内部 TCP / UDP 負荷分散の概要

Google Cloud 内部 TCP / UDP 負荷分散はリージョン単位のロードバランサであり、内部仮想マシン(VM)のインスタンスのみにアクセス可能な内部負荷分散 IP アドレスの背後でサービスの実行とスケーリングを行うことができます。

内部 TCP / UDP 負荷分散は、プライベートの内部 IP アドレスを使用して、Virtual Private Cloud(VPC)ネットワークの同じリージョン内の VM インスタンス間でトラフィックを分散します。

次の概要図に示されるように、内部 TCP / UDP 負荷分散サービスには、フロントエンド(転送ルール)とバックエンド(バックエンド サービスとインスタンス グループ)があります。

内部 TCP / UDP ロードバランサの例の概要図(クリックして拡大)
内部 TCP / UDP ロードバランサの例の概要図(クリックして拡大)

Google Cloud ロードバランサとの相違点については、次のドキュメントをご覧ください。

プロトコル、スキーム、スコープ

内部 TCP / UDP ロードバランサがそれぞれサポートしているものは、次のとおりです。

  • 負荷分散スキーム INTERNALと TCP または UDP プロトコルを備えた 1 つのバックエンド サービス(両方ではない)
  • 1 つのリージョンと VPC ネットワークにあるバックエンド マネージド インスタンスグループと非マネージド インスタンス グループ
  • それぞれが TCP または UDP プロトコルを使用し、バックエンド サービスのプロトコルに一致する 1 つ以上の転送ルール
  • 独自の一意の IP アドレスを持つ各転送ルール、または共通の IP アドレスを共有する複数の転送ルール
  • 最大 5 つのポートまたはすべてのポートを含む各転送ルール
  • グローバル アクセスが有効になっている場合、任意のリージョンのクライアント
  • グローバル アクセスが無効になっている場合、ロードバランサと同じリージョンのクライアント

内部 TCP / UDP ロードバランサがサポートしていないものは、次のとおりです。

クライアント アクセス

グローバル アクセスを有効にすると、任意のリージョンのクライアント VM インスタンスが内部 TCP / UDP ロードバランサにアクセスできるようになります。クライアント VM は同じネットワークまたは、VPC ネットワーク ピアリングを使用して接続された VPC ネットワークに存在する必要があります。

次の表にクライアント アクセスの概要を示します。

グローバル アクセスが無効な場合 グローバル アクセスが有効な場合
クライアントはロードバランサと同じリージョンになければなりません。また、ロードバランサと同じ VPC ネットワーク、または VPC ネットワーク ピアリングを使用してロードバランサの VPC ネットワークに接続されている VPC ネットワークに存在する必要があります。 クライアントはどのリージョンにでも配置できます。ただし、ロードバランサと同じ VPC ネットワーク、または VPC ネットワーク ピアリングを使用してロードバランサの VPC ネットワークに接続されている VPC ネットワークに存在する必要があります。
オンプレミスのクライアントは Cloud VPN トンネルまたは相互接続のアタッチメント(VLAN)経由でロードバランサにアクセスできます。これらのトンネルまたはアタッチメントは、ロードバランサと同じリージョンになければなりません。 オンプレミスのクライアントは Cloud VPN トンネルまたは相互接続のアタッチメント(VLAN)経由でロードバランサにアクセスできます。これらのトンネルまたはアタッチメントは、どのリージョンにでも配置できます。

使用例

内部 TCP / UDP ロードバランサは、多くのユースケースに対応しています。このセクションでは、いくつか大まかに例を示します。

アクセスの例

接続ネットワークから VPC ネットワーク内の内部 TCP / UDP ロードバランサにアクセスする方法は、次のとおりです。

  • VPC ネットワーク ピアリング
  • Cloud VPN と Cloud Interconnect

詳しい例については、内部負荷分散と接続ネットワークをご覧ください。

3 層ウェブサービスの例

内部 TCP / UDP 負荷分散は、他のロードバランサと組み合わせて使用できます。たとえば、外部 HTTP(S) ロードバランサを組み込む場合、外部ロードバランサは、ウェブ層で内部ロードバランサの背後にあるサービスに依存します。

