SAEでClassic Load Balancer (CLB) を使用すると、特定の操作にセキュリティリスクが存在します。 たとえば、CLBコンソールまたはOpenAPI Explorerを使用しているが、SAEコンソールを使用してCLBインスタンスと、リスナーの名前の変更、バックエンドサーバーグループの名前の変更、追加サーバーグループの追加などのカスタム設定を構成しない場合、セキュリティリスクが発生する可能性があります。 このトピックでは、SAEでCLBを使用するときに構成できるカスタム設定について説明します。
CLB設定の概要
SAEはCLBのフルマネージド構成を提供し、アプリケーションのデプロイ、再起動、インスタンスのスケールインおよびスケールアウト時にCLBインスタンスリスナーを構成し、CLB構成の有効性を維持するのに役立ちます。 CLBコンソールでCLB設定を変更した場合、SAEは操作を中断と見なします。 この場合、SAEは後続の設定を構成したり、CLBコンソールで構成した設定を上書きしたりしません。 場合によっては、予期しない挙動が起こることがある。 SAEを使用する場合は、SAEにCLBインスタンスリスナーの完全な管理と設定を許可することを推奨します。
CLBコンソールでは、SAEでサポートされていない設定を構成できます。 ただし、制限はまだ存在します。 詳細については、「SAEを使用して購入されたCLBインスタンス」および「SAEによってホストされているCLBインスタンス」をご参照ください。
SAEを使用して購入したCLBインスタンス
SAEを使用して購入したCLBインスタンスの情報は、sae.do.not.de leteから始まります。
SAEを使用して購入したCLBインスタンスがバインドされているアプリケーションを削除するか、アプリケーションからCLBインスタンスのバインドを解除すると、CLBインスタンスはリリースされ、復元できません。 このタイプのCLBインスタンスを手動で管理しないことを推奨します。 特別な要件がある場合は、「SAEによってホストされているCLBインスタンス」をご参照ください。
他のクラウドサービスは、このタイプのCLBインスタンスを管理できません。
SAEによってホストされるCLBインスタンス
SAEによってホストされているCLBインスタンスは、CLBコンソールでユーザーによって購入されます。 これらのCLBインスタンスはSAEによって管理されます。 ほとんどの場合、アプリケーションは1つのリスナーしか管理できません。 ビジネス要件に基づいて作成するリスナーを構成できます。 すべての設定は有効です。 たとえば、リスナーを作成し、SAEによってホストされているリスナーまたはSAEによって作成された仮想バックエンドサーバーグループにトラフィックを転送できます。 SAEによって作成されたリスナーと関連する仮想バックエンドサーバーグループを変更する場合は、実行する操作の有効性を確認する必要があります。 次の表に、さまざまな操作の有効性を示します。
タイプ | 項目 | 有効性 |
インスタンス | インスタンス名 | Y |
インスタンスタグ | ただし、次の操作は実行しないでください。
| |
Elastic IPアドレス (EIP) バインディング | Y | |
仕様変更 | Y | |
帯域幅 | Y | |
リスナー | リスナー名 | N |
帯域幅 | Y | |
スケジューリングアルゴリズム | Y | |
vServerグループID | N | |
アクセス制御 | Y | |
x-forward-リクエストフィールド | Y | |
Gzip圧縮 | Y | |
セッション維持 | Y | |
ヘルスチェック | Y | |
タイムアウト時間 | Y | |
証明書の設定 | N | |
転送ルール | N | |
vServer グループ | 名前 | N |
バックエンドサーバー (重量、インスタンス、ポート) | N |