Gateway Load Balancer (GWLB) は、OSI (Open Systems Interconnection) モデルの第 3 層 (ネットワーク層) で機能するロードバランサーです。トラフィックを異なるバックエンドサーバーに透過的に分散させることで、アプリケーションシステムのセキュリティと可用性を向上させます。
インスタンスの状態
次の表に、GWLB インスタンスのさまざまな状態と、各状態で特定の操作がサポートされるかどうかを示します。
インスタンスの状態 | 状態の説明 | インスタンスがロックされるかどうかとその理由 | インスタンス削除許可 | インスタンス設定の更新可否 |
実行中 | インスタンスは正常に実行されています。 | N/A | はい | はい |
作成中 | インスタンスは作成中です。 | N/A | いいえ | いいえ |
設定更新中 | インスタンスの設定は更新中です。 | N/A | いいえ | |
停止済み | インスタンスの実行が停止します。 | ロック済み (支払い遅延):支払い遅延によりインスタンスはロックされます。できるだけ早くインスタンスを更新してください。ロックが解除されると、インスタンスはサービスの提供を再開します。 | いいえ |
IP バージョン
GWLB インスタンスは IPv4 プロトコルバージョンをサポートしています。つまり、GWLB は IPv4 トラフィックアクセスをサポートしています。
GWLB インスタンスは、プライベート IPv4 アドレスを使用してバックエンドサーバーと通信します。このアドレスは、GWLB インスタンスが存在するサブネットによって割り当てられます。
クロスゾーン転送
デフォルトでは、クロスゾーン転送は有効になっています。GWLB インスタンスがクライアントトラフィックを受信すると、各 GWLB インスタンスは、同じリージョン内のすべての有効なゾーンにあるバックエンドサーバーにトラフィックを分散します。現在、クロスゾーン転送機能は無効にできません。
ネットワーク MTU
ネットワーク接続の最大転送単位 (MTU) は、その接続を介して転送できる最大のパケットサイズです。MTU には IP ヘッダーとペイロードのサイズが含まれますが、イーサネットヘッダーのサイズは含まれません。
GWLB MTU の制限:
GWLB がサポートする最大パケットサイズは 1500 バイトです。したがって、1500 バイトを超えるパケットは破棄され、転送されません。
ネットワーク仮想デバイスの MTU 設定:
GWLB インスタンスは、IP トラフィックをネットワーク仮想アプライアンス (NVA) に転送する前に、Geneve ヘッダーでカプセル化します。この Geneve カプセル化により、元のパケットに 68 バイトのオーバーヘッドが追加されるため、最大 1500 バイトの元のパケットを適切に処理するには、次のことを確認する必要があります。
NVA がデプロイされている ECS インスタンスでジャンボフレームを有効にする必要があります。
NVA のネットワークインターフェースの MTU は、少なくとも 1568 バイトに設定する必要があります。
この MTU 値は、NVA のイメージ自体から設定する必要があります。手順については、アプライアンスの公式ドキュメントまたはベンダーのガイドをご参照ください。
GWLB インスタンスが IP トラフィックを Geneve ヘッダーでカプセル化してネットワーク仮想デバイスに転送する場合、元のパケットに 68 バイトが追加されます。最大 1500 バイトのパケットを処理できるように、ネットワーク仮想デバイスの MTU を少なくとも 1568 バイト (元のパケットサイズ 1500 バイト + Geneve ヘッダーカプセル化 68 バイト) に設定することを推奨します。
IP フラグメンテーション:
GWLB は IP フラグメンテーションをサポートしていません。元のパケットサイズが 1500 バイトを超える場合、転送のために小さなセグメントに分割することはできません。
パス MTU 検出 (PMTUD):
GWLB はフラグメンテーションが必要であることを示す ICMP メッセージを生成しないため、PMTUD はサポートされていません。
接続アイドルタイムアウト
接続アイドルタイムアウトは、ネットワーク接続が閉じられる前にアイドル状態 (データが転送されない状態) でいられる最大時間です。GWLB の場合、アイドルタイムアウトの動作は、フローの スケジューリングアルゴリズムとトラフィックの種類によって異なります。
TCP トラフィックの処理
フロースケジューリングアルゴリズムが 5 タプルハッシュの場合:
GWLB は TCP 接続の状態をアクティブに追跡します。接続がタイムアウト期間中アイドル状態のままである場合、接続は閉じられます。その後、GWLB インスタンスは後続のパケットを新しいフローとして、場合によっては別のバックエンドサーバーにルーティングします。閉じられた接続に関連するトラフィックはすべて破棄されます。
アイドルタイムアウトのデフォルトは 350 秒です。ビジネスニーズに応じて、リスナー設定でこの値を 60 秒から 6000 秒の範囲でカスタマイズできます。
TCP 接続のアイドルタイムアウトを適切に設定することで、リソース管理と接続の信頼性を最適化できます。
アイドルタイムアウトを長くする:これは、長期間持続する接続 (金融取引、データベースの対話、ERP システムなど) を必要とするシナリオや、ファイアウォールなどのバックエンド NVA のタイムアウト設定と合わせる場合に適しています。これにより、GWLB による接続の早期切断を防ぎ、サービスの中断を回避できます。例:バックエンドのファイアウォールのアイドルタイムアウトが 3,600 秒の場合、GWLB のアイドルタイムアウトを少し長く (例:3,700 秒) 設定する必要があります。