次の図は、外部 HTTP(S) ロードバランサと内部 TCP / UDP ロードバランサを使用する 3 層構成の例を示しています。

HTTP(S) 負荷分散と内部 TCP / UDP 負荷分散を使用する 3 層ウェブアプリ(クリックして拡大)
HTTP(S) 負荷分散と内部 TCP / UDP 負荷分散を使用する 3 層ウェブアプリ(クリックして拡大)

グローバル アクセスを使用する 3 層ウェブサービスの例

グローバル アクセスを有効にすると、次の図のように別のリージョンにウェブ層 VM を配置できます。

この多層アプリケーションの例のフローは、次のとおりです。

  • グローバルに利用可能な、インターネットに接続したウェブ層が、HTTP(S) 負荷分散を使用して負荷分散を行う。
  • us-east1 リージョンの内部バックエンド負荷分散されたデータベース層に、グローバル ウェブ層がアクセスする。
  • europe-west1 リージョンのウェブ層の一部であるクライアント VM が、us-east1 にある内部負荷分散されたデータベース層にアクセスする。
HTTP(S) 負荷分散、グローバル アクセス、内部 TCP / UDP 負荷分散を使用する 3 層ウェブアプリ(クリックして拡大)
HTTP(S) 負荷分散、グローバル アクセス、内部 TCP / UDP 負荷分散を使用する 3 層ウェブアプリ(クリックして拡大)

内部 TCP / UDP 負荷分散の仕組み

内部 TCP / UDP ロードバランサには次の特性があります。

  • マネージド サービスである。
  • プロキシではない。
  • 仮想ネットワークで実装される。

内部 TCP / UDP ロードバランサは、デバイスベースまたはインスタンス ベースのロードバランサとは異なり、クライアントからの接続を終端しません。トラフィックは、ロードバランサに送られてから正常なバックエンドに送られるのではなく、クライアントによって直接正常なバックエンドに送信されます。

  • 中間デバイスや単一障害点が存在しない。
  • ロードバランサの IP アドレスへのクライアント リクエストは、直接正常なバックエンド VM に送信されます。
  • 正常なバックエンド VM からのレスポンスは、ロードバランサを経由せず、クライアントに直接送信されます。TCP 応答は、Direct Server Return を使用します。詳細については、TCP と UDP のリクエストと返信パケットをご覧ください。

ロードバランサは、ヘルスチェック プローブを使用して VM の状態を監視します。詳細については、ヘルスチェックをご覧ください。

Google Cloud Linux ゲスト環境Windows ゲスト環境、またはそれと同様のプロセスは、各バックエンド VM をロードバランサの IP アドレスで構成します。Google Cloud の仮想ネットワーキングが、トラフィック配信、スケーリングを適切に管理します。

アーキテクチャ

複数のバックエンド インスタンス グループを持つ内部 TCP / UDP ロードバランサの場合は、接続がこれらすべてのインスタンス グループのバックエンド VM 間に分散されます。分散の方法と構成オプションの詳細は、トラフィックの分散をご覧ください。

ロードバランサのバックエンドには、非マネージド インスタンス グループ、マネージド ゾーン インスタンス グループ、またはマネージド リージョン インスタンス グループ(ネットワーク エンドポイント グループ(NEG)ではありません)など、任意のタイプのインスタンス グループを使用できます。

高可用性では、単一のゾーンに依存しない内部ロードバランサを設計する方法について説明しています。

内部 TCP / UDP ロードバランサのバックエンド VM として参加するインスタンスでは、適切な Linux または Windows ゲスト環境、または同等の機能を提供する他のプロセスが実行されている必要があります。これらのゲスト環境では、メタデータ サーバー(metadata.google.internal169.254.169.254)に接続し、インスタンスのメタデータを読み取ることが可能である必要があります。これによって、ロードバランサの内部 IP アドレスに送信されるトラフィックを受け入れるローカルルートを生成できます。

この図は、2 つの個別のインスタンス グループに存在する VM 間のトラフィック分散を示しています。クライアント インスタンスからロードバランサの IP アドレス(10.10.10.9)に送信されたトラフィックが、いずれかのインスタンス グループのバックエンド VM 間で分散されます。サービスを提供するいずれかのバックエンド VM から送信されたレスポンスがクライアント VM に直接配信されます。

内部 TCP または UDP 負荷分散は、カスタムモードまたは自動モードの VPC ネットワークで使用できます。既存のレガシー ネットワークで内部 TCP / UDP ロードバランサを作成することもできます。

