理上のオーバーヘッドを増やすことなく、高度なネットワーク機能を簡単に追加または削除できます。 これにより、パブリック エンドポイントとのすべてのトラフィックがアプリケーションより前にアプライアンスに最初に送信されることを確保するために必要な Bump-in-the-wire テクノロジが提供されます。 NVA を使用するシナリオでは、フローが対称的である点が特に重要です。 Azure Gateway Load Balancer は、バックエンド プール内の特定のインスタンスへのフローの保持性と、フローの対称性を維持します。 その結果、さらに手動の構成を行うことなく、ネットワーク仮想アプライアンスへの一貫したルートが保証されます。 その結果、パケットは両方向に同じネットワーク パスを通過し、このキー機能を必要とするアプライアンスはシームレスに機能できます。
正常性プローブは、すべてのポートをリッスンし、HA ポート規則を使用してバックエンド インスタンスにトラフィックをルーティングします。 Azure Gateway Load Balancer との間で送信されるトラフィックは、VXLAN プロトコルを使用します。
メリット
Azure Gateway Load Balancer には、次の利点があります。
仮想アプライアンスをネットワーク パスに透過的に統合します。
ネットワーク パス内のネットワーク仮想アプライアンスを簡単に追加または削除できます。
コストを管理しながら簡単にスケーリングできます。
ネットワーク仮想アプライアンスの可用性を向上させます。
テナントとサブスクリプション間でアプリケーションをチェーンする
構成とサポートされているシナリオ
Standard Public Load Balancer または仮想マシンの Standard IP 構成は、Azure Gateway Load Balancer にチェーンできます。 "チェーン" とは、Gateway Load Balancer のフロントエンド IP 構成への参照を含む、ロード バランサーのフロントエンドまたは NIC IP 構成を指します。 Gateway Load Balancer がコンシューマー リソースにチェーンされると、アプリケーション エンドポイントとの間のトラフィックが Gateway Load Balancer に送信されることを確保するための、UDR のような追加の構成は必要なくなります。
Gateway Load Balancer は、受信および送信トラフィック検査の両方をサポートします。 Standard Load Balancer を使用して送信トラフィックのパスに NVA を挿入するには、構成済みの送信規則で選択されたフロントエンド IP 構成に Gateway Load Balancer をチェーンする必要があります。
データ パスの図
Gateway Load Balancer では、Standard Load Balancer を介したコンシューマー アプリケーション向けのトラフィックが VXLAN ヘッダーでカプセル化され、最初に Gateway Load Balancer とバックエンド プール内の構成済みの NVA に転送されます。 その後、トラフィックはコンシューマー リソース (この場合は Standard Load Balancer) に戻り、ソース IP が保持されたコンシューマー アプリケーション仮想マシンに到着します。 コンシューマー仮想ネットワークとプロバイダー仮想ネットワークは、異なるサブスクリプション、またはテナントに含めることができ、管理オーバーヘッドが低減されます。
図: Azure Gateway Load Balancer の図。
Components
Azure Gateway Load Balancer は、次のコンポーネントで構成されます。
フロントエンド IP 構成 - Azure Gateway Load Balancer の IP アドレス。 この IP はプライベートのみです。
負荷分散規則 - ロード バランサーの規則は、バックエンド プール内のすべてのインスタンスに受信トラフィックを分散させる方法を定義するために使用されます。 負荷分散規則により、フロントエンドの特定の IP 構成およびポートがバックエンドの複数の IP アドレスおよびポートにマップされます。
Azure Gateway Load Balancer 規則は、HA ポート規則のみを指定できます。
Azure Gateway Load Balancer 規則は、最大 2 つのバックエンド プールに関連付けできます。
バックエンド プール - 受信要求を処理する仮想マシンのグループまたは仮想マシン スケール セット内のインスタンスのグループ。 コスト効果に優れた方法でスケーリングして大量の受信トラフィックに対処するために、コンピューティングのガイドラインでは通常、バックエンド プールにインスタンスを追加することが推奨されます。 Load Balancer は、インスタンスがスケールアップまたはスケールダウンされると、自動再構成を通じてすぐに自身を再構成します。 バックエンド プールの VM を追加または削除すると、追加操作なしに、ロード バランサーが再構成されます。 バックエンド プールのスコープは、1 つの仮想ネットワーク内の任意の仮想マシンです。
Tunnel インターフェイス - Azure Gateway Load Balancer バックエンド プールには、Tunnel インターフェイスと呼ばれる別のコンポーネントがあります。 Tunnel インターフェイスを使用すると、バックエンド内のアプライアンスで、ネットワーク フローが想定した方法で確実に処理されます。 各バックエンド プールには、最大 2 つの Tunnel インターフェイスを保有できます。 Tunnel インターフェイスは、内部または外部のいずれかにできます。 バックエンド プールに送信されるトラフィックの場合は、外部の種類を使用する必要があります。 アプライアンスからアプリケーションに送信されるトラフィックの場合は、内部の種類を使用する必要があります。
チェーン - Azure Gateway Load Balancer は、Standard Public Load Balancer フロントエンドまたは仮想マシン上の Standard Public IP 構成によって参照できます。 特定のシーケンスでの高度なネットワーク機能の追加は、サービス チェーンと呼ばれます。 その結果、この参照はチェーンと呼ばれます。 クロス テナント チェーンには、別のサブスクリプションにあるゲートウェイ ロード バランサーへの Load Balancer フロントエンドまたはパブリック IP 構成のチェーンが含まれます。 テナント間チェーンの場合、ユーザーには次のものが必要です。
- リソース プロバイダー操作
Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action
のアクセス許可。 - ゲートウェイ ロード バランサーのサブスクリプションへのゲスト アクセス。
- リソース プロバイダー操作
価格
価格については、「Load Balancer の価格」を参照してください。
制限事項
- Azure Gateway Load Balancer は、Global Load Balancer レベルでは機能しません。
- テナント間のチェーンは、Azure portal を介してはサポートされません。
次のステップ
- ゲートウェイ ロード バランサーを作成するには、「Azure portal を使用してゲートウェイ ロード バランサーを作成する」を参照してください。
- 送信接続のシナリオ向けの Gateway Load Balancer を使用する方法について学ぶ。
- Azure Load Balancer についてさらに詳しく学習する。