このページは Cloud Translation API によって翻訳されました。

バックエンドサービスの概要

バックエンドサービスは、Cloud Load Balancing によるトラフィックの分散方法を定義します。バックエンドサービスの構成には、バックエンドへの接続に使用されるプロトコル、さまざまな配信とセッションの設定、ヘルスチェック、タイムアウトなどの値が含まれます。これらの設定により、ロードバランサの動作を細かく制御できます。ほとんどの設定にはデフォルト値が用意されているので、簡単な構成ですぐに使い始めることができます。バックエンドサービスのスコープはグローバルまたはリージョンです。

ロードバランサ、Envoy プロキシ、プロキシレス gRPC クライアントは、バックエンドサービスリソースの構成情報を使用して次のことを行います。

トラフィックを正しいバックエンド、すなわちインスタンスグループまたはネットワークエンドポイントグループ（NEG）に転送する。
各バックエンドで設定されたバランシングモードに従ってトラフィックを分散する。
バックエンドの状態をモニタリングしているヘルスチェックを判別する。
セッションアフィニティを指定する。
特定のロードバランサでのみ使用される以下のサービスなど、他のサービスが有効になっているかどうかを確認する。
- Cloud CDN
- Google Cloud Armor セキュリティポリシー
- Identity-Aware Proxy
App Hub（プレビュー版）で、リージョンバックエンドサービスをサービスとして指定します。

これらの値は、バックエンドサービスを作成するとき、またはバックエンドサービスにバックエンドを追加するときに設定します。

グローバル外部アプリケーションロードバランサまたは従来のアプリケーションロードバランサを使用していて、バックエンドが静的コンテンツを配信する場合、バックエンドサービスの代わりにバックエンドバケットを使用することを検討してください。

次の表は、どのロードバランサがバックエンドサービスを使用しているかをまとめたものです。また、使用しているプロダクトによって、バックエンドサービスの最大数、バックエンドサービスのスコープ、サポートされているバックエンドタイプ、バックエンドサービスのロードバランシングスキームが決まります。ロードバランシングスキームは、Google が転送ルールとバックエンドサービスを分類するために使用する識別子です。各ロードバランシングプロダクトは、転送ルールとバックエンドサービスに 1 つのロードバランシングスキームを使用します。スキームの中には、プロダクト間で共有されるものもあります。

表: バックエンドサービスとサポートされているバックエンドタイプ
プロダクト	バックエンドサービスの最大数	バックエンドサービスのスコープ	サポートされているバックエンドの種類	ロードバランシングスキーム
グローバル外部アプリケーションロードバランサ	複数	グローバル	各バックエンドサービスは、次のいずれかのバックエンドの組み合わせをサポートしています。すべてのインスタンスグループバックエンド: 1 つ以上のマネージドまたは非マネージドインスタンスグループバックエンド。あるいは、マネージドと非マネージドの組み合わせ^‡ すべてのゾーン NEG: 1 つ以上の `GCE_VM_IP_PORT` タイプのゾーン NEG^‡ すべてのハイブリッド接続 NEG: 1 つ以上の `NON_GCP_PRIVATE_IP_PORT` タイプの NEG ゾーン NEG とハイブリッド NEG の組み合わせ: `GCE_VM_IP_PORT` タイプと `NON_GCP_PRIVATE_IP_PORT` タイプの NEG^† すべてのサーバーレス NEG: 1 つ以上の App Engine、Cloud Run、Cloud Run 関数サービス。グローバル外部バックエンド用の 1 つのインターネット NEG Private Service Connect NEG: Google API: 単一の Private Service Connect NEG マネージドサービス: 1 つ以上の Private Service Connect NEG	EXTERNAL_MANAGED
従来のアプリケーションロードバランサ	複数	グローバル^*	各バックエンドサービスは、次のいずれかのバックエンドの組み合わせをサポートしています。すべてのインスタンスグループバックエンド: 1 つ以上のマネージドまたは非マネージドインスタンスグループバックエンド。あるいは、マネージドと非マネージドの組み合わせ。すべてのゾーン NEG: 1 つ以上の `GCE_VM_IP_PORT` タイプのゾーン NEG すべてのハイブリッド接続 NEG: 1 つ以上の `NON_GCP_PRIVATE_IP_PORT` タイプの NEG ゾーン NEG とハイブリッド NEG の組み合わせ: `GCE_VM_IP_PORT` タイプと `NON_GCP_PRIVATE_IP_PORT` タイプの NEG^† すべてのサーバーレス NEG: 1 つ以上の App Engine、Cloud Run、Cloud Run 関数サービス。グローバル外部バックエンド用の 1 つのインターネット NEG	EXTERNAL
リージョン外部アプリケーションロードバランサ	複数	リージョン	各バックエンドサービスは、次のいずれかのバックエンドの組み合わせをサポートしています。すべてのインスタンスグループバックエンド: 1 つ以上のマネージドまたは非マネージドインスタンスグループバックエンド。あるいは、マネージドと非マネージドの組み合わせ^‡ すべてのゾーン NEG: 1 つ以上の `GCE_VM_IP_PORT` タイプのゾーン NEG^‡ すべてのハイブリッド接続 NEG: 1 つ以上の `NON_GCP_PRIVATE_IP_PORT` タイプの NEG ゾーン NEG とハイブリッド NEG の組み合わせ: `GCE_VM_IP_PORT` タイプと `NON_GCP_PRIVATE_IP_PORT` タイプの NEG^† 単一のサーバーレス NEG（Cloud Run のみ）単一の Private Service Connect NEG 外部バックエンドのすべてのリージョンインターネット NEG	EXTERNAL_MANAGED
クロスリージョン内部アプリケーションロードバランサ	複数	グローバル	各バックエンドサービスは、次のいずれかのバックエンドの組み合わせをサポートしています。すべてのインスタンスグループバックエンド: 1 つ以上のマネージドまたは非マネージドインスタンスグループバックエンド。あるいは、マネージドと非マネージドの組み合わせ^‡ すべてのゾーン NEG: 1 つ以上の `GCE_VM_IP_PORT` タイプのゾーン NEG^‡ すべてのハイブリッド接続 NEG: 1 つ以上の `NON_GCP_PRIVATE_IP_PORT` タイプの NEG ゾーン NEG とハイブリッド NEG の組み合わせ: `GCE_VM_IP_PORT` タイプと `NON_GCP_PRIVATE_IP_PORT` タイプの NEG^† 単一のサーバーレス NEG（Cloud Run のみ） Private Service Connect NEG: Google API: 単一の Private Service Connect NEG マネージドサービス: 1 つ以上の Private Service Connect NEG	INTERNAL_MANAGED
リージョン内部アプリケーションロードバランサ	複数	リージョン	各バックエンドサービスは、次のいずれかのバックエンドの組み合わせをサポートしています。すべてのインスタンスグループバックエンド: 1 つ以上のマネージドまたは非マネージドインスタンスグループバックエンド。あるいは、マネージドと非マネージドの組み合わせ^‡ すべてのゾーン NEG: 1 つ以上の `GCE_VM_IP_PORT` タイプのゾーン NEG^‡ すべてのハイブリッド接続 NEG: 1 つ以上の `NON_GCP_PRIVATE_IP_PORT` タイプの NEG ゾーン NEG とハイブリッド NEG の組み合わせ: `GCE_VM_IP_PORT` タイプと `NON_GCP_PRIVATE_IP_PORT` タイプの NEG^† 単一のサーバーレス NEG（Cloud Run のみ）単一の Private Service Connect NEG 外部バックエンドのすべてのリージョンインターネット NEG	INTERNAL_MANAGED
グローバル外部プロキシネットワークロードバランサ	1	グローバル	バックエンドサービスは、次のいずれかのバックエンドの組み合わせをサポートしています。すべてのインスタンスグループバックエンド: 1 つ以上のマネージドまたは非マネージドインスタンスグループバックエンド。あるいは、マネージドと非マネージドの組み合わせ^‡ すべてのゾーン NEG: 1 つ以上の `GCE_VM_IP_PORT` タイプのゾーン NEG^‡ すべてのハイブリッド接続 NEG: 1 つ以上の `NON_GCP_PRIVATE_IP_PORT` タイプの NEG ゾーン NEG とハイブリッド NEG の組み合わせ: `GCE_VM_IP_PORT` タイプと `NON_GCP_PRIVATE_IP_PORT` タイプの NEG^† Private Service Connect NEG: Google API: 単一の Private Service Connect NEG マネージドサービス: 1 つ以上の Private Service Connect NEG	EXTERNAL_MANAGED
従来のプロキシネットワークロードバランサ	1	グローバル^*	バックエンドサービスは、次のいずれかのバックエンドの組み合わせをサポートしています。すべてのインスタンスグループバックエンド: 1 つ以上のマネージドまたは非マネージドインスタンスグループバックエンド。あるいは、マネージドと非マネージドの組み合わせ。すべてのゾーン NEG: 1 つ以上の `GCE_VM_IP_PORT` タイプのゾーン NEG すべてのハイブリッド接続 NEG: 1 つ以上の `NON_GCP_PRIVATE_IP_PORT` タイプの NEG ゾーン NEG とハイブリッド NEG の組み合わせ: `GCE_VM_IP_PORT` タイプと `NON_GCP_PRIVATE_IP_PORT` タイプの NEG^†	EXTERNAL
リージョン外部プロキシネットワークロードバランサ	1	リージョン	バックエンドサービスは、次のいずれかのバックエンドの組み合わせをサポートしています。すべてのインスタンスグループバックエンド: 1 つ以上のマネージドまたは非マネージドインスタンスグループバックエンド。あるいは、マネージドと非マネージドの組み合わせ^‡ すべてのゾーン NEG: 1 つ以上の `GCE_VM_IP_PORT` タイプのゾーン NEG^‡ すべてのハイブリッド接続 NEG: 1 つ以上の `NON_GCP_PRIVATE_IP_PORT` タイプの NEG ゾーン NEG とハイブリッド NEG の組み合わせ: `GCE_VM_IP_PORT` タイプと `NON_GCP_PRIVATE_IP_PORT` タイプの NEG 外部バックエンドのすべてのリージョンインターネット NEG 単一の Private Service Connect NEG	EXTERNAL_MANAGED
リージョン内部プロキシネットワークロードバランサ	1	リージョン	バックエンドサービスは、次のいずれかのバックエンドの組み合わせをサポートしています。すべてのインスタンスグループバックエンド: 1 つ以上のマネージドまたは非マネージドインスタンスグループバックエンド。あるいは、マネージドと非マネージドの組み合わせ^‡ すべてのゾーン NEG: 1 つ以上の `GCE_VM_IP_PORT` タイプのゾーン NEG^‡ すべてのハイブリッド接続 NEG: 1 つ以上の `NON_GCP_PRIVATE_IP_PORT` タイプの NEG ゾーン NEG とハイブリッド NEG の組み合わせ: `GCE_VM_IP_PORT` タイプと `NON_GCP_PRIVATE_IP_PORT` タイプの NEG 外部バックエンドのすべてのリージョンインターネット NEG 単一の Private Service Connect NEG	INTERNAL_MANAGED
クロスリージョン内部プロキシネットワークロードバランサ	複数	グローバル	バックエンドサービスは、次のいずれかのバックエンドの組み合わせをサポートしています。すべてのインスタンスグループバックエンド: 1 つ以上のマネージドまたは非マネージドインスタンスグループバックエンド。あるいは、マネージドと非マネージドの組み合わせ^‡ すべてのゾーン NEG: 1 つ以上の `GCE_VM_IP_PORT` タイプのゾーン NEG^‡ すべてのハイブリッド接続 NEG: 1 つ以上の `NON_GCP_PRIVATE_IP_PORT` タイプの NEG ゾーン NEG とハイブリッド NEG の組み合わせ: `GCE_VM_IP_PORT` タイプと `NON_GCP_PRIVATE_IP_PORT` タイプの NEG Private Service Connect NEG: Google API: 単一の Private Service Connect NEG マネージドサービス: 1 つ以上の Private Service Connect NEG	INTERNAL_MANAGED
外部パススルーネットワークロードバランサ	1	リージョン	バックエンドサービスは、次のいずれかのバックエンドの組み合わせをサポートしています。すべてのインスタンスグループバックエンド: 1 つ以上のマネージドまたは非マネージドインスタンスグループバックエンド。あるいは、マネージドと非マネージドの組み合わせ。すべてのゾーン NEG: 1 つ以上の `GCE_VM_IP` タイプのゾーン NEG	EXTERNAL
内部パススルーネットワークロードバランサ	1	リージョンタイプですが、グローバルにアクセスできるように構成可能です。	バックエンドサービスは、次のいずれかのバックエンドの組み合わせをサポートしています。すべてのインスタンスグループバックエンド: 1 つ以上のマネージドまたは非マネージドインスタンスグループバックエンド。あるいは、マネージドと非マネージドの組み合わせ。すべてのゾーン NEG: 1 つ以上の `GCE_VM_IP` タイプのゾーン NEG 1 つのポートマッピング NEG（プレビュー）	INTERNAL
Cloud Service Mesh	複数	グローバル	各バックエンドサービスは、次のいずれかのバックエンドの組み合わせをサポートしています。すべてのインスタンスグループバックエンド: 1 つ以上のマネージドまたは非マネージドインスタンスグループバックエンド。あるいは、マネージドと非マネージドの組み合わせ。すべてのゾーン NEG: 1 つ以上の `GCE_VM_IP_PORT` または `NON_GCP_PRIVATE_IP_PORT` タイプのゾーン NEG。 `INTERNET_FQDN_PORT` タイプの 1 つのインターネット NEG 1 つ以上のサービスバインディング	INTERNAL_SELF_MANAGED