高可用性

内部 TCP / UDP ロードバランサは可用性が高く設計されています。高可用性のメカニズムは単一のデバイスや VM インスタンスに依存しないため、ロードバランサの可用性を高くするための特別な手順はありません。

バックエンド VM インスタンスが複数のゾーンにデプロイされるようにするには、次のデプロイに関する推奨事項に従ってください。

コンポーネント

内部 TCP / UDP ロードバランサは、次の Google Cloud コンポーネントから構成されます。

コンポーネント 目的 要件
内部 IP アドレス ロードバランサのアドレスです。 内部 IP アドレスは、内部転送ルールと同じサブネット内に存在する必要があります。サブネットは、バックエンド サービスと同じリージョンと VPC ネットワークに存在する必要があります。
内部転送ルール 内部転送ルールを内部 IP アドレスと組み合わせると、ロードバランサのフロントエンドになります。ロードバランサが受け入れるプロトコルとポートを定義し、トラフィックをリージョンの内部バックエンド サービスにルーティングします。 内部 TCP / UDP ロードバランサの転送ルールは、次の条件を満たす必要があります。
load-balancing-schemeINTERNAL と指定されている。
• バックエンド サービスの protocol に一致する TCP または UDPip-protocol を使用する。
• バックエンド サービスと同じ VPC ネットワークとリージョン内の subnet を参照する。
リージョンの内部バックエンド サービス リージョンの内部バックエンド サービスは、バックエンド(インスタンス グループ)との通信に使用するプロトコルを定義し、ヘルスチェックを指定します。バックエンドには、非マネージド インスタンス グループ、ゾーンのマネージド インスタンス グループ、またはリージョンのマネージド インスタンス グループを使用できます。 バックエンド サービスは、次の条件を満たす必要があります。
load-balancing-schemeINTERNAL と指定されている。
転送ルールの ip-protocol に一致する、TCP または UDPprotocol を使用する。
• 関連付けられたヘルスチェックを含む。
• 関連付けられたリージョンを含む。転送ルールとすべてのバックエンド インスタンス グループのリージョンは、バックエンド サービスのリージョンと同じである必要があります。
• 単一の VPC ネットワークと関連付けられている。指定されていない場合、各バックエンド VM のデフォルトのネットワーク インターフェース(nic0)で使用されるネットワークに基づいてネットワークが推定されます。

バックエンドサービスは特定のサブネットには接続されませんが、転送ルールのサブネットは、バックエンド サービスと同じ VPC ネットワークにある必要があります。
ヘルスチェック バックエンド サービスはいずれもヘルスチェックが関連付けられている必要があります。ヘルスチェックでは、Google Cloud が管理しているバックエンドについて、トラフィックの受信に適格であるかどうかを検討する際に使用するパラメータを定義します。クライアント VM からロードバランサの IP アドレスに送信されたトラフィックを受信するのは、バックエンド インスタンス グループ内の正常な VM に限られます。 転送ルールとバックエンド サービスでは TCPUDP のいずれかを使用できます。ただし、Google Cloud では UDP トラフィックに対するヘルスチェックが行われません。詳細は、ヘルスチェックと UDP トラフィックをご覧ください。

内部 IP アドレス

内部 TCP / UDP 負荷分散では、内部転送ルールを作成するときに選択したサブネットのプライマリ IP 範囲に含まれる内部 IPv4 アドレスが使用されます。サブネットのセカンダリ IP 範囲の IP アドレスは使用できません。

内部 TCP / UDP ロードバランサの IP アドレスは、転送ルールを作成するときに指定します。エフェメラル IP アドレスを受信するか、予約済みの IP アドレスを使用するかを選択できます。

ファイアウォール ルール

内部 TCP / UDP ロードバランサには、次のファイアウォール ルールが必要です。

ファイアウォール ルールの構成の例では、両方の作成方法を示しています。

転送ルール

転送ルールでは、ロードバランサがトラフィックを受け入れるポートとプロトコルを指定します。内部 TCP / UDP ロードバランサはプロキシではないため、同じプロトコルとポートでバックエンドにトラフィックを渡します。

