Gateway Load Balancer (GWLB) は、ネットワーク層で機能する負荷分散サービスで、特定のIPアドレスのすべてのポートに送信されるトラフィックをリッスンし、そのトラフィックをバックエンドサーバーグループ内のネットワーク仮想アプライアンス (NVA) に配信します。 これにより、NVAの高可用性が保証されます。 GWLBは、ファイアウォール、侵入検知システム、トラフィックミラーリング、ディープパケットインスペクションアプライアンスなど、さまざまなNVAをサポートしています。
2024年10月16日から、GWLBはパブリックプレビュー中です。 パブリックプレビューの詳細については、「GWLB and GWLBe public preview」をご参照ください。 パブリックプレビューに参加するには、GWLBパブリックプレビューアプリケーションを送信します。
GWLBコンポーネント
コンポーネント | 説明 |
インスタンス | GWLBは、Open Systems Interconnection (OSI) モデルの第3層 (ネットワーク層) で機能するロードバランサであり、トラフィックを異なるバックエンドサーバーに透過的に分散することにより、アプリケーションシステムのセキュリティと可用性を向上させます。 |
リスナー | GWLBは、特定のIPアドレスのすべてのポートに向けられたトラフィックをリッスンし、Geneveプロトコルを介してバックエンドサーバーグループにトラフィックを転送します。 GWLBインスタンスは1つのリスナーのみをサポートします。 |
サーバーグループ | Geneveプロトコルをサポートするバックエンドサーバーは、論理グループに編成できます。 各サーバーグループには、GWLBによって配信されたリクエストを処理する1つ以上のバックエンドサーバーが含まれています。 サーバーグループはGWLBインスタンスから独立しています。 サーバーグループを別のGWLBインスタンスに関連付けることができます。 Elastic Compute Service (ECS) インスタンス、elastic containerインスタンス、elastic network Interface (ENI) 、およびIPアドレスをバックエンドサービスとして設定できます。 GWLBはヘルスチェックを実行して、バックエンドサーバーの可用性を判断します。 サーバーグループ内の異常なサーバーを検出し、それらへのリクエストの転送を停止します。 GWLBは、柔軟なヘルスチェック設定をサポートしています。 たとえば、ヘルスチェックのプロトコル、ポート、およびしきい値を指定できます。 |
GWLBのしくみのしくみ
GWLBインスタンスは、PrivateLinkサービスが提供するGWLBエンドポイント (GWLBe) で動作する必要があります。 GWLBeは、特定のタイプのVirtual Private Cloud (VPC) エンドポイントであり、ビジネスVPCとセキュリティVPC間のプライベート接続を確立するために使用できます。 GWLBeは、プライベート接続を通じて、トラフィックをセキュリティVPC内のGWLBインスタンスにルーティングして配布します。
GWLBeは、ルートテーブルを使用してインバウンドトラフィックとアウトバウンドトラフィックを制御します。 着信トラフィックは、GWLBeによってGWLBインスタンスにルーティングされ、バックエンドNVAによって検査およびフィルタリングされ、GWLBインスタンスによってGWLBeにルーティングされ、最終的にアプリケーションに転送されます。
GWLBは、すべてのポートですべてのIPパケットをリッスンし、IPリスナーに関連付けられたバックエンドサーバーグループにトラフィックを透過的に配信します。 GWLBは、5タプル (送信元IPアドレス、宛先IPアドレス、IPプロトコル、送信元ポート、宛先ポート) ハッシュ、3タプル (送信元IPアドレス、宛先IPアドレス、およびIPプロトコル) ハッシュ、および2タプル (送信元IPアドレスと宛先IPアドレス) ハッシュを含むスケジューリングアルゴリズムをサポートします。同じハッシュ値を持つパケットを同じバックエンドNVAにルーティングします。
NVAプロバイダー
GWLBは、サードパーティのNVAをバックエンドサーバーグループに統合して、着信トラフィックを監視およびフィルタリングすることをサポートしています。
利用シナリオ
GWLBによるインターネットファイアウォールの展開
現在、企業は複雑なネットワーク攻撃に直面しています。 ネットワーク攻撃から防御するために、高可用性のファイアウォールクラスターを展開することが重要です。 GWLBを使用すると、企業は集中的にトラフィックを管理し、インバウンドとアウトバウンドトラフィックの両方をファイアウォールクラスターに誘導して、詳細な検査とフィルタリングを行うことができます。 さらに、GWLBは複数のゾーンにわたるファイアウォールクラスターの可用性を保証し、単一障害点を排除します。
GWLBを使用したNATファイアウォールのデプロイ
ネットワークアクセス変換 (NAT) ゲートウェイは、通常、インターネットにアクセスするクラウドリソースの出口である。 複雑なネットワークセキュリティの課題に対処するために、企業はGWLBを使用して、NATゲートウェイを通過するすべてのトラフィックを統合管理レイヤーに転送できます。 これにより、インターネットに出入りするすべてのリクエストがファイアウォールによって監視およびフィルタリングされ、トラフィックの全体的な制御が実現されます。
GWLBを使用したVPCファイアウォールのデプロイ
リージョン内の複数のVPCにまたがるクラウドリソースが相互に接続する必要があるシナリオでは、トランジットルーターを使用してトラフィックをGWLBに転送できます。 フィルタされたトラフィックのみが通信できるようにすることによって、ネットワークセキュリティが大幅に強化される。
GWLBインスタンスの作成
GWLBインスタンスを作成するには、購入ページに移動します。
GWLBインスタンスのデプロイと管理
Alibaba Cloudアカウントを作成した後、次の方法でGWLBインスタンスをデプロイおよび管理できます。
GWLBコンソール: GWLBサービスの管理に使用できるwebインターフェイス。 コンソールでGWLBインスタンスを作成、使用、またはリリースできます。 詳細については、「Create and manage a instance」をご参照ください。
Alibaba Cloud SDK: Java、Go、Python、その他のプログラミング言語のSDK。
OpenAPI Explorer: API操作を取得して呼び出し、SDKサンプルコードを動的に生成できます。