^* 従来のアプリケーションロードバランサと従来のプロキシネットワークロードバランサで使用されるバックエンドサービスは、スタンダードまたはプレミアムのネットワーク・ティアで、スコープがグローバルになります。ただし、スタンダードティアでは次の制限が適用されます。

転送ルールとその外部 IP アドレスはリージョン単位です。
バックエンドサービスに接続されているすべてのバックエンドは、転送ルールと同じリージョンに配置する必要があります。

^† GKE のデプロイの場合、混合 NEG バックエンドはスタンドアロン NEG でのみサポートされます。

^‡ IPv4 と IPv6（デュアルスタック）のインスタンスグループとゾーン NEG バックエンドをサポートします。ゾーン NEG は、GCE_VM_IP_PORT タイプのエンドポイントでのみデュアルスタックをサポートします。

バックエンド

バックエンドは、Google Cloud ロードバランサ、Cloud Service Mesh で構成された Envoy プロキシ、またはプロキシレス gRPC クライアントからトラフィックを受信する 1 つ以上のエンドポイントです。バックエンドにはいくつかの種類があります。

仮想マシン（VM）インスタンスを含むインスタンスグループ。インスタンスグループは、自動スケーリングの適用の有無にかかわらず、マネージドインスタンスグループ（MIG）または非マネージドインスタンスグループとして設定できます。複数のバックエンドサービスからインスタンスグループを参照できますが、そのインスタンスグループを参照するすべてのバックエンドサービスが同じ負荷分散モードを使用することが必須となります。
ゾーン NEG
サーバーレス NEG
インターネット NEG
ハイブリッド接続 NEG
Private Service Connect NEG
ポートマッピング NEG（プレビュー）
Service Directory サービスバインディング

バックエンドサービスに関連付けられているバックエンドインスタンスグループまたは NEG は削除できません。インスタンスグループまたは NEG を削除する前に、参照元であるすべてのバックエンドサービスからバックエンドとして削除する必要があります。

インスタンスグループ

このセクションでは、インスタンスグループがバックエンドサービスでどのように機能するのかについて説明します。

バックエンド VM と外部 IP アドレス

バックエンドサービスのバックエンド VM には外部 IP アドレスは必要ありません。

グローバル外部アプリケーションロードバランサと外部プロキシネットワークロードバランサの場合: クライアントは、ロードバランサの外部 IP アドレスをホストする Google Front End（GFE）と通信します。GFE は、バックエンドの VPC ネットワークの識別子をバックエンドの内部 IPv4 アドレスと結合して作成された内部アドレスにパケットを送信することにより、バックエンド VM またはエンドポイントと通信します。特別なルートですが、GFE とバックエンド VM またはエンドポイント間の通信は容易です。
- インスタンスグループのバックエンドの場合、内部 IPv4 アドレスは常に、VM の nic0 インターフェースに対応するプライマリ内部 IPv4 アドレスになります。
- ゾーン NEG 内の GCE_VM_IP_PORT エンドポイントの場合、VM のネットワークインターフェースに関連付けられたプライマリ IPv4 アドレス、または VM のネットワークインターフェースに関連付けられたエイリアス IP アドレス範囲の IPv4 アドレスとして、エンドポイントの IP アドレスを指定できます。

リージョン外部アプリケーションロードバランサの場合: クライアントは、ロードバランサの外部 IP アドレスをホストする Envoy プロキシと通信します。Envoy プロキシは、バックエンドの VPC ネットワークの識別子をバックエンドの内部 IPv4 アドレスと結合して作成された内部アドレスにパケットを送信することにより、バックエンド VM またはエンドポイントと通信します。
- インスタンスグループのバックエンドの場合、内部 IPv4 アドレスは常に、VM の nic0 インターフェースに対応するプライマリ内部 IPv4 アドレスになります。nic0 は、ロードバランサと同じネットワークに存在する必要があります。
- ゾーン NEG 内の GCE_VM_IP_PORT エンドポイントの場合、ネットワークインターフェースがロードバランサと同じネットワーク内にある限り、VM のネットワークインターフェースに関連付けられたプライマリ IPv4 アドレス、または VM のネットワークインターフェースに関連付けられたエイリアス IP アドレス範囲の IPv4 アドレスとして、エンドポイントの IP アドレスを指定できます。
外部パススルーネットワークロードバランサの場合: クライアントは、Google の Maglev パススルーロードバランシングインフラストラクチャを介してバックエンドと直接通信します。パケットは、元の送信元 IP アドレスと宛先 IP アドレスを保持した状態でバックエンドにルーティングされ、配信されます。バックエンドは、ダイレクトサーバーリターンを使用してクライアントに応答します。バックエンドの選択と接続の追跡に使用される方法は構成可能です。
- インスタンスグループのバックエンドの場合、パケットは常に VM の nic0 インターフェースに配信されます。
- ゾーン NEG 内の GCE_VM_IP エンドポイントの場合、パケットは NEG に関連付けられたサブネットワーク内にある VM のネットワークインターフェースに配信されます。

名前付きポート

バックエンドサービスの名前付きポート属性は、インスタンスグループバックエンドを使用するプロキシロードバランサにのみ適用されます。名前付きポートは、プロキシ（GFE または Envoy）とバックエンドインスタンス間の TCP 接続に使用される宛先ポートを定義します。

名前付きポートは次のように構成されます。

インスタンスグループのバックエンドごとに、Key-Value ペアを使用して 1 つ以上の名前付きポートを構成する必要があります。キーには、わかりやすいポート名を選択します。値は、ポート名に割り当てるポート番号です。名前と番号のマッピングは、インスタンスグループのバックエンドごとに個別に行われます。
バックエンドサービスで、ポート名（--port-name）のみを使用して単一の名前付きポートを指定します。

インスタンスグループのバックエンドごとに、バックエンドサービスはポート名をポート番号に変換します。インスタンスグループの名前付きポートがバックエンドサービスの --port-name と一致すると、バックエンドサービスは、このポート番号をインスタンスグループの VM との通信に使用します。

たとえば、インスタンスグループに my-service-name という名前の名前付きポートとポート 8888 を設定できます。

gcloud compute instance-groups unmanaged set-named-ports my-unmanaged-ig \
    --named-ports=my-service-name:8888

次に、バックエンドサービスの --port-name を my-service-name に設定して、バックエンドサービス構成の名前付きポートを参照します。

gcloud compute backend-services update my-backend-service \
    --port-name=my-service-name

各インスタンスグループが同じポート名に異なるポート番号を指定している場合は、バックエンドサービスが異なるインスタンスグループの VM と通信するときに、別のポート番号を使用できます。

プロキシロードバランサのバックエンドサービスが使用する解決済みのポート番号は、ロードバランサの転送ルールで使用されるポート番号と一致する必要はありません。プロキシロードバランサは、転送ルールの IP アドレスと宛先ポートに送信された TCP 接続をリッスンします。プロキシはバックエンドへの 2 つ目の TCP 接続を開くため、2 つ目の TCP 接続の宛先ポートは異なる場合があります。

名前付きポートは、インスタンスグループのバックエンドにのみ適用されます。GCE_VM_IP_PORT エンドポイントを持つゾーン NEG、NON_GCP_PRIVATE_IP_PORT エンドポイントを持つハイブリッド NEG、インターネット NEG は異なるメカニズムを使用してポートを定義します（つまりエンドポイント自体にポートを定義します）。サーバーレス NEG は Google サービスを参照し、PSC NEG は宛先ポートの指定を含まない抽象化を使用してサービスアタッチメントを参照します。

内部パススルーネットワークロードバランサと外部パススルーネットワークロードバランサは、名前付きポートを使用しません。これは、新しい接続を作成するのではなく、接続をバックエンドに直接ルーティングするパススルーロードバランサであるためです。パケットはバックエンドに配信され、ロードバランサの転送ルールの宛先 IP アドレスとポートが保持されます。

名前付きポートの作成方法については、次の手順をご覧ください。

非マネージドインスタンスグループ: 名前付きポートの操作
マネージドインスタンスグループ: マネージドインスタンスグループへの名前付きポートの割り当て

インスタンスグループに関する制限とガイダンス

ロードバランサのインスタンスグループを作成する際は、次の制限とガイダンスに留意してください。

ロードバランスされた複数のインスタンスグループに VM を配置しないでください。VM が 2 つ以上の非マネージドインスタンスグループのメンバー、または 1 つのマネージドインスタンスグループと 1 つ以上の非マネージドインスタンスグループのメンバーである場合、Google Cloud では、一度に特定のバックエンドサービスのバックエンドとして使用できるのは、これらのインスタンスグループの 1 つに制限されます。

VM が複数のロードバランサに参加する必要がある場合は、同じインスタンスグループを各バックエンドサービスのバックエンドとして使用する必要があります。
プロキシロードバランサの場合、トラフィックを異なるポートに分散するときには、1 つのインスタンスグループに必要な名前付きポートを指定し、各バックエンドサービスが一意の名前付きポートをサブスクライブするように設定します。
同じインスタンスグループを複数のバックエンドサービスのバックエンドとして使用できます。この場合、バックエンドで互換性のあるバランシングモードを使用する必要があります。互換性とはつまり、バランシングモードが同じか、CONNECTION と RATE の組み合わせでなければなりません。

互換性のないバランシングモードの組み合わせは次のとおりです。
- UTILIZATION と CONNECTION
- RATE と UTILIZATION
次の例を考えてみます。
- 2 つのバックエンドサービスがあります。external-https-backend-service は外部アプリケーションロードバランサ用、internal-tcp-backend-service は内部パススルーネットワークロードバランサ用です。
- internal-tcp-backend-service で instance-group-a というインスタンスグループを使用しています。
- 内部パススルーネットワークロードバランサは CONNECTION バランシングモードのみをサポートするため、internal-tcp-backend-service では CONNECTION バランシングモードを適用する必要があります。
- external-https-backend-service で RATE バランシングモードを適用する場合は、external-https-backend-service で instance-group-a を使用することもできます。
- UTILIZATION 分散モードを使用する external-https-backend-service の場合は、instance-group-a を使用できません。
複数のバックエンドサービスのバックエンドとして機能するインスタンスグループの負荷分散モードを変更するには:
- 1 つを除くすべてのバックエンドサービスからインスタンスグループを削除します。
- 残り 1 つのバックエンドサービスのバックエンドの負荷分散モードを変更します。
- 残りのバックエンドサービスが新しい負荷分散モードをサポートしている場合は、インスタンスグループをバックエンドとして再度バックエンドサービスに追加します。
インスタンスグループが複数のバックエンドサービスに関連付けられている場合、各バックエンドサービスは、インスタンスグループの同じ名前付きポートまたは異なる名前付きポートを参照できます。
自動スケーリングされたマネージドインスタンスグループを複数のバックエンドサービスに追加しないことをおすすめします。これを行うと、特に HTTP 負荷分散使用率の自動スケーリング指標を使用する場合に、グループ内のインスタンスが予測不能かつ不必要にスケーリングされる可能性があります。
- 自動スケーリング指標が CPU 使用率またはロードバランサの処理能力に関係のない Cloud Monitoring 指標の場合、このシナリオが機能する可能性がありますが、これはおすすめしません。これらの自動スケーリング指標のいずれかを使用すると、不安定なスケーリングを防止できます。

