LoginSignup
15
6
@testnin2(Shinobu Yasuda)inIBM

IBM Cloud: VPCのNetwork Load Balancer(NLB) とALB(Application Load Balancer)を比較してみた

Last updated at Posted at 2020-09-01

1. はじめに

IBM CloudのVPC環境で従来提供されていたVPC Load BalancerにL4レベルでのトラフィックを割り振るNLB(Network Load Balancer)が提供開始されました。
これにより、従来のVPC Load Balancer(proxyタイプ)はALB(Application Load Balancer)と呼ばれることになりました。この記事では、ALBとNLBの違いおよびNLBを実際に動かした結果について説明したいと思います。

こちらも参考に。
https://cloud.ibm.com/docs/vpc?topic=vpc-nlb-vs-elb&interface=ui&locale=en

2023/10/25 追記

NLBでSecurity Groupがサポートされるようになりました。
https://cloud.ibm.com/docs/vpc?topic=vpc-release-notes&locale=en
https://cloud.ibm.com/docs/vpc?topic=vpc-nlb-integration-with-security-groups&locale=en

2022/7/1 追記

NLBが同一Zone内のサーバーだけでなく、同一リージョン内の別Zoneのサーバーにも割り振り可能になりました。
(ただし、route modeは依然としてNLBと同一Zoneである必要があります)

2022/4/1 追記

2022/3/1 追記

2021/3/30 追記

2021/3/1 追記

2. ALBとNLBの比較

ALBとNLBの比較は、公式docsとしてはここに記載がありますが、もう少し私なりの解説と補足を入れて比較表を記載したいと思います。

NLB(Network Load Balancer) ALB(Application Load Balancer)
トランスポートレイヤー Layer-4 Layer-4, Layer-7
サポートされるプロトコル TCP, UDP TCP, HTTP, HTTPS
ネットワーク構成 Direct Server Return(DSR)方式

- Client -> NLB -> Server -> Clientという通信。

- ClientからNLB宛のパケットは、NLBでServer宛のアドレスに変換されてされてServerに届く。ServerからはNLBを経由せずに直接Clientに返る(パケットがServerから戻る際には、HypervisorでSource IPがNLBのIPに置き換えられる)。
- ClientとServerの間でTCPのセッションが張られる。		 Reverse Proxy方式

- Client -> ALB -> Server -> ALB -> Clientという通信。

- いったんClientとALBでTCPのセッションが張られたあと、別途ALBとServer間でTCPセッションが張られる。そのため、サーバーからは必ずALBにいったん戻される。
パケットレベルでのClient IPの保存 保存される(NLBではL4レベルでDNATしかしていない) 。 (Serverから見た接続元はあくまでALBなので)保存されないが、代替策あり。

HTTP/HTTPS通信であれば、ALBでHTTPヘッダの"X-Forwarded-For"にClient IPを含んでいるので、この情報で接続元を確認できる。
TCPアクセスの場合でも、バックエンドサーバーがProxy Protocolに対応していればClient IPを取得可能。 https://cloud.ibm.com/docs/vpc?topic=vpc-advanced-traffic-management&locale=en#proxy-protocol-enablement
アクセス制御 NLB自身にもSecurity Groupが実装されるようになった。クライアントのSource IPが保持されたままサーバーにパケットが到達するため、NLBもしくはサーバーのSecurity Groupで制御することが可能(2023/10/25)。 ALBのNetwork ACL/Security Groupを利用するか、サーバー側で制御(X-Forwaded-ForやProxy Protocolで取得したIPアドレスをアプリ側で制御)する。
SSL offload できない(SSL通信が必要であれば、サーバー側でSSL処理をする必要がある) できる(Frotnend ListenerがHTTPSの場合)
アクセス方式 FQDNもしくはIPアドレス