内部 TCP / UDP ロードバランサには、少なくとも 1 つの内部転送ルールが必要です。同じロードバランサに対して複数の転送ルールを定義できます。

転送ルールは、ロードバランサのバックエンド コンポーネントと同じ VPC ネットワークとリージョン内の特定のサブネットを参照する必要があります。この要件に関しては、次の点に注意してください。

  • 転送ルールに指定するサブネットは、バックエンド VM で使用されるどのサブネットとも同じである必要はありません。ただし、サブネットは転送ルールと同じリージョンにある必要があります。
  • 内部転送ルールを作成すると、選択したサブネットのプライマリ IP アドレス範囲から、使用可能なリージョンの内部 IP アドレスを Google Cloud が選択します。また、サブネットのプライマリ IP 範囲から内部 IP アドレスを指定することもできます。

転送ルールとグローバル アクセス

グローバル アクセスが有効な場合であっても、内部 TCP / UDP ロードバランサの転送ルールはリージョン単位です。グローバル アクセスを有効にすると、リージョンの内部転送ルールの allowGlobalAccess フラグが true に設定されます。

転送ルールとポートの仕様

内部転送ルールを作成する場合は、次のいずれかのポート指定を選択する必要があります。

  • 1 個から 5 個までのポートを番号で指定する。
  • すべてのポートにトラフィックを転送するには ALL を指定する。

すべての TCP ポートまたはすべての UDP ポートのいずれかをサポートする内部転送ルールでは、バックエンド VM がそれぞれ別のポートで複数のアプリケーションを実行できます。特定のポートに送信されたトラフィックは、対応するアプリケーションに配信され、すべてのアプリケーションで同じ IP アドレスが使用されます。

5 つ以上の特定のポートでトラフィックを転送する必要がある場合は、ファイアウォール ルールを転送ルールと組み合わせます。転送ルールを作成するときは、すべてのポートを指定してから、必要なポートへのトラフィックのみを許可する上り(内向き)allow ファイアウォール ルールを作成します。ファイアウォール ルールをバックエンド VM に適用します。

転送ルールは作成後に変更できません。指定したポートまたは内部転送ルールの内部 IP アドレスを変更する必要がある場合は、削除してから再度作成する必要があります。

単一のバックエンド サービスの複数の転送ルール

すべてが同じ内部バックエンド サービスを参照する複数の内部転送ルールを構成できます。内部 TCP / UDP ロードバランサには、少なくとも 1 つの内部転送ルールが必要です。

同じバックエンド サービスに複数の転送ルールを構成すると、TCP または UDP(両方ではない)のいずれかを使用して、次のことが可能になります。

  • ロードバランサに複数の IP アドレスを割り当てる。それぞれが一意の IP アドレスを使用する複数の転送ルールを作成できます。各転送ルールは、すべてのポートまたは最大 5 つのポートのセットを指定できます。

  • 同じ IP アドレスを使用して、特定のポートのセットをロードバランサに割り当てる。同じ IP アドレスを共有する複数の転送ルールを作成できます。各転送ルールは、最大 5 つのポートの特定のセットを使用します。これは、すべてのポートを指定する単一の転送ルールを構成する代わりになります。

共通の内部 IP アドレスを共有する 2 つ以上の内部転送ルールが関係するシナリオの詳細については、同じ IP アドレスを持つ複数の転送ルールをご覧ください。

複数の内部転送ルールを使用する場合は、バックエンド VM で実行されているソフトウェアがすべての転送ルール IP アドレスまたは任意のアドレス(0.0.0.0/0)にバインドするように構成してください。ロードバランサを通じて配信されるパケットの宛先 IP アドレスは、対応する内部転送ルールに関連付けられた内部 IP アドレスです。詳細については、TCP と UDP のリクエストと返信パケットをご覧ください。

バックエンド サービス

それぞれの内部 TCP / UDP ロードバランサには、バックエンドのパラメータと動作を定義するリージョン内部転送ルールが 1 つあります。バックエンド サービスの名前は、Google Cloud Console に表示される内部 TCP / UDP ロードバランサの名前です。

各バックエンド サービスは、次のバックエンド パラメータを定義します。

  • プロトコル。バックエンド サービスは、1 つ以上の内部転送ルールで指定されたポートで TCP トラフィックまたは UDP トラフィックのいずれか一方のみを受け取ります。バックエンド サービスでは、トラフィックが送信された同じポート上のバックエンド VM にトラフィックを配信できます。バックエンド サービス プロトコルは、転送ルールのプロトコルと一致する必要があります。