ゾーンネットワークエンドポイントグループ

ネットワークエンドポイントは、インスタンスグループ内の VM を参照するのではなく、IP アドレスまたは IP アドレスとポートの組み合わせによってサービスを表します。ネットワークエンドポイントグループ（NEG）は、ネットワークエンドポイントの論理的なグループです。

ゾーンネットワークエンドポイントグループ（NEG）は、1 つのサブネット内の Google Cloud リソースの IP アドレスまたは IP アドレスとポートの組み合わせのコレクションに相当するゾーンのリソースです。

ゾーン NEG をバックエンドとして使用するバックエンドサービスは、VM 内で実行されているアプリケーションやコンテナ間でトラフィックを分散します。

ゾーン NEG で使用できるネットワークエンドポイントには次の 2 種類があります。

GCE_VM_IP エンドポイント（内部パススルーネットワークロードバランサとバックエンドサービスベースの外部パススルーネットワークロードバランサでのみサポートされます）。
GCE_VM_IP_PORT エンドポイント。

ゾーン NEG バックエンドをサポートするプロダクトを確認するには、表: バックエンドサービスとサポートされているバックエンドタイプをご覧ください。

詳細については、ゾーン NEG の概要をご覧ください。

インターネットネットワークエンドポイントグループ

インターネット NEG は、グローバル外部バックエンドを定義するグローバルリソースです。外部バックエンドは、オンプレミスインフラストラクチャ内またはサードパーティによって提供されるインフラストラクチャ内でホストされるバックエンドです。

インターネット NEG は、ホスト名または IP アドレスとポート（オプション）の組み合わせです。インターネット NEG で使用できるネットワークエンドポイントには、INTERNET_FQDN_PORT と INTERNET_IP_PORT の 2 種類があります。

インターネット NEG はグローバルとリージョンの 2 つのスコープで使用できます。各スコープでインターネット NEG バックエンドをサポートするプロダクトについては、表: バックエンドサービスとサポートされているバックエンドタイプをご覧ください。

詳細については、インターネットネットワークエンドポイントグループの概要をご覧ください。

サーバーレスネットワークエンドポイントグループ

ネットワークエンドポイントグループ（NEG）は、ロードバランサのバックエンドエンドポイントのグループを指定します。サーバーレス NEG は、Cloud Run、App Engine、Cloud Run 関数、または API Gateway を指すバックエンドです。

サーバーレス NEG は次のいずれかを表します。

Cloud Run サービスまたはサービスのグループ。
Cloud Run 関数の関数または関数のグループ。
App Engine アプリ（スタンダードまたはフレキシブル）、アプリ内の特定のサービス、アプリの特定のバージョン、またはサービスのグループ。
API Gateway。サービスの実装に関係なく、すべてのサービスで一貫した REST API を介してサービスへのアクセスを提供します。この機能はプレビュー版です。

URL パターンを共有するサーバーレスアプリケーションにサーバーレス NEG を設定するには、URL マスクを使用します。URL マスクは、URL スキーマ（example.com/<service> など）のテンプレートです。サーバーレス NEG はこのテンプレートを使用して、受信リクエストの URL から <service> 名を抽出し、一致する Cloud Run、Cloud Run 関数、または App Engine サービスに同じ名前でリクエストを転送します。

サーバーレス NEG バックエンドをサポートするロードバランサを確認するには、表: バックエンドサービスとサポートされているバックエンドタイプをご覧ください。

サーバーレス NEG の詳細については、サーバーレスネットワークエンドポイントグループの概要をご覧ください。

サービスバインディング

サービスバインディングは、Cloud Service Mesh のバックエンドサービスと Service Directory に登録されたサービスとの間に接続を確立するバックエンドです。バックエンドサービスでは複数のサービスバインディングを参照できます。サービスバインディングがあるバックエンドサービスでは、他のタイプのバックエンドを参照できません。

バックエンドの混在

1 つのバックエンドサービスに異なるタイプのバックエンドを追加する場合、次の使用上の考慮事項が適用されます。

1 つのバックエンドサービスで、インスタンスグループとゾーン NEG の両方を同時に使用することはできません。
同じバックエンドサービスで異なる種類のインスタンスグループを組み合わせて使用できます。たとえば、1 つのバックエンドサービスは、マネージドインスタンスグループと非マネージドインスタンスグループの両方の組み合わせを参照できます。互換性があるバックエンドとバックエンドサービスの組み合わせについては、前のセクションの表をご覧ください。
特定のプロキシロードバランサでは、ゾーン NEG（GCE_VM_IP_PORT エンドポイントを含む）とハイブリッド接続 NEG（NON_GCP_PRIVATE_IP_PORT エンドポイントを含む）の組み合わせを使用して、ハイブリッドロードバランシングを構成できます。この機能を持つロードバランサを確認するには、表: バックエンドサービスとサポートされているバックエンドタイプをご覧ください。

バックエンドへのプロトコル

バックエンドサービスを作成する場合は、バックエンドとの通信に使用するプロトコルを指定する必要があります。指定できるプロトコルはバックエンドサービスごとに 1 つのみです。フォールバックとして使用するセカンダリプロトコルを指定することはできません。

有効なプロトコルは、ロードバランサの種類と Cloud Service Mesh を使用しているかどうかによって異なります。

表: バックエンドへのプロトコル
プロダクト	バックエンドサービスのプロトコルオプション
アプリケーションロードバランサ	HTTP、HTTPS、HTTP/2
プロキシネットワークロードバランサ	TCP または SSL リージョンプロキシネットワークロードバランサは、TCP のみをサポートします。
パススルーネットワークロードバランサ	TCP、UDP、または UNSPECIFIED
Cloud Service Mesh	HTTP、HTTPS、HTTP/2、gRPC、TCP

バックエンドサービスのプロトコルを変更すると、ロードバランサ経由でバックエンドに数分間アクセスできなくなります。

IP アドレス選択ポリシー

このフィールドは、プロキシロードバランサで使用できます。IP アドレス選択ポリシーを使用して、バックエンドサービスからバックエンドに送信されるトラフィックタイプを指定する必要があります。

IP アドレス選択ポリシーを選択する場合は、選択したトラフィックタイプがバックエンドでサポートされていることを確認してください。詳細については、表: バックエンドサービスとサポートされているバックエンドタイプをご覧ください。

IP アドレス選択ポリシーは、ロードバランサのバックエンドサービスを別のトラフィックタイプをサポートするように変換する場合に使用します。詳細については、シングルスタックからデュアルスタックに変換するをご覧ください。

IP アドレス選択ポリシーには、次の値を指定できます。

IP アドレス選択ポリシー説明

IPv4 のみ クライアントから GFE へのトラフィックに関係なく、バックエンドサービスのバックエンドに IPv4 トラフィックのみを送信します。バックエンドのヘルスチェックには、IPv4 ヘルスチェックのみが使用されます。

IP アドレス選択ポリシー	説明
IPv4 のみ	クライアントから GFE へのトラフィックに関係なく、バックエンドサービスのバックエンドに IPv4 トラフィックのみを送信します。バックエンドのヘルスチェックには、IPv4 ヘルスチェックのみが使用されます。
IPv6 優先	バックエンドで IPv4 接続よりも IPv6 接続を優先します（IPv6 アドレスを持つ正常なバックエンドがある場合）。ヘルスチェックは、バックエンドの IPv6 接続と IPv4 接続を定期的にモニタリングします。GFE は最初に IPv6 接続を試みます。IPv6 接続が切断された場合や遅い場合、GFE は Happy Eyeballs を使用してフォールバックし、IPv4 に接続します。 IPv6 接続または IPv4 接続のいずれかが正常でない場合でも、バックエンドは正常と見なされ、GFE は両方の接続を試行できます。最終的に、使用する接続が Happy Eyeballs によって選択されます。
IPv6 のみ	クライアントからプロキシへのトラフィックに関係なく、バックエンドサービスのバックエンドに IPv6 トラフィックのみを送信します。バックエンドのヘルスチェックには、IPv6 ヘルスチェックのみが使用されます。バックエンドトラフィックタイプが IP アドレス選択ポリシーと一致しているかどうかを確認するために特別な検証操作を行う必要はありません。たとえば、IPV4 バックエンドがあり、IP アドレス選択ポリシーとして `Only IPv6` を選択した場合、構成エラーは発生しませんが、トラフィックはバックエンドに転送されません。

IPv6 優先

バックエンドで IPv4 接続よりも IPv6 接続を優先します（IPv6 アドレスを持つ正常なバックエンドがある場合）。

ヘルスチェックは、バックエンドの IPv6 接続と IPv4 接続を定期的にモニタリングします。GFE は最初に IPv6 接続を試みます。IPv6 接続が切断された場合や遅い場合、GFE は Happy Eyeballs を使用してフォールバックし、IPv4 に接続します。

IPv6 接続または IPv4 接続のいずれかが正常でない場合でも、バックエンドは正常と見なされ、GFE は両方の接続を試行できます。最終的に、使用する接続が Happy Eyeballs によって選択されます。

IPv6 のみ

クライアントからプロキシへのトラフィックに関係なく、バックエンドサービスのバックエンドに IPv6 トラフィックのみを送信します。バックエンドのヘルスチェックには、IPv6 ヘルスチェックのみが使用されます。

バックエンドトラフィックタイプが IP アドレス選択ポリシーと一致しているかどうかを確認するために特別な検証操作を行う必要はありません。たとえば、IPV4 バックエンドがあり、IP アドレス選択ポリシーとして Only IPv6 を選択した場合、構成エラーは発生しませんが、トラフィックはバックエンドに転送されません。

ロードバランサとバックエンド間の暗号化

ロードバランサとバックエンド間の暗号化については、バックエンドへの暗号化をご覧ください。

トラフィック分散

バックエンドの動作は、バックエンドサービスリソースの以下のフィールドの値で決まります。

バランシングモードは、ロードバランサが新しいリクエストまたは新しい接続のバックエンドの準備状況を測定する方法を定義します。
ターゲット容量は、ターゲットの最大接続数、ターゲットの最大レート、またはターゲットの最大 CPU 使用率を定義します。
容量スケーラーは、ターゲット容量を変更せずに使用可能な容量全体を調整するために使用できます。

バランシングモード

バランシングモードでは、ロードバランサまたは Cloud Service Mesh のバックエンドが追加のトラフィックを処理できるかどうか、または完全に読み込まれるかどうかを判別します。Google Cloud には次の 3 つのバランシングモードがあります。

CONNECTION: バックエンドが処理できる接続の合計数に基づいて負荷をどのように分散するかを決定します。
RATE: 1 秒あたりのリクエスト（クエリ）の目標最大数（RPS、QPS）。すべてのバックエンドが容量を超えると、目標最大 RPS / QPS を超過する場合があります。
UTILIZATION: インスタンスグループ内のインスタンスの使用率に基づいてロードバランシングの方法を決定します。

各ロードバランサで使用できるバランシングモード

バックエンドサービスにバックエンドを追加する際に、バランシングモードを設定します。ロードバランサで使用できるバランシングモードは、ロードバランサの種類とバックエンドの種類によって異なります。

パススルーネットワークロードバランサには CONNECTION バランシングモードが必要ですが、ターゲット容量の設定はサポートされていません。

アプリケーションロードバランサは、インスタンスグループバックエンドに対して RATE または UTILIZATION バランシングモードをサポートします。GCE_VM_IP_PORT エンドポイントを含むゾーン NEG には RATE バランシングモードを、ハイブリッド NEG（NON_GCP_PRIVATE_IP_PORT エンドポイント）に対しては RATE バランシングモードをサポートします。サポートされている他の種類のバックエンドの場合は、バランシングモードを省略する必要があります。

