通常、ロード バランサはインライン モードまたはワンアーム モードのいずれかで展開されます。ワンアーム モードでは仮想サーバの送信元 NAT (SNAT) 構成が必要ですが、インライン モードでは必要ありません。
インライン トポロジ
インライン モードでは、ロード バランサはクライアントとサーバ間のトラフィック パスに配置します。ロード バランサで SNAT を使用しない場合は、クライアントとサーバを同じ Tier-1 論理ルーターのオーバーレイ セグメントに接続しないようにします。クライアントとサーバを同じ Tier-1 論理ルーターのオーバーレイ セグメントに接続する場合は、SNAT が必要です。
ワンアーム トポロジ
ワンアーム モードでは、ロード バランサはクライアントとサーバ間のトラフィック パスに配置しません。このモードでは、クライアントとサーバは任意の場所に配置できます。ロード バランサは、送信元の NAT (SNAT) を実行して、サーバからクライアントへのリターン トラフィックがロード バランサを通過するように強制します。このトポロジでは、仮想サーバで SNAT を有効にする必要があります。
ロード バランサは仮想 IP アドレスに送信されるクライアント トラフィックを受信すると、サーバ プール メンバーを選択してクライアント トラフィックを転送します。ワンアーム モードでは、ロード バランサはクライアントの IP アドレスをロード バランサの IP アドレスで置き換えることで、サーバの応答が常にロード バランサに送信されます。ロード バランサがその応答をクライアントに転送します。
[特殊な使用事例]:オーバーレイが使用されず、すべてが VLAN の場合でも、Tier-1 ワンアーム ロード バランサをホストする Edge ノードでオーバーレイを構成する必要があります。これは、Edge ノード間で高可用性を実現する場合に、Edge ノードで少なくとも 1 つのトンネル エンドポイントが稼動している必要があるためです。トンネルが稼動している場合、各 Tier-0 および Tier-1 ゲートウェイのアクティブ ロールまたはスタンバイ ロールを実行する Edge ノードが決まります。
Tier-1 サービス チェーン
- 入力方向 (Ingress)
DNAT - ファイアウォール - ロード バランサ
注:DNAT でファイアウォールの回避が構成されている場合、ファイアウォールはスキップされますが、ロード バランサはスキップされません。
- 出力方向
ロード バランサ - ファイアウォール - SNAT