アイドルタイムアウトを短くする:これは、短時間のトラフィックや、リソースを迅速に解放する必要があるシナリオ (バースト的なリクエスト、頻繁にアクセスされないサービスなど) に最適です。これにより、非アクティブな接続をタイムリーに解放し、リソース消費を削減できます。
説明アイドルタイムアウトに達する前に TCP 接続がアクティブに閉じられた (例:FIN または RST パケットで) ことを GWLB が検出した場合、接続の状態情報を直ちに削除します。
フロースケジューリングアルゴリズムが 2 タプルまたは 3 タプルハッシュの場合:
GWLB は、2 タプル (送信元 IP、宛先 IP) または 3 タプル (送信元 IP、宛先 IP、プロトコル) に基づいてフローを識別し、同じフローからのパケットが一貫して同じバックエンドサーバーに転送されるようにします。アイドルタイムアウト期間中にデータが転送されない場合、状態はクリアされます。その後、後続のパケットは新しいフローとして扱われ、別のバックエンドサーバーにルーティングされる場合があります。
アイドルタイムアウトはデフォルトの 350 秒に固定されており、変更することはできません。
非 TCP トラフィックの処理
UDP などの非 TCP トラフィックはコネクションレスプロトコルですが、GWLB はスケジューリングアルゴリズムに基づいてフローの状態を維持し、同じフローからのパケットが一貫して同じバックエンドサーバーに転送されるようにします。アイドルタイムアウト期間中にデータが転送されない場合、状態はクリアされ、後続のパケットは新しいフローとして扱われます。
すべての非 TCP トラフィックのアイドルタイムアウトは 120 秒に固定されており、変更することはできません。
トラフィック処理モード
デフォルトでは、GWLB インスタンスのトラフィック処理モードは ロードバランシングです。これは、GWLB が GWLB エンドポイントからトラフィックを受信すると、そのトラフィックをバックエンドサーバーに転送して処理することを意味します。
ネットワークの緊急事態、ネットワーク問題の診断、またはネットワーク仮想アプライアンス (NVA) のアップグレードやメンテナンス中に、GWLB に関連付けられたバックエンド NVA が利用できない場合、GWLB のトラフィック処理モードを バイパスに変更できます。このモードでは、GWLB が GWLB エンドポイントからトラフィックを受信すると、トラフィックはバックエンド NVA に転送されずに直接 GWLB エンドポイントに返され、サービスが中断されないようにします。
デフォルトでは、トラフィック処理モードは利用できません。この機能を使用するには、アカウントマネージャーに連絡して有効化を申請してください。
トラフィック処理モード | ロードバランシング | バイパス |
GWLB の動作 | GWLB が GWLB エンドポイントからトラフィックを受信すると、そのトラフィックをバックエンドサーバーに転送して処理します。 | GWLB が GWLB エンドポイントからトラフィックを受信すると、トラフィックはバックエンドサーバーに転送されずに直接 GWLB エンドポイントに返されます。 |
ネットワーク図 | ||
利用シーン | デフォルトモード。このモードでは、サードパーティのファイアウォールがビジネストラフィックを適切に処理します。 | 主にネットワークおよびサードパーティのファイアウォールのメンテナンス中に使用されます。
|
備考 | - |
|
コンソール
GWLB コンソールのインスタンス詳細ページで、トラフィック処理モードに対応する 変更をクリックし、トラフィック処理モードを切り替えます。
API
UpdateLoadBalancerAttribute API で TrafficMode パラメーターを設定することで、GWLB のトラフィック処理モードを切り替えることができます。
TrafficMode パラメーターの列挙値:
LoadBalance (デフォルト)
ByPass
GWLB の現在のトラフィック処理モードをクエリするには、以下をご参照ください。
GWLB をバイパスモードに切り替える前に、バックエンド NVA が機能しないことによるリスクを理解し、受け入れることを確認してください。
GWLB をロードバランシングモードに切り替える前に、ビジネストラフィックがステートフルプロトコルで転送される場合は、既存の接続が中断されないように、バックエンド NVA (ファイアウォールなど) を GWLB と連携するように設定する必要があります。
動作原理:
TCP 3 ウェイハンドシェイク:TCP 接続を確立するには、通常 3 ウェイハンドシェイクが必要です。このプロセスには、クライアントが SYN セグメントを送信し、サーバーが SYN-ACK (Synchronize-Acknowledge) セグメントで応答し、クライアントが ACK (Acknowledge) セグメントを送信することが含まれます。
GWLB がバイパスモードの場合、リクエストは GWLB によって直接サービスアプリケーションに転送されます。一方、ロードバランシングモードでは、GWLB はリクエストをバックエンド NVA に転送してフィルタリングしてから、サービスアプリケーションに転送します。この場合、バックエンド NVA が接続を確立または識別するために SYN セグメントを必要とする場合、既存の接続で転送されたパケットが NVA に到達すると、そのセッション状態を識別できません。これにより、接続は中断されますが、新しい接続には影響しません。既存の接続が中断されないようにするには、NVA で SYN セグメントなしの TCP セッションを有効にする必要があります。
設定例:FortiGate ファイアウォールの場合、ファイアウォールポリシーで
tcp-session-without-synを有効にします。詳細については、特定のファイアウォールベンダーが提供する公式ドキュメントをご参照ください。