従来のアプリケーションロードバランサの場合、クライアントのロケーションに基づいてリージョンが選択さ、ロードバランシングモードのターゲット容量に基づいて、リージョンに使用可能な容量があるかどうかが決まります。リージョン内では、バランシングモードのターゲット容量を使用して、リージョン内の各バックエンドに送信するリクエスト数の比率が計算されます。リクエストまたは接続は、ラウンドロビン方式によりバックエンド内のインスタンスまたはエンドポイント間で分散されます。
グローバル外部アプリケーションロードバランサの場合、クライアントのロケーションに基づいてリージョンが選択さ、ロードバランシングモードのターゲット容量に基づいて、リージョンに使用可能な容量があるかどうかが決まります。リージョン内では、バランシングモードのターゲット容量を使用して、リージョン内の各バックエンド（インスタンスグループまたは NEG）に送信するリクエスト数の比率が計算されます。サービスロードバランシングポリシー（serviceLbPolicy）と優先バックエンドの設定を使用して、リージョン内の特定のバックエンドの選択に影響を与えることができます。各インスタンスグループまたは NEG 内では、ロードバランシングポリシー（LocalityLbPolicy）により、グループ内のインスタンスまたはエンドポイントにトラフィックを分散する方法が決まります。

クロスリージョン内部アプリケーションロードバランサ、リージョン外部アプリケーションロードバランサ、リージョン内部アプリケーションロードバランサの場合、バランシングモードのターゲット容量はリージョン内の各バックエンド（インスタンスグループまたは NEG）に送信するリクエスト数の比率を計算するために使用されます。各インスタンスグループまたは NEG 内では、ロードバランシングポリシー（LocalityLbPolicy）により、グループ内のインスタンスまたはエンドポイントにトラフィックを分散する方法が決まります。サービスロードバランシングポリシー（serviceLbPolicy）と優先バックエンドの設定を使用してリージョン内の特定のバックエンドの選択を制御できるのは、クロスリージョン内部アプリケーションロードバランサだけです。

プロキシネットワークロードバランサは、VM インスタンスグループバックエンドに対して CONNECTION または UTILIZATION バランシングモードをサポートします。GCE_VM_IP_PORT エンドポイントを含むゾーン NEG には CONNECTION バランシングモードを、ハイブリッド NEG（NON_GCP_PRIVATE_IP_PORT エンドポイント）に対しては CONNECTION バランシングモードをサポートします。サポートされている他の種類のバックエンドの場合は、バランシングモードを省略する必要があります。

グローバル外部プロキシネットワークロードバランサの場合、クライアントのロケーションに基づいてリージョンが選択さ、ロードバランシングモードのターゲット容量に基づいて、リージョンに使用可能な容量があるかどうかが決まります。リージョン内では、バランシングモードのターゲット容量を使用して、リージョン内の各バックエンド（インスタンスグループまたは NEG）に送信するリクエスト数の比率が計算されます。サービスロードバランシングポリシー（serviceLbPolicy）と優先バックエンドの設定を使用して、リージョン内の特定のバックエンドの選択に影響を与えることができます。各インスタンスグループまたは NEG 内では、ロードバランシングポリシー（LocalityLbPolicy）により、グループ内のインスタンスまたはエンドポイントにトラフィックを分散する方法が決まります。
クロスリージョン内部プロキシネットワークロードバランサの場合、構成済みのリージョンが最初に選択されます。リージョン内では、バランシングモードのターゲット容量を使用して、リージョン内の各バックエンド（インスタンスグループまたは NEG）に送信するリクエスト数の比率が計算されます。サービスロードバランシングポリシー（serviceLbPolicy）と優先バックエンドの設定を使用して、リージョン内の特定のバックエンドの選択に影響を与えることができます。各インスタンスグループまたは NEG 内では、ロードバランシングポリシー（LocalityLbPolicy）により、グループ内のインスタンスまたはエンドポイントにトラフィックを分散する方法が決まります。
従来のプロキシネットワークロードバランサの場合、クライアントのロケーションに基づいてリージョンが選択さ、ロードバランシングモードのターゲット容量に基づいて、リージョンに使用可能な容量があるかどうかが決まります。次に、リージョン内でロードバランシングモードのターゲット容量を使用して、リージョン内の各バックエンド（インスタンスグループや NEG）に送信されるリクエストまたは接続数の割合が計算されます。ロードバランサがバックエンドを選択すると、各バックエンド内の VM インスタンスまたはネットワークエンドポイントにラウンドロビン方式でリクエストや接続が分散されます。

リージョン外部プロキシネットワークロードバランサとリージョン内部プロキシネットワークロードバランサの場合、ロードバランシングモードのターゲット容量を使用して、各バックエンド（インスタンスグループまたは NEG）に送信するリクエスト数の比率が計算されます。各インスタンスグループまたは NEG 内では、ロードバランシングポリシー（localityLbPolicy）により、グループ内のインスタンスまたはエンドポイントにトラフィックを分散する方法が決まります。

次の表は、各ロードバランサとバックエンドの組み合わせで使用可能なロードバランシングモードをまとめたものです。

表: 各ロードバランサで使用できるバランシングモード
ロードバランサ	バックエンド	使用可能なバランシングモード
アプリケーションロードバランサ	インスタンスグループ	`RATE` または `UTILIZATION`
	ゾーン NEG（`GCE_VM_IP_PORT` エンドポイント）	`RATE`
	ハイブリッド NEG（`NON_GCP_PRIVATE_IP_PORT` エンドポイント）	`RATE`
グローバル外部プロキシネットワークロードバランサ従来のプロキシネットワークロードバランサリージョン外部プロキシネットワークロードバランサリージョン内部プロキシネットワークロードバランサクロスリージョン内部プロキシネットワークロードバランサ	インスタンスグループ	`CONNECTION` または `UTILIZATION`
	ゾーン NEG（`GCE_VM_IP_PORT` エンドポイント）	`CONNECTION`
	ハイブリッド NEG（`NON_GCP_PRIVATE_IP_PORT` エンドポイント）	`CONNECTION`
パススルーネットワークロードバランサ	インスタンスグループ	`CONNECTION`
パススルーネットワークロードバランサ	ゾーン NEG（`GCE_VM_IP` エンドポイント）	`CONNECTION`

注:

UTILIZATION バランシングモードの使用中にトラフィックの分散が不十分な場合は、代わりに RATE を使用することをおすすめします。

UTILIZATION バランシングモードは、VM インスタンスまたは CPU の使用率や他の要因の影響を受けます。これらの要因が変化すると、ロードバランサは容量を適切に計算できず、バックエンドグループ間のトラフィック分散が十分に行われないことがあります。一方、RATE バランシングモードの場合、ロードバランサは最近のリクエストの平均レイテンシが最も低いバックエンドグループにリクエストを送信します。HTTP/2 と HTTP/3 の場合、リクエストは未処理のリクエスト数が最も少ないバックエンドグループに送信されます。

バックエンドサービスに関連付けられているすべての VM の平均使用率が 10% 未満の場合、Google Cloud は特定のゾーンを優先する場合があります。リージョンマネージドインスタンスグループ、異なるゾーンのゾーンマネージドインスタンスグループ、ゾーン非マネージドインスタンスグループを使用すると、この状況が発生することがあります。このゾーン間の不均衡は、ロードバランサに送信されるトラフィックが増加するにつれて自動的に解決されます。

詳細については、gcloud compute backend-services add-backend をご覧ください。

ターゲット容量

各分散モードには、対応するターゲット容量があり、次のターゲット上限のいずれかを定義します。

接続の数
料金
CPU 使用率

どの負荷分散モードでも、ターゲット容量はサーキットブレーカーではありません。ロードバランサは、特定の条件下で最大値を超えることがあります（たとえば、すべてのバックエンド VM またはエンドポイントが上限に達した場合）。

接続バランシングモード

CONNECTION バランシングモードの場合、ターゲット容量によって、開いているターゲット接続の最大数を定義します。内部パススルーネットワークロードバランサと外部パススルーネットワークロードバランサを除き、次のいずれかの設定を使用して、ターゲットの最大接続数を指定する必要があります。

max-connections-per-instance（VM あたり）: VM ごとの接続の目標平均数。
max-connections-per-endpoint（ゾーン NEG のエンドポイントごと）: エンドポイントごとの接続の目標平均数。
max-connections（ゾーン NEG ごと、ゾーンインスタンスグループの場合）: NEG またはインスタンスグループ全体の接続の目標平均数。リージョンマネージドインスタンスグループの場合は、代わりに max-connections-per-instance を使用してください。

次の表は、ターゲット容量パラメータで定義される容量を示します。

バックエンド全体のターゲット容量
各インスタンスまたはエンドポイントに想定されるターゲット容量

表: CONNECTION バランシングモードを使用するバックエンドのターゲット容量
バックエンドタイプ	ターゲット容量
	指定するパラメータ	バックエンド全体の容量	インスタンスごと、またはエンドポイントの容量あたり
インスタンスグループ `N` インスタンス、 `H` 正常	`max-connections-per-instance=X`	`X × N`	`(X × N)/H`
ゾーン NEG `N` エンドポイント、 `H` 正常	`max-connections-per-endpoint=X`	`X × N`	`(X × N)/H`
インスタンスグループ（リージョンマネージドインスタンスグループを除く） `H` 正常なインスタンス	`max-connections=Y`	`Y`	`Y/H`

max-connections-per-instance と max-connections-per-endpoint の設定は、VM インスタンスグループ全体またはゾーン NEG 全体の接続の目標最大数を計算するためのプロキシです。

N インスタンスのある VM インスタンスグループでは、max-connections-per-instance=X の設定は、max-connections=X × N を設定する場合と同じになります。
N エンドポイントを含むゾーン NEG では、max-connections-per-endpoint=X の設定は、max-connections=X × N を設定する場合と同じになります。

レート分散モード

RATE 分散モードでは、次のいずれかのパラメータを使用して、ターゲット容量を定義する必要があります。

max-rate-per-instance（VM あたり）: VM ごとの HTTP リクエストの目標平均レートを指定します。
max-rate-per-endpoint（ゾーン NEG 内のエンドポイントごと）: エンドポイントごとの HTTP リクエストの目標平均レートを指定します。
max-rate（ゾーン NEG ごと、ゾーンインスタンスグループ）: NEG またはインスタンスグループ全体の HTTP リクエストの平均目標レートを指定します。リージョンマネージドインスタンスグループの場合は、代わりに max-rate-per-instance を使用してください。

次の表は、ターゲット容量パラメータで定義される容量を示します。

バックエンド全体のターゲット容量
各インスタンスまたはエンドポイントに想定されるターゲット容量

表: RATE バランシングモードを使用するバックエンドのターゲット容量
バックエンドタイプ	ターゲット容量
	指定するパラメータ	バックエンド全体の容量	インスタンスごと、またはエンドポイントの容量あたり
インスタンスグループ `N` インスタンス、 `H` 正常	`max-rate-per-instance=X`	`X × N`	`(X × N)/H`
ゾーン NEG `N` エンドポイント、 `H` 正常	`max-rate-per-endpoint=X`	`X × N`	`(X × N)/H`
インスタンスグループ（リージョンマネージドインスタンスグループを除く） `H` 正常なインスタンス	`max-rate=Y`	`Y`	`Y/H`

max-rate-per-instance と max-rate-per-endpoint の設定は、インスタンスグループ全体またはゾーン NEG 全体の HTTP リクエストの目標最大レートを計算するプロキシです。

N インスタンスのあるインスタンスグループでは、max-rate-per-instance=X の設定は、max-rate=X × N を設定する場合と同じになります。
N エンドポイントを含むゾーン NEG では、max-rate-per-endpoint=X の設定は、max-rate=X × N を設定する場合と同じになります。