FQDNの名前解決先IPアドレスは一意に決まるので、必ずしもFQDNでアクセスする必要もない。		 FQDN

複数のALBインスタンスが作成され、負荷や障害に応じてIPアドレスが変わるため、IPアドレスベースでのアクセスは推奨されない。
Listener ポートおよびBackend ポート public NLB: 単一ポート(バックエンドポートには別のポートを利用可能)もしくは、範囲で指定可能(バックエンドポートにはそのまま同じ範囲のポートが使用される)。
private NLB: 単一ポート(バックエンドポートには別のポートを利用可能)		 単一ポートでのみ指定可能(バックエンドポートには別のポートを利用可能)。
HAの実現方式 1つのVIPをActive/Standbyで保護する。 複数のALBインスタンスがActive/Activeで稼働(利用されるIアドレスPも複数)
MZRサポート NLBインスタンスは単一Zoneに作成される。MZRで構成したい場合は、ZoneごとにNLBを作成した後に、NLBに割り振るGlobal Load Balancerが必要。 ALBインスタンスは複数のZoneにまたがって作成される。
Front-end listenerにおけるL7ポリシー制御 不可(そもそもHTTP/HTTPSが使えないので) 可能(HTTP/HTTPSの場合)
Back-end poolで指定可能なターゲットのサーバー 同一リージョン内の複数ZoneのVSIや物理サーバーに割り振り可能。ただし、(ターゲットサーバーが複数interfaceを持っていたとしても)primary interfaceにしか割り振れない。

CLI(ibmcloud is load-balancer-pool-member-create)では、ターゲットのインスタンスIDを指定する(IPアドレスを指定するのではない)。そのため、CLIでもターゲットとして同一VPC内のサーバーしか指定できない。これは、上述の通りNLBがDSRを実現する上で、戻りのパケットのSource IPをHypervisor上でNLBのIPに置き換える必要があるためであり、任意のアドレスを指定させてしまうとこのような実装を実現できないからだと思われる。		 同一Region内の複数ZoneのVSIおよび任意のIPアドレス(例えば物理サーバーや、Direct Link先にあるPowre Systems Virtual Serverや、Transit Gatewayの先のリソース)に対して割り振り可能。
割り振りポリシー Least Connections/Round robin/Weighted round robin Least Connections/Round robin/Weighted round robin
Back-end poolのヘルスチェック TCP/HTTP TCP/HTTP/HTTPS
Session Stickiness 可能(Source IP) 可能(Source IP, HTTP Cookie, APP Cookie)
load balancerの種類 Public/Private Public/Private
Sysdigによるモニタリング 可能 可能
AutoScale連携 不可 可能

3. 注文方法

特定のZoneおよびsubnetを指定しているのが特徴です。ALBと違って複数Zoneにまたがって配置されることはありません。
image.png
image.png

4. 設定

ALBと大差ないので、特に悩むところはないと思います。

4-1. Backend-pools(NLB -> Serverの部分を設定)

  • ヘルスチェック自体はTCPもHTTPも選択できる。
  • 別Zoneのサーバーは選択できなかった。

image.png

4-2. Front-end Listener(Client -> NLBの部分を設定)

image.png

4-3. Security Group

往々に忘れてしまうところですが、サーバーにとっての通信元はALBの場合にはALBインスタンス(つまりVPC内で定義したPrivate IP)ですが、NLBの場合はSource IPが保持されるためクライアントのIPになります。よって、クライアントからのアクセスを受けれるようにSecurity Groupで解放しておく必要があります。

5. テスト

$ curl -I  http://xxxxx.lb.appdomain.cloud:8081
HTTP/1.1 200 OK
Date: Tue, 01 Sep 2020 07:03:39 GMT
Server: Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips
Last-Modified: Sun, 30 Aug 2020 11:26:42 GMT
ETag: "153-5ae168f69f628"
Accept-Ranges: bytes
Content-Length: 339
Content-Type: text/html; charset=UTF-8
15
6
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
15
6