クラウド技術仕様/制限値（ロードバランサー（L4））

【重要なお知らせ】サービス統合に基づくサービス名称の読み替えのお願い（2024年4月1日）

2024年4月1日をもって、「ニフクラ」は、「FJcloud-V」に統合し、名称を変更しました。
「ニフクラ」「NIFCLOUD」「nifcloud」は、「FJcloud-V」に読み替えていただきますようお願いいたします。

ニフクラユーザーガイド

クラウドトップ>ネットワーク>技術仕様/制限値>ロードバランサー（L4）

ニフクラロードバランサー（L4）

ニフクラロードバランサー（L4）の技術仕様/制限値について記しています

仕様一覧

冗長化	装置切り替わりにより実施。切り替わり後も割り当てIPは維持されます。
ロードバランサー名	英数字1～15文字が利用可能
対応レイヤー	トランスポート層（レイヤー4）
バランスポリシー（選択可能）	ラウンドロビン／リーストコネクション
ヘルスチェック方式（選択可能）	ICMP（IPレベルのチェック） TCP（ポートレベルのチェック）
ヘルスチェックPING間隔の設定範囲	5～300秒
ヘルスチェックタイムアウトまでのヘルスチェック回数の設定範囲 ※1	1～10回
アクセス制御	アクセス元IPアドレス/CIDRの制限（フィルター機能） 30個
作成可能なロードバランサー数	リージョンごとに6個×ゾーン数 ※各リージョンのゾーン数は「リージョン／ゾーン」ページにてご確認ください。
グローバルIP数	ロードバランサー1つにつき1個
ポート設定数	ロードバランサー1つにつき3個
対応インターネットプロトコル	IPv4／IPv6 ※暗号ポリシー｢ats｣はIPv4のみ利用可能です。
暗号ポリシー（選択可能）※6	standard／ats
対応暗号化SUITE（対応プロトコル） standard（TLS1.0～1.2）	TLS_RSA_WITH_RC4_128_SHA TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA256
対応暗号化SUITE（対応プロトコル） ats（TLS1.0～1.2）	TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
帯域（選択可能）※2、※3、※4、※5	10Mbps／20Mbps／30Mbps／40Mbps／ 100Mbps／200Mbps／300Mbps／400Mbps／500Mbps／ 600Mbps／700Mbps／800Mbps／900Mbps／1,000Mbps／ 1,100Mbps／1,200Mbps／1,300Mbps／1,400Mbps／1,500Mbps／ 1,600Mbps／1,700Mbps／1,800Mbps／1,900Mbps／2,000Mbps
共有可能なニフクラID数	10個
メモ	全半角40文字以内で保存可能

※1 ロードバランサー（L4）のヘルスチェックについてを参照ください。
※2 帯域は、複数コネクションでの最大帯域となっております。
　　単一のコネクションではご契約の帯域を使い切れない場合もございます。
※3 北米リージョンは、400Mbpsまでの提供となります。
※4 設定した帯域を超えた場合、既存の振り分けコネクションは維持されますが、流量超過分の通信はコネクションの有無にかかわらず通信すべてがドロップ対象となります。
　　あらかじめ予想される通信量より余裕をもった帯域値をご選択いただくことをお勧めいたします。
※5 ニフクラのロードバランサーの帯域については、1Mbps = 1000kbpsでの表記となります。
※6 暗号化SUITEとして、standard、atsから選択が可能です。
　　Apple社のAppStoreでアプリケーションを公開する必要がある場合はatsを選択してください。

ロードバランサーからのヘルスチェックは、下記のIPアドレスから行われます。
このため負荷分散先のサーバーとロードバランサーが通信できるよう、各サーバーについて、下記アドレスからのアクセスを許可するよう設定してください。