使用率分散モード

UTILIZATION バランシングモードでは、ターゲット容量を定義する必要はありません。次のセクションの表で説明するように、バックエンドのタイプに依存するオプションを使用できます。

max-utilization ターゲット容量はインスタンスグループ単位でのみ指定できます。グループ内の特定の VM に適用することはできません。

UTILIZATION バランシングモードでは、ターゲット容量を定義する必要はありません。Google Cloud コンソールでバックエンドインスタンスグループをバックエンドサービスに追加するときに、UTILIZATION 分散モードが選択されていると、Google Cloud コンソールでは max-utilization の値が 0.8（80%）に設定されます。次のセクションの表に示すように、UTILIZATION バランシングモードでは、max-utilization に加えてより複雑なターゲット容量もサポートされます。

ロードバランサのバランシングモードの変更

一部のロードバランサまたはロードバランサの構成では、バックエンドサービスに使用可能なバランシングモードが 1 つしかないため、バランシングモードを変更できません。その他のロードバランサについては、バックエンドサービスに応じて複数のモードを使用できるため、使用するバックエンドに応じてバランシングモードを変更できます。

各ロードバランサでサポートされているバランシングモードを確認するには、表: 各ロードバランサで使用できるバランシングモードをご覧ください。

バランシングモードとターゲット容量の設定

ターゲット容量の仕様をサポートするプロダクトの場合、ターゲット容量はサーキットブレーカーではありません。特定のゾーンで構成されたターゲット容量の最大値に達すると、新しいリクエストまたは接続は、ターゲット容量でリクエストまたは接続を処理していない他のゾーンに分散されます。すべてのゾーンが目標容量に達した場合、新しいリクエストまたは接続はオーバーフローによって分散されます。

アプリケーションロードバランサと Cloud Service Mesh

次の表に、アプリケーションロードバランサと Cloud Service Mesh で使用可能なバランシングモードとターゲット容量の組み合わせを示します。

表: アプリケーションロードバランサと Cloud Service Mesh のバランシングモードとターゲット容量の組み合わせ
バックエンドタイプ	バランシングモード	ターゲット容量の仕様
インスタンスグループゾーン、非マネージドゾーン、マネージドリージョン、マネージド	`RATE`	次のいずれかを指定する必要があります。 `max-rate` （ゾーンインスタンスグループでのみサポート） `max-rate-per-instance` （すべてのインスタンスグループでサポート）
インスタンスグループゾーン、非マネージドゾーン、マネージドリージョン、マネージド	`UTILIZATION`	必要に応じて、次のいずれかを指定できます。（1）`max-utilization` （2）`max-rate` （ゾーンインスタンスグループでのみサポート）（3）`max-rate-per-instance` （すべてのインスタンスグループでサポート）（1）と（2）を同時に指定（1）と（3）を同時に指定
ゾーン NEG `GCP_VM_IP_PORT` `NON_GCP_PRIVATE_IP_PORT`	`RATE`	次のいずれかを指定する必要があります。ゾーン NEG あたりの `max-rate` `max-rate-per-endpoint`

プロキシネットワークロードバランサ

次の表に、プロキシネットワークロードバランサで使用可能なバランシングモードとターゲット容量の組み合わせを示します。

表: プロキシネットワークロードバランサのバランシングモードとターゲット容量の組み合わせ
バックエンドタイプ	バランシングモード	ターゲット容量の仕様
インスタンスグループゾーン、非マネージドゾーン、マネージドリージョン、マネージド	`CONNECTION`	次のいずれかを指定する必要があります。 `max-connections` （ゾーンインスタンスグループでのみサポート） `max-rate-per-instance` （すべてのインスタンスグループでサポート）
インスタンスグループゾーン、非マネージドゾーン、マネージドリージョン、マネージド	`UTILIZATION`	必要に応じて、次のいずれかを指定できます。（1）`max-utilization` （2）`max-connections` （ゾーンインスタンスグループでのみサポート）（3）`max-connections-per-instance` （すべてのインスタンスグループでサポート）（1）と（2）を同時に指定（1）と（3）を同時に指定
ゾーン NEG `GCP_VM_IP_PORT` `NON_GCP_PRIVATE_IP_PORT`	`CONNECTION`	次のいずれかを指定する必要があります。ゾーン NEG あたりの `max-connections` `max-connections-per-endpoint`

パススルーネットワークロードバランサ

次の表に、パススルーネットワークロードバランサで使用可能なバランシングモードとターゲット容量の組み合わせを示します。

表: パススルーネットワークロードバランサのバランシングモードとターゲット容量の組み合わせ
バックエンドタイプ	バランシングモード	ターゲット容量の仕様
インスタンスグループゾーン、非マネージドゾーン、マネージドリージョン、マネージド	`CONNECTION`	ターゲットの最大接続数は指定できません。
ゾーン NEG `GCP_VM_IP`	`CONNECTION`	ターゲットの最大接続数は指定できません。

容量スケーラー

ターゲット容量を変更せずにターゲット容量（最大使用率、最大レート、または最大接続数）をスケーリングするには、容量スケーラーを使用します。

Google Cloud リファレンスドキュメントについては、以下をご覧ください。

Google Cloud CLI: capacity-scaler
API:
- リージョン
- グローバル

容量スケーラーを調整すると、いずれかの --max-* パラメータを明示的に変更しなくても、有効なターゲット容量をスケーリングできます。

容量スケーラーは、次のいずれかの値に設定できます。

デフォルト値は 1 です。これは、構成した容量の最大 100%（balancingMode によって異なります）がグループによって処理されることを意味します。
値 0 は、グループが完全にドレインされていて、使用可能な容量の 0% を提供していることを意味します。バックエンドサービスに接続されているバックエンドが 1 つだけの場合は、0 の設定を構成できません。
0.1（10%）～1.0（100%）の値です。

次に、容量スケーラーとターゲット容量設定の関係を示します。

バランシングモードが RATE、max-rate が 80 RPS に設定され、容量スケーラーが 1.0 の場合、使用可能な容量も 80 RPS になります。
バランシングモードが RATE、max-rate が 80 RPS に設定され、容量スケーラーが 0.5 の場合、使用可能な容量は 40 RPS（0.5 times 80）になります。
バランシングモードが RATE、max-rate が 80 RPS に設定され、容量スケーラーが 0.0 の場合、使用可能な容量はゼロ（0）になります。

サービスロードバランシングポリシー

サービスロードバランシングポリシー（serviceLbPolicy）は、ロードバランサのバックエンドサービスに関連付けられたリソースです。これにより、バックエンドサービスに関連付けられたバックエンド内でのトラフィックの分散方法に影響するパラメータをカスタマイズできます。

リージョンまたはゾーン全体でのトラフィックの分散方法を決めるロードバランシングアルゴリズムをカスタマイズします。
ロードバランサが正常でないバックエンドからトラフィックを迅速にドレインできるように、自動容量ドレインを有効にします。

特定のバックエンドを優先バックエンドとして指定することもできます。これらのバックエンドが容量（バックエンドのバランシングモードで指定されたターゲット容量）に達するまで使用されると、残りのバックエンドにリクエストが送信されます。

詳細については、サービスロードバランシングポリシーを使用した高度なロードバランシング最適化をご覧ください。

Cloud Service Mesh とトラフィック分散

Cloud Service Mesh もバックエンドサービスリソースを使用します。具体的には、Cloud Service Mesh は、ロードバランシングスキームが INTERNAL_SELF_MANAGED であるバックエンドサービスを使用します。内部のセルフマネージドバックエンドサービスの場合、トラフィック分散は、ロードバランシングモードとロードバランシングポリシーの組み合わせに基づいています。バックエンドサービスは、バックエンドのバランシングモードに従ってバックエンドにトラフィックを転送します。その後、Cloud Service Mesh がロードバランシングポリシーに従ってトラフィックを分散します。

内部セルフマネージドバックエンドサービスは、次のバランシングモードをサポートします。

UTILIZATION - バックエンドがすべてインスタンスグループの場合
RATE - すべてのバックエンドがインスタンスグループまたはゾーン NEG の場合

RATE バランシングモードを選択する場合は、最大レート、インスタンスあたりの最大レート、またはエンドポイントあたりの最大レートを指定する必要があります。

Cloud Service Mesh の詳細については、Cloud Service Mesh のコンセプトをご覧ください。

バックエンドのサブセット化

バックエンドのサブセット化は、各プロキシインスタンスにバックエンドのサブセットを割り当てることで、パフォーマンスとスケーラビリティを向上させるオプションの機能です。

バックエンドのサブセット化は、以下でサポートされています。

リージョン内部アプリケーションロードバランサ
内部パススルーネットワークロードバランサ

リージョン内部アプリケーションロードバランサのバックエンドのサブセット化

クロスリージョン内部アプリケーションロードバランサはバックエンドのサブセット化をサポートしていません。

リージョン内部アプリケーションロードバランサの場合、バックエンドのサブセット化は、リージョンバックエンドサービス内のバックエンドのサブセットのみを各プロキシインスタンスに自動的に割り当てます。デフォルトでは、各プロキシインスタンスはバックエンドサービス内のすべてのバックエンドとの接続を開始します。プロキシインスタンスの数とバックエンドの数が両方とも多いときに、すべてのバックエンドと接続を開始すると、パフォーマンスの問題が発生する可能性があります。

サブセット化を有効にすると、各プロキシはバックエンドのサブセットへの接続のみを開始するため、各バックエンドに対して開始する接続の数が少なくなります。各バックエンドに対して同時に開始する接続数を減らすと、バックエンドとプロキシの両方のパフォーマンスが向上します。

次の図は、2 つのプロキシがあるロードバランサを示しています。バックエンドのサブセット化がない場合、両方のプロキシからのトラフィックがバックエンドサービス 1 のすべてのバックエンドに分散されます。バックエンドのサブセット化を有効にすると、各プロキシからのトラフィックがバックエンドのサブセットに分散されます。プロキシ 1 からのトラフィックはバックエンド 1 と 2 に分散され、プロキシ 2 からのトラフィックはバックエンド 3 と 4 に分散されます。

内部アプリケーションロードバランサでバックエンドのサブセット化を有効にした場合と無効にした場合の比較。 — 内部アプリケーションロードバランサでバックエンドのサブセット化を有効にした場合と無効にした場合の比較（クリックして拡大）。

localityLbPolicy ポリシーを設定すると、バックエンドへのロードバランシングトラフィックを細かく調整できます。詳細については、トラフィックポリシーをご覧ください。

内部アプリケーションロードバランサのバックエンドのサブセット化の設定については、バックエンドサブセットの構成をご覧ください。

内部アプリケーションロードバランサのバックエンドのサブセット化に関連する注意事項

バックエンドのサブセット化は、すべてのバックエンドインスタンスが適切に利用されるように設計されていますが、各バックエンドが受信するトラフィック量にある程度のバイアスが生じる可能性があります。バックエンドの負荷のバランスが重要となるバックエンドサービスには、localityLbPolicy を LEAST_REQUEST に設定することをおすすめします。
設定を有効にしてから無効にすると、既存の接続が切断されます。
バックエンドのサブセット化では、セッションアフィニティが NONE（5-tuple ハッシュ）である必要があります。他のセッションアフィニティオプションは、バックエンドのサブセット化が無効になっている場合にのみ使用できます。--subsetting-policy フラグと --session-affinity フラグのデフォルト値はどちらも NONE です。異なる値を設定できるのは一度に 1 つだけです。

内部パススルーネットワークロードバランサのバックエンドのサブセット化

内部パススルーネットワークロードバランサのバックエンドのサブセット化を使用すると、内部パススルーネットワークロードバランサをスケーリングし、内部バックエンドサービスごとに多数のバックエンド VM インスタンスをサポートできます。

サブセット化がこの制限に与える影響については、ロードバランシングリソースの割り当てと上限の「バックエンドサービス」をご覧ください。

デフォルトではサブセット化が無効になるため、バックエンドサービスは最大で 250 のバックエンドインスタンスまたはエンドポイントに制限されます。バックエンドサービスが 250 を超えるバックエンドをサポートする必要がある場合は、サブセット化を有効にできます。サブセットが有効になっている場合、クライアント接続ごとにバックエンドインスタンスのサブセットが選択されます。

次の図は、この 2 つの動作モードの違いを簡単なモデルで示しています。

内部パススルーネットワークロードバランサのサブセット化を有効にした場合と無効にした場合の比較。 — 内部パススルーネットワークロードバランサのサブセット化を有効にした場合と無効にした場合の比較（クリックして拡大）