  • トラフィック分散。バックエンド サービスは、構成可能なセッション アフィニティに従ってトラフィックの分散を許可します。

  • ヘルスチェック。バックエンド サービスには、関連付けられたヘルスチェックが必要です。

各バックエンド サービスは単一のリージョンで動作し、1 つの VPC ネットワーク内でバックエンド VM のトラフィックを分散します。

  • リージョン。バックエンドは、バックエンド サービス(および転送ルール)と同じリージョン内のインスタンス グループです。バックエンドは、非マネージド インスタンス グループ、ゾーン マネージド インスタンス グループ、またはリージョン マネージド インスタンス グループです。

  • VPC ネットワーク。すべてのバックエンド VM には、バックエンド サービスに関連付けられた VPC ネットワーク内のネットワーク インターフェースが必要です。明示的にバックエンド サービスのネットワークを指定するか、暗黙のネットワークを使用できます。いずれの場合も、すべての内部転送ルールのサブネットはバックエンド サービスの VPC ネットワークに存在しなければなりません。

バックエンド サービスとネットワーク インターフェース

各バックエンド サービスは、1 つの VPC ネットワークと Google Cloud リージョンで動作します。VPC ネットワークは暗黙にすることも、gcloud compute backend-services create コマンドで --network フラグを使用して明示的に指定することもできます。

  • 明示的に指定すると、バックエンド サービスの VPC --network フラグが、トラフィックの負荷分散が行われる各バックエンド VM のネットワーク インターフェースを識別します。各バックエンド VM には、指定された VPC ネットワーク内のネットワーク インターフェースが必要です。この場合、ネットワーク インターフェース識別子(nic0nic7)がバックエンド VM 間で異なる場合があります。例:

    • VM ごとに指定された VPC ネットワーク内にインターフェースがある場合、同じ非マネージド インスタンス グループ内の異なるバックエンド VM は異なるインターフェース識別子を使用する場合があります。
    • インターフェース識別子は、すべてのバックエンド インスタンス グループ間で同じである必要はありません。あるバックエンド インスタンス グループ内のバックエンド VM では nic0、別のバックエンド インスタンス グループ内のバックエンド VM では nic2 でも構いません。
  • バックエンド サービスを作成するときに--network フラグを指定しない場合、バックエンド サービスはすべてのバックエンド VM が最初に使用するネットワーク インターフェース(1 つしかない場合もあります)のネットワークに基づいてネットワークを選択します。つまり、すべてのバックエンド インスタンス グループ内のすべての VM に対して、nic0 は同じ VPC ネットワーク内になければなりません。

ヘルスチェック

ロードバランサのバックエンド サービスは、ヘルスチェックと関連付けられている必要があります。 VPC ネットワークの外側の特殊ルートを使用することで、ヘルスチェック システムとバックエンドとの間で容易に通信できます。

既存のヘルスチェックを使用することも、新たに定義することもできます。トラフィック分散での説明のとおり、内部 TCP / UDP ロードバランサは、ヘルスチェックのステータスを使用して、新しい接続をルーティングする方法を決定します。

次の任意のヘルスチェック プロトコルを使用できます。ヘルスチェックのプロトコルがロードバランサのプロトコルと一致する必要はありません。

  • HTTP、HTTPS、HTTP/2。バックエンド VM が HTTP、HTTPS、または HTTP/2 を使用してトラフィックを処理する場合、HTTP ベースのヘルスチェックではそのプロトコルに適したオプションが提供されるため、それぞれのプロトコルと一致するヘルスチェックの使用をおすすめします。内部 TCP / UDP ロードバランサを介して HTTP タイプのトラフィックを処理すると、ロードバランサのプロトコルが TCP になります。
  • SSL または TCP。バックエンド VM が HTTP タイプのトラフィックを処理しない場合は、SSL または TCP のヘルスチェックを使用する必要があります。

作成するヘルスチェックの種類に関係なく、Google Cloud ではヘルスチェック プローブが内部 TCP / UDP ロードバランサの IP アドレスに送信され、負荷が分散されたトラフィックがどのように送信されるかをシミュレーションします。バックエンド VM 上で動作するソフトウェアは、負荷が分散されたトラフィックと、ロードバランサの IP アドレスに送信されたヘルスチェック プローブの両方に応答する必要があります。詳細については、プローブ パケットの宛先をご覧ください。