許可設定対象アドレス（ロードバランサー機器）

リージョン／暗号化ポリシー	許可設定対象アドレス
east-1／standard	175.184.41.125、175.184.41.120/30 111.171.200.126、175.184.41.126 111.171.200.96/28、175.184.41.116/30 111.171.200.125
east-1／ats	125.1.78.80/31、125.1.78.82 125.1.78.96/28
east-2／standard	103.233.199.101、103.233.199.112/30 103.233.199.102、103.233.199.108/30
east-3／standard	116.118.235.5、116.118.235.6 116.118.235.8/29
jp-east-4／standard	157.112.104.16/31、157.112.104.32/28
west-1／standard	210.131.4.16/28
west-1／ats	222.158.244.16/31、222.158.244.18 222.158.244.32/28
jp-west-2／standard	220.209.51.5、220.209.51.6 220.209.51.8/29
jp-west-2／ats	220.209.51.69、220.209.51.70 220.209.51.72/29
us-east-1／standard	67.214.154.200/29、67.214.154.195 67.214.154.196
us-east-1／ats	148.57.128.16/30、148.57.128.24/30 148.57.128.28/31

FAQ：ロードバランサー（L4）を利用するにあたり、サーバー側で許可すべきアドレスを教えてください。

ロードバランサー（L4）のヘルスチェックについて　

サーバーからの応答時間がタイムアウトを超えた場合にサーバーをロードバランサーから切り離します。
タイムアウトの時間は下記の通り設定されます。
- サーバーからの応答時間がタイムアウトを超えた場合にサーバーをロードバランサーから切り離します。
  - サーバーを接続後、ロードバランサーからサーバーに対する最初のヘルスチェックが完了するまでは、接続したサーバーが停止中であったり通信に異常がある場合でもロードバランサーからサーバーに通信が振り分けられる可能性があります。
  - ヘルスチェック完了までに要する時間はサーバーの状態及びヘルスチェックに関する設定に依存します。
- タイムアウト時間は「ヘルスチェック間隔 x タイムアウトまでのヘルスチェック回数 + 1」（秒）の値となります。
- 例:ヘルスチェック間隔:10（秒）、タイムアウトまでのヘルスチェック回数:2（回）の場合のタイムアウト値
  10 * 2 + 1 = 21（秒）

ロードバランサー（L4）からサーバーを切り離した後の挙動について

その時点で張られているセッションについては、サーバー、クライアント間で切断するまで維持されます。

ロードバランサーオプション設定

SSLアクセラレーター

通信データの暗号化・複号化処理を専門に行う装置です。
今まで利用者がサーバーごとに適用していたSSL証明書を一括してロードバランサーにて適用することが可能になり、サーバーの処理負荷も軽減できます。

※SSLアクセラレーターを利用するには、あらかじめ、コントロールパネルより新たにSSL証明書を作成しておく必要があります。
※お客様がアップロードされたSSL証明書については、下記条件のみSSLアクセラレーターに設定可能です。

証明書・CA（中間証明書）の条件
- 証明書・キー(秘密鍵) の鍵長が2048bit 以下であること
- CA（中間証明書）の鍵長が4096bit 以下であること

※SSLアクセラレーターで使用するSSL証明書を選択するときは、同じリージョンでのみ選択可能です。
※ニフクラの証明書から作成した証明書の場合、数量「無制限」として作成した証明書以外は使用できません。
※アップロードした証明書については、数量「無制限」の証明書の確認をお客様でご確認いただく必要がございますので、ご利用の際はご注意ください。

SSLセキュリティポリシー

ロードバランサー（L4）でSSLアクセラレーターのご利用のお客様に対して、クライアントとロードバランサー間のSSLネゴシエーションでサポートされるプロトコルと暗号化SUITEを提供いたします。
提供されるプロトコルと暗号化SUITEとプロトコルの組み合わせは、当社で事前に定義されたセキュリティーポリシーのテンプレートのみを提供いたします。
変更する手順につきましては、以下をご確認ください。
操作方法ガイド：ロードバランサーの設定変更