サブセット化しないと、正常なバックエンドの完全なセットの使用率が上がり、新しいクライアント接続はトラフィック分散に従ってすべての正常なバックエンド間で分散されます。サブセット化すると、負荷分散の制限は生じませんが、ロードバランサは 250 以上のバックエンドをサポートできます。

構成手順については、サブセット化の設定をご覧ください。

内部パススルーネットワークロードバランサのバックエンドのサブセット化に関連する注意事項

サブセット化が有効になっている場合、バックエンドの数が少ない場合でも、すべてのバックエンドが特定の送信者からトラフィックを受信するわけではありません。
サブセット化が有効な場合のバックエンドインスタンスの最大数については、[割り当て] ページをご覧ください。
サブセットをサポートしているのは、5 タプルのセッションアフィニティのみです。
サブセット化で Packet Mirroring はサポートされていません。
設定を有効にしてから無効にすると、既存の接続が切断されます。
オンプレミスクライアントが内部パススルーネットワークロードバランサにアクセスする必要がある場合、サブセット化により、オンプレミスクライアントからの接続を受信するバックエンドの数を大幅に削減できます。これは、Cloud VPN トンネルまたは Cloud Interconnect VLAN アタッチメントのリージョンによってロードバランサのバックエンドのサブセットが決まるためです。特定のリージョンのすべての Cloud VPN エンドポイントと Cloud Interconnect エンドポイントで、同じサブセットが使用されます。リージョンごとに異なるサブセットが使用されます。

バックエンドのサブセット化の料金

バックエンドのサブセット化の使用に料金はかかりません。詳しくは、ネットワーキングのすべての料金をご覧ください。

セッションアフィニティ

セッションアフィニティを使用すると、正常なバックエンドの数が一定である限り、予測可能な方法でロードバランサが新しい接続にバックエンドを選択する方法を制御できます。これは、特定のユーザーからの複数のリクエストを同じバックエンドまたはエンドポイントに転送する必要があるアプリケーションに役立ちます。このようなアプリケーションとしては、広告配信、ゲーム、または内部キャッシュが頻繁に行われるサービスで使用されるステートフルサーバーなどがあります。

Google Cloud ロードバランサは、ベストエフォートベースでのセッションアフィニティを実現します。バックエンドの追加や削除、バックエンドウェイトの変更（重み付きバランシングを有効または無効にすることを含む）、バランシングモードで測定されるバックエンド使用率の変化などの要因により、セッションアフィニティが失われる可能性があります。

セッションアフィニティによるロードバランシングは、一意の接続が適切な規模で分散されている場合にうまく機能します。適切な規模とは、バックエンド数の少なくとも数倍を意味します。接続数が少ない状態でロードバランサをテストしても、バックエンド間でのクライアント接続の分散を正確に表すことはできません。

デフォルトでは、すべての Google Cloud ロードバランサは、次のように 5 タプルハッシュ（--session-affinity=NONE）を使用してバックエンドを選択します。

パケットの送信元 IP アドレス
パケットの送信元ポート（パケットのヘッダーにある場合）
パケットの宛先 IP アドレス
パケットの宛先ポート（パケットのヘッダーにある場合）
パケットのプロトコル

パススルーロードバランサの場合、新しい接続は正常なバックエンドインスタンスまたはエンドポイントに分散されます（フェイルオーバーポリシーが構成されている場合は、アクティブプール内）。次のことを制御できます。

確立された接続が異常なバックエンドで維持されるかどうか。詳しくは、内部パススルーネットワークロードバランサの異常なバックエンドでの接続の永続性とバックエンドサービスベースの外部パススルーネットワークロードバランサの異常なバックエンドでの接続の永続性をご覧ください。
フェイルオーバーポリシーが構成されている場合に、確立済みの接続がフェイルオーバーとフェイルバック中に保持されるかどうか。詳しくは、内部パススルーネットワークロードバランサのフェイルオーバーとフェイルバックでのコネクションドレインとバックエンドサービスベースの外部パススルーネットワークロードバランサのフェイルオーバーとフェイルバックでのコネクションドレインをご覧ください。
ロードバランサからバックエンドを削除する際に、確立済みの接続を維持する期間。詳細については、コネクションドレインの有効化をご覧ください。

プロキシベースのロードバランサの場合、正常なバックエンドインスタンスまたはエンドポイントの数が一定であり、以前に選択したバックエンドインスタンスまたはエンドポイントの容量が上限に達していない限り、後続のリクエストまたは接続は、同じバックエンド VM またはエンドポイントに送信されます。バランシングモードのターゲット容量により、バックエンドの容量が上限に達するタイミングが判断されます。

次の表に、各プロダクトでサポートされるセッションアフィニティのオプションを示します。

表: サポートされているセッションアフィニティの設定
プロダクト	セッションアフィニティのオプション
グローバル外部アプリケーションロードバランサリージョン外部アプリケーションロードバランサ	なし（`NONE`）クライアント IP（`CLIENT_IP`）生成した Cookie（`GENERATED_COOKIE`）ヘッダーフィールド（`HEADER_FIELD`） HTTP Cookie（`HTTP_COOKIE`）ステートフル Cookie ベースアフィニティ（`STRONG_COOKIE_AFFINITY`）（プレビュー）また、次の点にもご注意ください。ロードバランシングの局所性ポリシー（`localityLbPolicy`）の有効なデフォルト値は、セッションアフィニティの設定に応じて変わります。セッションアフィニティが構成されていない場合（セッションアフィニティがデフォルト値の `NONE` のままの場合）、`localityLbPolicy` のデフォルト値は `ROUND_ROBIN` です。セッションアフィニティが `NONE` 以外の値に設定されている場合、`localityLbPolicy` のデフォルト値は `MAGLEV` です。グローバル外部アプリケーションロードバランサの場合、重み付けによるトラフィック分割を使用する場合は、セッションアフィニティを構成しないでください。セッションアフィニティを構成した場合、重み付けトラフィック分割構成が優先されます。
従来のアプリケーションロードバランサ	なし（`NONE`）クライアント IP（`CLIENT_IP`）生成した Cookie（`GENERATED_COOKIE`）
クロスリージョン内部アプリケーションロードバランサリージョン内部アプリケーションロードバランサ	なし（`NONE`）クライアント IP（`CLIENT_IP`）生成した Cookie（`GENERATED_COOKIE`）ヘッダーフィールド（`HEADER_FIELD`） HTTP Cookie（`HTTP_COOKIE`）ステートフル Cookie ベースアフィニティ（`STRONG_COOKIE_AFFINITY`）（プレビュー）また、次の点にもご注意ください。ロードバランシングの局所性ポリシー（`localityLbPolicy`）の有効なデフォルト値は、セッションアフィニティの設定に応じて変わります。セッションアフィニティが構成されていない場合（セッションアフィニティがデフォルト値の `NONE` のままの場合）、`localityLbPolicy` のデフォルト値は `ROUND_ROBIN` です。セッションアフィニティが `NONE` 以外の値に設定されている場合、`localityLbPolicy` のデフォルト値は `MAGLEV` です。内部アプリケーションロードバランサの場合、重み付けによるトラフィック分割を使用する場合は、セッションアフィニティを構成しないでください。セッションアフィニティを構成した場合、重み付けトラフィック分割構成が優先されます。
内部パススルーネットワークロードバランサ	なし（`NONE`）クライアント IP、宛先なし（`CLIENT_IP_NO_DESTINATION`）クライアント IP、宛先 IP（`CLIENT_IP`）クライアント IP、宛先 IP、プロトコル（`CLIENT_IP_PROTO`）クライアント IP、クライアントポート、宛先 IP、宛先ポート、プロトコル（`CLIENT_IP_PORT_PROTO`）内部パススルーネットワークロードバランサとセッションアフィニティの具体的な情報については、内部パススルーネットワークロードバランサの概要をご覧ください。
外部パススルーネットワークロードバランサ^*	なし（`NONE`）クライアント IP、宛先 IP（`CLIENT_IP`）クライアント IP、宛先 IP、プロトコル（`CLIENT_IP_PROTO`）クライアント IP、クライアントポート、宛先 IP、宛先ポート、プロトコル（`CLIENT_IP_PORT_PROTO`）外部パススルーネットワークロードバランサとセッションアフィニティの具体的な情報については、外部 TCP / UDP 外部パススルーネットワークロードバランサの概要をご覧ください。
グローバル外部プロキシネットワークロードバランサ従来のプロキシネットワークロードバランサリージョン外部プロキシネットワークロードバランサリージョン内部プロキシネットワークロードバランサクロスリージョン内部プロキシネットワークロードバランサ	なし（`NONE`）クライアント IP（`CLIENT_IP`）
Cloud Service Mesh	なし（`NONE`）クライアント IP（`CLIENT_IP`）生成された Cookie（`GENERATED_COOKIE`）（HTTP プロトコルのみ）ヘッダーフィールド（`HEADER_FIELD`）（HTTP プロトコルのみ） HTTP Cookie（`HTTP_COOKIE`）（HTTP プロトコルのみ）

^* この表は、バックエンドサービスベースの外部パススルーネットワークロードバランサでサポートされているセッションアフィニティを示しています。ターゲットプールベースの外部パススルーネットワークロードバランサは、バックエンドサービスを使用しません。代わりに、ターゲットプールの sessionAffinity パラメータを通じて、外部パススルーネットワークロードバランサのセッションアフィニティを設定します。

セッションアフィニティを構成する際は、次の点に留意してください。

認証やセキュリティを目的としてセッションアフィニティに依存しないでください。セッションアフィニティは、サービスの数と正常なバックエンドの数が変わるたびに失われるように設計されています。セッションアフィニティが失われるアクティビティは次のとおりです。
- バックエンドインスタンスグループまたは NEG をバックエンドサービスに追加する
- バックエンドサービスからバックエンドインスタンスグループまたは NEG を削除する
- 既存のバックエンドインスタンスグループにインスタンスを追加する（これは、マネージドインスタンスグループによる自動スケーリングを有効にすると自動的に発生します）
- 既存のバックエンドインスタンスグループからインスタンスを削除する（これは、マネージドインスタンスグループによる自動スケーリングを有効にすると自動的に発生します）
- 既存のバックエンド NEG にエンドポイントを追加する
- 既存のバックエンド NEG からエンドポイントを削除する
- 正常なバックエンドのヘルスチェックが失敗して異常になった場合
- 正常でないバックエンドがヘルスチェックの条件を満たして正常な状態になった場合
- パススルーロードバランサの場合: フェイルオーバーとフェイルバック（フェイルオーバーポリシーが構成されている場合）
- プロキシロードバランサの場合: バックエンドが容量の上限に達したか、上限を超えた場合
None 以外のセッションアフィニティを UTILIZATION バランシングモードで使用することはおすすめしません。これは、インスタンス使用率の変化によって、負荷分散サービスが容量の上限に達していないバックエンド VM に新しいリクエストや新しい接続を転送する場合があるためです。これにより、セッションアフィニティが失われます。代わりに、RATE または CONNECTION バランシングモードを使用して、セッションアフィニティの喪失を防ぎます。詳細については、セッションアフィニティの喪失をご覧ください。
外部および内部 HTTP(S) ロードバランサの場合、目的のエンドポイントまたはインスタンスがバランシングモードのターゲット最大値を超えると、セッションアフィニティが失われる可能性があります。次に例を示します。
- ロードバランサに 1 つの NEG と 3 つのエンドポイントが存在します。
- 各エンドポイントには、1 RPS のターゲット容量があります。
- 分散モードは RATE です。
- 現時点では、各エンドポイントはそれぞれ 1.1、0.8、1.6 RPS を処理しています。
- 最後のエンドポイントのアフィニティを使用した HTTP リクエストがロードバランサに到達すると、セッションアフィニティは 1.6 RPS で処理しているエンドポイントをクレームします。
- RPS が 0.8 の中間エンドポイントに新しいリクエストが送信される場合があります。
--session-affinity フラグと --subsetting-policy フラグのデフォルト値はどちらも NONE です。異なる値を設定できるのは一度に 1 つだけです。