ヘルスチェックと UDP トラフィック

Google Cloud では、UDP プロトコルを使用するヘルスチェックを提供していません。 UDP トラフィックで内部 TCP / UDP 負荷分散を使用する場合は、バックエンド VM でヘルスチェック情報を提供する TCP ベースのサービスを実行する必要があります。

この構成では、クライアントのリクエストが UDP プロトコルを使用して負荷分散され、TCP サービスが Google Cloud ヘルスチェック プローバーへの情報提供に使用されます。たとえば、Google Cloud に HTTP 200 レスポンスを返す単純な HTTP サーバーをバックエンド VM ごとに実行できます。この例では、バックエンド VM 上で実行する独自のロジックを使用して、UDP サービスが適切に構成され実行されている場合にのみ HTTP サーバーが 200 を返すようにする必要があります。

TCP と UDP のリクエストと返信パケット

クライアント システムが TCP または UDP パケットを内部 TCP / UDP ロードバランサに送信すると、パケットの送信元と宛先は次のようになります。

  • 送信元: クライアントのプライマリ内部 IP アドレスまたはクライアントのエイリアス IP 範囲の IP アドレス。
  • 宛先: ロードバランサの転送ルールの IP アドレス。

ロードバランサがレスポンス パケットを送信するときのパケットの送信元と宛先はプロトコルによって異なります。

  • TCP は接続指向であり、内部 TCP / UDP ロードバランサは Direct Server Return を使用します。つまり、レスポンス パケットはロードバランサの転送ルールの IP アドレスから送信されます。
  • 対照的に、UDP はコネクションレスです。デフォルトでは、返信パケットはバックエンド インスタンスのネットワーク インターフェースのプライマリ内部 IP アドレスから送信されます。ただし、この動作は変更できます。たとえば、UDP サーバーを転送ルールの IP アドレスにバインドするように構成すると、転送ルールの IP アドレスからレスポンス パケットが送信されます。

次の表は、レスポンス パケットの送信元と宛先をまとめたものです。

トラフィックの種類 送信元 宛先
TCP ロードバランサの転送ルールの IP アドレス リクエスト パケットの送信元
UDP UDP サーバー ソフトウェアによって異なります リクエスト パケットの送信元

トラフィック分散

内部 TCP / UDP ロードバランサによる新しい接続の分散方法は、フェイルオーバーが構成されているかどうかによって異なります。

  • フェイルオーバーを構成していない場合、少なくとも 1 つのバックエンド VM が正常であれば、内部 TCP / UDP ロードバランサによって正常なすべてのバックエンド VM 間で新しい接続が分散されます。すべてのバックエンド VM が正常でない場合は、最後の手段としてロードバランサによりすべてのバックエンドの間で新しい接続が分散されます。

  • フェイルオーバーを構成している場合、内部 TCP / UDP ロードバランサは、構成したフェイルオーバー ポリシーに従って、アクティブ プール内の VM 間で新しい接続を分散します。すべてのバックエンド VM が正常でない場合、トラフィックをドロップするか選択できます。

デフォルトでは、クライアントの IP アドレス、送信元ポート、ロードバランサの内部転送ルールの IP アドレス、宛先ポート、プロトコルの 5 つの情報から計算されたハッシュが新しい接続の分散のメソッドで使用されます。TCP トラフィックのトラフィック分散の方法は、セッション アフィニティ オプションを指定して変更できます。

ヘルスチェックの状態によって、新しい接続の分散が制御されます。正常でないバックエンド VM で接続の処理が続いている場合、確立済みの TCP セッションはその正常でないバックエンド VM で存続します。

セッション アフィニティのオプション

セッション アフィニティは、クライアントからロードバランサのバックエンド VM への新しい接続の分散を制御します。バックエンド VM が TCP トラフィックを送信する際にクライアントの状態情報を追跡する必要がある場合は、セッション アフィニティを設定します。これは、ウェブ アプリケーションの一般的な要件です。

セッション アフィニティは、TCP トラフィックのベスト エフォート型で動作します。UDP プロトコルはセッションをサポートしていないため、セッション アフィニティは UDP トラフィックに影響しません。