SSLセキュリティポリシーのテンプレート

ロードバランサー（L4）で提供される暗号化タイプごとのSSLセキュリティポリシーのテンプレート一覧になります。
テンプレートが選択されていない場合は、暗号化タイプごとの初期テンプレートが適応されます。

【暗号化タイプ：standard】

テンプレート／有効プロトコル	暗号化SUITE
初期テンプレート／TLS1.0～1.2	TLS_RSA_WITH_RC4_128_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA256
Standard Ciphers A ver1／TLS1.0～1.2	TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA256
Standard Ciphers B ver1／TLS1.0～1.2,SSL3.0	TLS_RSA_WITH_RC4_128_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA256
Standard Ciphers C ver1／TLS1.0～1.1	TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA
Standard Ciphers D ver1／TLS1.2	TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA256

【暗号化タイプ：ats】

テンプレート／有効プロトコル	暗号化SUITE
初期テンプレート／TLS1.0～1.2	TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
Ats Ciphers A ver1／TLS1.0～1.1	TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Ats Ciphers B ver1／TLS1.2	TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
Ats Ciphers C ver1／TLS1.2	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
Ats Ciphers D ver1／TLS1.0～1.2	TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
Ats Ciphers E ver1／TLS1.3	TLS_AES_128_GCM_SHA256 TLS_AES_256_GCM_SHA384

※提供されているテンプレートの有効プロトコル・暗号化SUITEについては、当社のセキュリティ判断により変更される場合がありますのでご了承ください。
※本ページの内容は、2022年5月26日時点の情報となります。

セッション固定

ソースIPアドレスを元にセッションをサーバーに固定します。

固定化の方式	ソースIPアドレス
セッション保持時間	3～60分
設定範囲	設定したロードバランサーの1ポートに対して、有効・無効を設定

Sorryページ

すべてのサーバーのヘルスチェックが確認できなくなった場合に、当社で用意した定型メッセージを表示します。

待ち受けポート	HTTP（80/tcp）
レスポンスコード（選択可能）	Sorryページ表示時のHTTPレスポンスコード（200・503）
設定範囲	設定したロードバランサーの1ポートに対して、有効・無効を設定ただし、HTTP（80/tcp）でのみ設定可能

※Sorryページは、待ち受けポートがHTTP（80/tcp）の場合のみ利用できます。
※Sorryページの表示内容を変更することはできません。

注意事項

リージョン・ゾーンごとの制限についてはゾーン別機能対応表にてご確認ください。
- ゾーン別機能対応表：ネットワーク
- 北米リージョン機能対応表：ネットワーク
外部ネットワークからの負荷分散にのみご利用いただけます。プライベート側のネットワークにおけるバランシングには対応しておりません。
ロードバランサーを設定した場合、各サーバーでのアクセスログには、ロードバランサーのIPアドレスが送信元アドレスとして記録されます。
http(80)、https(443)且つSSLアクセラレーターを利用してのアクセス(80)の場合、ヘッダー情報「X-Forwarded-for」に送信元のIPアドレスの情報が付与されますので、送信元を特定したい場合はそちらの情報をご利用ください。
- SSLアクセラレーターがOFFの場合に、ロードバランサー経由でhttpsにてアクセスしてもX-Forwarded-Forは付与されません。
ニフクラ内のサーバー以外には、ご利用いただけません。
ロードバランサーに追加するサーバーは「グローバルIP」を持つ必要があります。
ロードバランサーにサーバーを追加するときは、同じリージョン内でのみ選択可能です。
サーバーに、IPv6を割り当てることはできません。
ロードバランサーの設定変更をした場合、既存セッションは破棄されます。
ロードバランサー（L4）ではL4層の負荷分散が可能です。アクセス先のURLに含まれるドメイン名やパス等に応じて負荷分散条件を設定するL7層の負荷分散はできません。