次のセクションでは、さまざまなタイプのセッションアフィニティについて説明します。

クライアント IP、宛先なしアフィニティ

「クライアント IP、宛先なしセッションアフィニティ（CLIENT_IP_NO_DESTINATION）」は、受信した各パケットの送信元 IP アドレスのみに基づく 1 タプルハッシュです。このセッションアフィニティは、内部パススルーネットワークロードバランサでのみ使用できます。

このオプションは、パケットの宛先 IP アドレスに関係なく、パケットの送信元 IP アドレスのみに基づいて、クライアントからのすべてのパケットを同じバックエンド VM で処理する必要がある場合に便利です。このような状況は通常、内部パススルーネットワークロードバランサが静的ルートのネクストホップである場合に発生します。詳細については、セッションアフィニティとネクストホップの内部パススルーネットワークロードバランサをご覧ください。

クライアント IP アフィニティ

「クライアント IP セッションアフィニティ（CLIENT_IP）」は、パケットの送信元 IP アドレスと宛先 IP アドレスから作成された 2 タプルハッシュです。クライアント IP セッションアフィニティは、バックエンドサービスを使用するすべての Google Cloud ロードバランサで使用できます。外部パススルーネットワークロードバランサでは、このセッションアフィニティオプションは「クライアント IP、宛先 IP」になります。

クライアント IP アフィニティを使用する場合は、次の点に留意してください。

パケットがロードバランサに直接送信される場合、パケットの宛先 IP アドレスはロードバランサの転送ルールの IP アドレスと同じになります。
静的ルートによってネクストホップの内部パススルーネットワークロードバランサに転送されるパケットの宛先 IP アドレスは、ロードバランサの転送ルールの IP アドレスと一致しません。重要な情報については、セッションアフィニティとネクストホップの内部パススルーネットワークロードバランサをご覧ください。
パケットが Google Cloud ロードバランサに配信される前に中間 NAT またはプロキシシステムによって処理されると、パケットの送信元 IP アドレスが元のクライアントに関連付けられた IP アドレスと一致しないことがあります。多くのクライアントが同じ有効な送信元 IP アドレスを共有する場合、一部のバックエンド VM は他の VM よりも多くの接続またはリクエストを受信する可能性があります。

生成された Cookie アフィニティ

生成された Cookie ベースのアフィニティを使用する場合、ロードバランサは最初の HTTP リクエストの Set-Cookie レスポンスヘッダーに HTTP Cookie を含めます。

生成される Cookie の名前は、ロードバランサのタイプによって異なります。生成された Cookie は、次のプロダクトでサポートされています。

プロダクト	Cookie 名
グローバル外部アプリケーションロードバランサ	`GCLB`
従来のアプリケーションロードバランサ	`GCLB`
リージョン外部アプリケーションロードバランサ	`GCILB`
クロスリージョン内部アプリケーションロードバランサ	`GCILB`
リージョン内部アプリケーションロードバランサ	`GCILB`
Cloud Service Mesh	`GCILB`

生成された Cookie のパス属性は常にスラッシュ（/）になります。他のバックエンドサービスも生成された Cookie アフィニティを使用している場合、同じ URL マップ上のすべてのバックエンドサービスに適用されます。

Cookie の有効期間（TTL）は、0 から 86400 秒の範囲（両端を含む）で構成できます。TTL が 0 秒の生成 Cookie はすぐに期限切れになるため、この Cookie は一意のセッション ID としてのみ使用できます。後続の HTTP リクエストのアフィニティは提供されません。

クライアントが、後続の HTTP リクエストの Cookie リクエストヘッダーに生成されたセッションアフィニティ Cookie を含めると、ロードバランサは、セッションアフィニティ Cookie が有効である限り、それらのリクエストを同じバックエンドインスタンスまたはエンドポイントに転送します。これを行うには、Cookie 値を、特定のバックエンドインスタンスまたはエンドポイントを参照するインデックスにマッピングし、生成された Cookie のセッションアフィニティ要件を満たすようにします。

生成された Cookie アフィニティを使用するには、次のバランシングモードと localityLbPolicy 設定を構成します。

バックエンドインスタンスグループの場合は、RATE バランシングモードを使用します。
バックエンドサービスの localityLbPolicy には、RING_HASH または MAGLEV を使用します。localityLbPolicy を明示的に設定しない場合、ロードバランサは暗黙のデフォルトとして MAGLEV を使用します。

また、生成された Cookie アフィニティでは、バックエンドサービスで構成され、正常なバックエンドインスタンスまたはエンドポイントの数を一定にする必要があります。

一部のクライアントのセッションアフィニティは、次の理由で中断されます。

構成済みの正常なバックエンドインスタンスまたはエンドポイントの数が変更された。バックエンドインスタンスまたはエンドポイントを追加または削除すると、インデックス値の計算に影響します。インデックス値の数が変わると、ハッシュが別のインデックスにマッピングされるか、インデックスが別のバックエンドを参照するため（またはその両方のため）、セッションアフィニティが破棄される可能性があります。

構成された正常なバックエンドインスタンスまたはエンドポイントの数は、次の場合に変動します。
- 空ではないバックエンドインスタンスグループまたは NEG をバックエンドサービスに追加します。
- バックエンドサービスから既存のバックエンドインスタンスグループまたは NEG を削除します。
- バックエンドサービスで、既存のバックエンドインスタンスグループにインスタンスを追加または削除します。
- バックエンドサービスで、既存のバックエンド NEG にエンドポイントを追加するか、既存のバックエンド NEG からエンドポイントを削除します。
- 既存のインスタンスまたはエンドポイントがヘルスチェックに失敗し、正常な状態から異常な状態に変わります。
- 既存のインスタンスまたはエンドポイントがヘルスチェックに合格し、異常な状態から正常な状態に変わります。
- 上記の 2 つ以上の組み合わせ。
以前に選択したバックエンドインスタンスまたはエンドポイントが、ターゲット容量に達していっぱいになった。

ヘッダーフィールドアフィニティ

次のロードバランサは、ヘッダーフィールドアフィニティを使用します。

Cloud Service Mesh
クロスリージョン内部アプリケーションロードバランサ
グローバル外部アプリケーションロードバランサ
リージョン外部アプリケーションロードバランサ
リージョン内部アプリケーションロードバランサ

ヘッダーフィールドアフィニティは、次の条件を満たす場合にサポートされます。

ロードバランシングの局所性ポリシーが RING_HASH または MAGLEV である。
バックエンドサービスの consistentHash が、HTTP ヘッダーの名前（httpHeaderName）を指定する。

ヘッダーフィールドアフィニティをサポートするサービスについては、表: サポートされているセッションアフィニティの設定をご覧ください。

HTTP Cookie アフィニティ

HTTP Cookie ベースのアフィニティを使用する場合、ロードバランサは最初の HTTP リクエストの Set-Cookie レスポンスヘッダーに HTTP Cookie を含めます。Cookie の名前、パス、有効期間（TTL）を指定します。

HTTP Cookie ベースのアフィニティをサポートするプロダクトは次のとおりです。

グローバル外部アプリケーションロードバランサ
従来のアプリケーションロードバランサ
リージョン外部アプリケーションロードバランサ
クロスリージョン内部アプリケーションロードバランサ
リージョン内部アプリケーションロードバランサ
Cloud Service Mesh

Cookie の TTL 値を構成できます。有効な TTL 値は次の範囲です。

0～315576000000（秒単位で指定した場合）。
0～999999999（ナノ秒単位で指定した場合）。

TTL が 0 秒の HTTP Cookie はすぐに期限切れになるため、この Cookie は一意のセッション ID としてのみ使用できます。後続の HTTP リクエストのアフィニティは提供されません。

クライアントが、後続の HTTP リクエストの Cookie リクエストヘッダーに HTTP セッションアフィニティ Cookie を含めると、ロードバランサは、セッションアフィニティ Cookie が有効である限り、それらのリクエストを同じバックエンドインスタンスまたはエンドポイントに転送します。これを行うには、Cookie 値を、特定のバックエンドインスタンスまたはエンドポイントを参照するインデックスにマッピングし、生成された Cookie のセッションアフィニティ要件を満たすようにします。

HTTP Cookie アフィニティを使用するには、次のバランシングモードと localityLbPolicy 設定を構成します。

バックエンドインスタンスグループの場合は、RATE バランシングモードを使用します。
バックエンドサービスの localityLbPolicy には、RING_HASH または MAGLEV を使用します。localityLbPolicy を明示的に設定しない場合、ロードバランサは暗黙のデフォルトとして MAGLEV を使用します。

また、HTTP Cookie アフィニティでは、バックエンドサービスで構成され、正常なバックエンドインスタンスまたはエンドポイントの数を一定にする必要があります。一部のクライアントのセッションアフィニティは、次の理由で中断されます。

構成済みの正常なバックエンドインスタンスまたはエンドポイントの数が変更された。バックエンドインスタンスまたはエンドポイントを追加または削除すると、インデックス値の計算に影響します。インデックス値の数が変わると、ハッシュが別のインデックスにマッピングされるか、インデックスが別のバックエンドを参照するため（またはその両方のため）、セッションアフィニティが破棄される可能性があります。

構成された正常なバックエンドインスタンスまたはエンドポイントの数は、次の場合に変動します。
- 空ではないバックエンドインスタンスグループまたは NEG をバックエンドサービスに追加します。
- バックエンドサービスから既存のバックエンドインスタンスグループまたは NEG を削除します。
- バックエンドサービスで、既存のバックエンドインスタンスグループにインスタンスを追加または削除します。
- バックエンドサービスで、既存のバックエンド NEG にエンドポイントを追加するか、既存のバックエンド NEG からエンドポイントを削除します。
- 既存のインスタンスまたはエンドポイントがヘルスチェックに失敗し、正常な状態から異常な状態に変わります。
- 既存のインスタンスまたはエンドポイントがヘルスチェックに合格し、異常な状態から正常な状態に変わります。
- 上記の 2 つ以上の組み合わせ。
以前に選択したバックエンドインスタンスまたはエンドポイントが、ターゲット容量に達していっぱいになった。

ステートフル Cookie ベースセッションアフィニティ

ステートフル Cookie ベースアフィニティを使用する場合、ロードバランサは最初の HTTP リクエストの Set-Cookie レスポンスヘッダーに HTTP Cookie を含めます。Cookie の名前、パス、有効期間（TTL）を指定します。

次のロードバランサは、ステートフル Cookie ベースアフィニティをサポートしています。

グローバル外部アプリケーションロードバランサ
リージョン外部アプリケーションロードバランサ
クロスリージョン内部アプリケーションロードバランサ
リージョン内部アプリケーションロードバランサ

Cookie の TTL 値を構成できます。有効な TTL 値は次の範囲です。

0～315576000000（秒単位で指定した場合）。
0～999999999（ナノ秒単位で指定した場合）。

TTL が 0 秒の Cookie はすぐに期限切れになるため、この Cookie は一意のセッション ID としてのみ使用できます。後続の HTTP リクエストのアフィニティは提供されません。

Cookie の値は、選択したバックエンドインスタンスまたはエンドポイントを値自体にエンコードすることで識別します。Cookie が有効である限り、クライアントが後続の HTTP リクエストの Cookie リクエストヘッダーにセッションアフィニティ Cookie を含めると、ロードバランサは、選択したバックエンドインスタンスまたはエンドポイントにリクエストを転送します。

ステートフル Cookie ベースアフィニティには、バランシングモードや localityLbPolicy に関する特定の要件はありません。

ステートフル Cookie ベースアフィニティでは、選択したバックエンドインスタンスまたはエンドポイントが構成され、正常な状態を維持する必要があります。一部のクライアントのセッションアフィニティは、次の理由で中断されます。

選択したインスタンスまたはエンドポイントを含むバックエンドインスタンスグループまたは NEG がバックエンドサービスから削除されます。
選択したインスタンスまたはエンドポイントが、バックエンドインスタンスグループまたは NEG から削除されます。
選択したインスタンスまたはエンドポイントでヘルスチェックが失敗します。