内部 TCP / UDP ロードバランサは、バックエンド インスタンス グループではなく、内部バックエンド サービス全体に指定する次に示すセッション アフィニティのオプションをサポートします。

  • なし。デフォルト設定。事実上、クライアントの IP プロトコルおよびポートと同じになります。
  • クライアント IP。クライアントの IP アドレスと宛先 IP アドレスから作成されたハッシュに基づいて、特定のクライアントのリクエストを同じバックエンド VM にルーティングします。
  • クライアント IP とプロトコル。クライアントの IP アドレス、宛先 IP アドレス、ロードバランサのプロトコル(TCP または UDP)の 3 つの情報から作成されたハッシュに基づいて、特定のクライアントのリクエストを同じバックエンド VM にルーティングします。
  • クライアント IP、プロトコル、ポート。次の 5 つの情報から作成されたハッシュに基づいて、特定のクライアントのリクエストを同じバックエンド VM に送ります。

    • リクエストを送信したクライアントの送信元 IP アドレス
    • リクエストを送信したクライアントの送信元ポート
    • 宛先 IP アドレス
    • 宛先ポート
    • プロトコル(TCP または UDP)

    宛先 IP アドレスは、カスタム静的ルートのためにロードバランサにパケットが配信される場合を除き、ロードバランサの転送ルールの IP アドレスになります。内部 TCP / UDP ロードバランサがルートのネクストホップである場合は、この記事の次のセクションである、セッション アフィニティとネクストホップの内部 TCP / UDP ロードバランサをご覧ください。

セッション アフィニティとネクストホップの内部 TCP / UDP ロードバランサ

選択したセッション アフィニティのオプションに関係なく、Google Cloud ではパケットの宛先が使用されますパケットをロードバランサに直接送信する場合、パケットの宛先はロードバランサの転送ルールの IP アドレスと一致します。

ただし、内部 TCP / UDP ロードバランサをカスタム静的ルートのネクストホップとして使用する場合、パケットの宛先はロードバランサの転送ルールの IP アドレスにはなりません。宛先がルートの宛先範囲内にあるパケットの場合、ルートはロードバランサに振り向けられます。

カスタム静的ルートのネクストホップとして内部 TCP / UDP ロードバランサを使用する方法については、ネクストホップとしての内部 TCP / UDP ロードバランサをご覧ください。

セッション アフィニティとヘルスチェックの状態

バックエンド VM のヘルス ステータスを変更すると、セッション アフィニティが失われる場合があります。たとえば、1 つのバックエンド VM が正常でなくなり、ほかに正常なバックエンド VM が少なくとも 1 つ存在する場合、内部 TCP / UDP ロードバランサは新しい接続を正常でない VM には分散しません。クライアントにその正常でない VM とのセッション アフィニティがある場合は、正常なバックエンド VM にルーティングされ、そのセッション アフィニティが失われます。

1 つのクライアントから接続をテストする

単一のクライアント システムから内部 TCP / UDP ロードバランサの IP アドレスへの接続をテストする場合、次の点に注意します。

  • クライアント システムが負荷分散対象外の VM、つまりバックエンド VM でない場合、新しい接続がロードバランサの正常なバックエンド VM に配信されます。ただし、すべてのセッション アフィニティのオプションが、少なくともクライアント システムの IP アドレスに依存するため、同じクライアントからの接続は、予測より頻繁に同じバックエンド VM に分散されることがあります。

    実施面では、単一クライアントから内部 TCP / UDP ロードバランサに接続した場合、これを介したトラフィック分散を正確にモニタリングできないことになります。トラフィック分散のモニタリングに必要なクライアント数は、ロードバランサの種類、トラフィックの種類、正常なバックエンドの数によって異なります。

  • クライアント VM がロードバランサのバックエンド VM の場合、ロードバランサの転送ルールの IP アドレスに送信される接続には、常にクライアント / バックエンド VM 自体が応答することになります。この現象は、バックエンド VM が正常であるかどうかにかかわらず、 ロードバランサの内部転送ルールで指定されたプロトコルとポート上のトラフィックだけではなく、ロードバランサの IP アドレスに送信されたすべてのトラフィックで発生します。

    詳細については、負荷分散された VM からのリクエストの送信をご覧ください。

上限

割り当てと制限ついて詳しくは、負荷分散のリソースの割り当てをご覧ください。

次のステップ