セッションアフィニティの喪失

選択したアフィニティのタイプに関係なく、クライアントは次の状況でバックエンドとのアフィニティを失う可能性があります。

バックエンドインスタンスグループまたはゾーン NEG の容量が不足している場合。これは、分散モードのターゲット容量によって定義されます。この場合、Google Cloud は別のゾーンにあるバックエンドインスタンスグループまたはゾーン NEG にトラフィックを転送します。このリスクを軽減するには、独自のテストを行い、各バックエンドに正しいターゲット容量を指定します。
自動スケーリングでは、マネージドインスタンスグループへのインスタンスの追加や、マネージドインスタンスグループからのインスタンスの削除が行われます。この場合、インスタンスグループ内のインスタンスの数が変わるため、バックエンドサービスはセッションアフィニティのハッシュを再計算します。このリスクを軽減するには、マネージドインスタンスグループの最小サイズで標準的な負荷を処理できるようにします。負荷が想定を超えて増加した場合にのみ、自動スケーリングが行われます。
NEG のバックエンド VM またはエンドポイントがヘルスチェックに失敗した場合、ロードバランサはトラフィックを正常な別のバックエンドに転送します。すべてのバックエンドがヘルスチェックに失敗した場合のロードバランサの動作の詳細については、各 Google Cloud ロードバランサのドキュメントを参照してください。
UTILIZATION 負荷分散モードがバックエンドインスタンスグループに対して有効になっている場合、バックエンドの使用率が変化するため、セッションアフィニティが失われます。これは、ロードバランサの種類でサポートされている RATE または CONNECTION のいずれかのバランシングモードを使用して軽減できます。

外部アプリケーションロードバランサまたは外部プロキシネットワークロードバランサを使用する場合は、次の追加ポイントに留意してください。

インターネット上のクライアントから Google へのルーティングパスがリクエストまたは接続によって異なる場合は、別の Google Front End（GFE）がプロキシとして選択される可能性があります。これにより、セッションアフィニティが失われる可能性があります。
UTILIZATION バランシングモードを使用する場合（特にターゲットの最大ターゲット容量が定義されていない場合）、ロードバランサへのトラフィックが少ないと、セッションアフィニティが失われる可能性があります。選択したロードバランサでサポートされている分散モード（RATE または CONNECTION）に切り替えます。

バックエンドサービスのタイムアウト

ほとんどの Google Cloud ロードバランサには、バックエンドサービスのタイムアウトがあります。デフォルト値は 30 秒です。指定できるタイムアウト値の範囲は 1～2,147,483,647 秒です。

HTTP、HTTPS、または HTTP/2 プロトコルを使用する外部アプリケーションロードバランサと内部アプリケーションロードバランサの場合、バックエンドサービスのタイムアウトは、HTTP(S) トラフィックのリクエストとレスポンスのタイムアウトになります。

各ロードバランサのバックエンドサービスのタイムアウトの詳細については、以下をご覧ください。
- グローバル外部アプリケーションロードバランサとリージョン外部アプリケーションロードバランサについては、タイムアウトと再試行をご覧ください。
- 内部アプリケーションロードバランサについては、タイムアウトと再試行をご覧ください。
外部プロキシネットワークロードバランサの場合、タイムアウトはアイドルタイムアウトです。接続が削除されるまでの時間を変更するには、タイムアウト値を変更します。このアイドルタイムアウトは WebSocket 接続にも使用されます。
内部パススルーネットワークロードバランサと外部パススルーネットワークロードバランサの場合、gcloud または API を使用してバックエンドサービスタイムアウトの値を設定できますが、値は無視されます。バックエンドサービスのタイムアウトは、これらのパススルーロードバランサにとって意味がありません。

Cloud Service Mesh の場合、バックエンドサービスのタイムアウトフィールド（timeoutSec を使用して指定される）は、プロキシレス gRPC サービスではサポートされていません。このようなサービスでは、maxStreamDuration フィールドを使用してバックエンドサービスのタイムアウトを構成します。gRPC は、リクエストの送信後にバックエンドからの完全なレスポンスを待機する時間を指定する timeoutSec のセマンティクスをサポートしていません。gRPC のタイムアウトは、ストリームの開始からレスポンスが完全に処理されるまでの待ち時間（すべての再試行を含む）を指定します。

ヘルスチェック

バックエンドがインスタンスグループまたはゾーン NEG である各バックエンドサービスには、ヘルスチェックを関連付ける必要があります。サーバーレス NEG またはグローバルインターネット NEG をバックエンドとして使用するバックエンドサービスでは、ヘルスチェックを参照しないでください。

Google Cloud コンソールを使用してロードバランサを作成する場合は、必要に応じて、ロードバランサの作成時にヘルスチェックを作成するか、既存のヘルスチェックを参照できます。

Google Cloud CLI または API で、インスタンスグループまたはゾーン NEG バックエンドを使用してバックエンドサービスを作成する場合は、既存のヘルスチェックを参照する必要があります。必要なヘルスチェックの種類と範囲については、ヘルスチェックの概要のロードバランサガイドを参照してください。

詳細については、次のドキュメントをご覧ください。

バックエンドサービスリソースで有効な追加機能

一部のバックエンドサービスでは、次のオプション機能がサポートされています。

Cloud CDN

Cloud CDN は、Google のグローバルエッジネットワークを使用して、ユーザーの近くからコンテンツを提供します。これにより、ウェブサイトやアプリケーションが高速化されます。Cloud CDN は、グローバル外部アプリケーションロードバランサで使用されるバックエンドサービスで有効になっています。リクエストを受信するフロントエンド IP アドレスとポート、そしてリクエストに応答するバックエンドは、ロードバランサが提供します。

詳細については、Cloud CDN のドキュメントをご覧ください。

Cloud CDN は IAP と互換性がありません。同じバックエンドサービスで有効にすることはできません。

Google Cloud Armor

次のいずれかのロードバランサを使用している場合は、ロードバランサの作成時にバックエンドサービスで Google Cloud Armor を有効にすることで、アプリケーションの保護を強化できます。

Google Cloud コンソールを使用する場合は、次のいずれかを行います。

既存の Google Cloud Armor セキュリティポリシーを選択します。
カスタマイズ可能な名前、リクエスト数、間隔、キー、レート制限のパラメータを使用して、Google Cloud Armor のレート制限セキュリティポリシーのデフォルト構成を受け入れます。上流のプロキシサービス（CDN プロバイダなど）とともに Google Cloud Armor を使用する場合は、Enforce_on_key を XFF の IP アドレスとして設定する必要があります。
[なし] を選択して、Google Cloud Armor の保護を無効にすることを選択します。

IAP

IAP を使用すると、HTTPS によってアクセスされるアプリケーションの一元的な認可レイヤを確立できるため、ネットワークレベルのファイアウォールに依存せずにアプリケーションレベルのアクセス制御モデルを使用できます。IAP は、特定の Application Load Balancer でサポートされています。

IAP は Cloud CDN と互換性がありません。同じバックエンドサービスで有効にすることはできません。

トラフィック管理機能

次の機能は一部のプロダクトでのみサポートされています。

ROUND_ROBIN を除くロードバランシングポリシー（localityLbPolicy）。
maxRequests フィールド以外のサーキットブレーク
外れ値検出

これらの機能は、次のロードバランサでサポートされています。

グローバル外部アプリケーションロードバランサ（サーキットブレーカーはサポートされていません）

リージョン外部アプリケーションロードバランサ

クロスリージョン内部アプリケーションロードバランサ

リージョン内部アプリケーションロードバランサ

Cloud Service Mesh（プロキシレス gRPC サービスではサポートされません）

API と `gcloud` リファレンス

バックエンドサービスリソースのプロパティの詳細については、次のリファレンスをご覧ください。

グローバルバックエンドサービスの API リソース

次のステップ

ロードバランサでバックエンドサービスを使用する方法については、次のドキュメントをご覧ください。

プロダクト	セッションアフィニティのオプション
グローバル外部アプリケーションロードバランサリージョン外部アプリケーションロードバランサ	なし（`NONE`）クライアント IP（`CLIENT_IP`）生成した Cookie（`GENERATED_COOKIE`）ヘッダーフィールド（`HEADER_FIELD`） HTTP Cookie（`HTTP_COOKIE`）ステートフル Cookie ベースアフィニティ（`STRONG_COOKIE_AFFINITY`）（プレビュー）また、次の点にもご注意ください。ロードバランシングの局所性ポリシー（`localityLbPolicy`）の有効なデフォルト値は、セッションアフィニティの設定に応じて変わります。セッションアフィニティが構成されていない場合（セッションアフィニティがデフォルト値の `NONE` のままの場合）、`localityLbPolicy` のデフォルト値は `ROUND_ROBIN` です。セッションアフィニティが `NONE` 以外の値に設定されている場合、`localityLbPolicy` のデフォルト値は `MAGLEV` です。グローバル外部アプリケーションロードバランサの場合、重み付けによるトラフィック分割を使用する場合は、セッションアフィニティを構成しないでください。セッションアフィニティを構成した場合、重み付けトラフィック分割構成が優先されます。
従来のアプリケーションロードバランサ	なし（`NONE`）クライアント IP（`CLIENT_IP`）生成した Cookie（`GENERATED_COOKIE`）
クロスリージョン内部アプリケーションロードバランサリージョン内部アプリケーションロードバランサ	なし（`NONE`）クライアント IP（`CLIENT_IP`）生成した Cookie（`GENERATED_COOKIE`）ヘッダーフィールド（`HEADER_FIELD`） HTTP Cookie（`HTTP_COOKIE`）ステートフル Cookie ベースアフィニティ（`STRONG_COOKIE_AFFINITY`）（プレビュー）また、次の点にもご注意ください。ロードバランシングの局所性ポリシー（`localityLbPolicy`）の有効なデフォルト値は、セッションアフィニティの設定に応じて変わります。セッションアフィニティが構成されていない場合（セッションアフィニティがデフォルト値の `NONE` のままの場合）、`localityLbPolicy` のデフォルト値は `ROUND_ROBIN` です。セッションアフィニティが `NONE` 以外の値に設定されている場合、`localityLbPolicy` のデフォルト値は `MAGLEV` です。内部アプリケーションロードバランサの場合、重み付けによるトラフィック分割を使用する場合は、セッションアフィニティを構成しないでください。セッションアフィニティを構成した場合、重み付けトラフィック分割構成が優先されます。
内部パススルーネットワークロードバランサ	なし（`NONE`）クライアント IP、宛先なし（`CLIENT_IP_NO_DESTINATION`）クライアント IP、宛先 IP（`CLIENT_IP`）クライアント IP、宛先 IP、プロトコル（`CLIENT_IP_PROTO`）クライアント IP、クライアントポート、宛先 IP、宛先ポート、プロトコル（`CLIENT_IP_PORT_PROTO`）内部パススルーネットワークロードバランサとセッションアフィニティの具体的な情報については、内部パススルーネットワークロードバランサの概要をご覧ください。
外部パススルーネットワークロードバランサ^*	なし（`NONE`）クライアント IP、宛先 IP（`CLIENT_IP`）クライアント IP、宛先 IP、プロトコル（`CLIENT_IP_PROTO`）クライアント IP、クライアントポート、宛先 IP、宛先ポート、プロトコル（`CLIENT_IP_PORT_PROTO`）外部パススルーネットワークロードバランサとセッションアフィニティの具体的な情報については、外部 TCP / UDP 外部パススルーネットワークロードバランサの概要をご覧ください。
グローバル外部プロキシネットワークロードバランサ従来のプロキシネットワークロードバランサリージョン外部プロキシネットワークロードバランサリージョン内部プロキシネットワークロードバランサクロスリージョン内部プロキシネットワークロードバランサ	なし（`NONE`）クライアント IP（`CLIENT_IP`）
Cloud Service Mesh	なし（`NONE`）クライアント IP（`CLIENT_IP`）生成された Cookie（`GENERATED_COOKIE`）（HTTP プロトコルのみ）ヘッダーフィールド（`HEADER_FIELD`）（HTTP プロトコルのみ） HTTP Cookie（`HTTP_COOKIE`）（HTTP プロトコルのみ）

バックエンド サービスの概要

バックエンド

インスタンス グループ

バックエンド VM と外部 IP アドレス

名前付きポート

インスタンス グループに関する制限とガイダンス

ゾーン ネットワーク エンドポイント グループ

インターネット ネットワーク エンドポイント グループ

サーバーレス ネットワーク エンドポイント グループ

サービス バインディング