TL

Cloud Service

ロードバランサ

OCI のロードバランサの使い分け早見。L7 のルーティング・TLS 終端は Load Balancer、超低遅延・送信元 IP 保持の TCP/UDP は Network Load Balancer、グローバルな広域振り分けは DNS Traffic Management、エッジ配信+WAF は WAF エッジポリシーで担う。

基礎
最終更新: 2026-06-04

ひと目で使い分け

OCI のロードバランシングは「L7 / L4 / グローバル(DNS)/ エッジ」で担当サービスが分かれます。まず**レイヤ(L7 か L4 か)スコープ(リージョン内かグローバルか)**で当たりをつけます。

やりたいこと選ぶもの
HTTP/HTTPS をパス・ホストで振り分け(リージョン内・L7)Load Balancer(LBaaS)
L7 で TLS 終端・Cookie でセッション維持Load Balancer(LBaaS)
TCP/UDP を超低遅延で分散・送信元 IP を保持(L4)Network Load Balancer(NLB)
DNS レベルで複数リージョン間を振り分け/フェイルオーバーDNS Traffic Management(ステアリング)
世界中へエッジキャッシュ配信+L7 防御WAF エッジポリシー

詳細比較(L7 と L4)

リージョン内の主役は Load Balancer(L7)Network Load Balancer(L4) です。前者はリクエストの中身を解釈するリバースプロキシ型、後者はフロー(コネクション)をそのまま高速転送するパススルー型という根本的な違いがあります。

観点Load Balancer(L7)Network Load Balancer(L4)
レイヤL7(HTTP/HTTPS/TCP)L4(TCP/UDP/ICMP)
方式リバースプロキシ(中身を解釈)パススルー(フローを直接転送)
ルーティングパス/ホスト/ヘッダ(ルールセット・パスルートセット)フローハッシュで分散
レイテンシプロキシ分のオーバーヘッドあり極小(超低遅延・高スループット)
送信元 IP保持しない(X-Forwarded-For 付与)保持できる(preserve source IP)
TLS 終端可(証明書は OCI Certificates 連携)原則パススルー(終端しない)
WAF可(前段に OCI WAF を連携)不可(L7 側で対処)
セッション維持Cookie ベースのスティッキー送信元 IP ベース(フロー単位)
帯域モデルFlexible シェイプ(最小〜最大 Mbps)—(LB 自体は無料)

グローバル分散とエッジ(DNS と WAF)

複数リージョンをまたぐ広域分散は、OCI では専用のグローバル LB ではなく DNS Traffic Managementで行います。エッジでのキャッシュ配信+L7 防御は WAF エッジポリシーが担当します。

観点DNS Traffic ManagementWAF エッジポリシー
動作レイヤDNS(応答する宛先を切り替える)L7(エッジのリバースプロキシ)
クライアント接続先返ってきた IP へ直接接続最寄りエッジノードに終端→オリジンへ
振り分け方式Failover/Load Balancer/Geolocation/ASN/IP プレフィックスルーティング不要(キャッシュ+防御が主目的)
キャッシュ/CDNなしあり(エッジキャッシュ)
TLS 終端 / WAF不可(DNS のみ)可(エッジで TLS 終端・WAF 評価)
フェイルオーバー速度TTL に依存(キャッシュ分の遅延)速い(ヘルス連動でオリジン切替)
死活監視Health Checks 連動オリジングループのヘルスで切替

選び方

  • Web/API をパス・ホストで振り分け、TLS 終端、リージョン内 L7Load Balancer(LBaaS / Flexible シェイプ)
  • ゲーム/IoT/金融など超低遅延・送信元 IP 保持・TCP/UDP の高速転送Network Load Balancer(L4)
  • DNS レベルで複数リージョン間フェイルオーバー/最寄り誘導(プロキシ不要)DNS Traffic Management(ステアリングポリシー)
  • 世界中へ高速エッジ配信+L7(OWASP/Bot/レート制限)防御WAF エッジポリシー
  • API の認証・流量制限・変換まで欲しい(LB ではなく API ゲートウェイ)API Gateway
多層で組み合わせるのが定石

1 つに絞る必要はありません。インターネット → WAF エッジポリシー(エッジ配信/WAF)→ Load Balancer(リージョン内 L7)→ バックエンドプールのように重ね、複数リージョンへの広域振り分けだけ DNS Traffic Management(apex は ALIAS で LB へ) に任せるのが大規模構成の王道です。

L7 と L4 を取り違えない

パス/ホストルーティング・TLS 終端・WAF = Load Balancer(L7)TCP/UDP・超低遅延・送信元 IP 保持 = Network Load Balancer(L4)。HTTP の中身でルーティングしたいのに L4(NLB)を選ぶ、あるいは単なる TCP 分散に L7 プロキシを使ってオーバーヘッドを背負う、というミスマッチが頻出です。

試験・面接のひっかけ
  • OCI にはロードバランサが L7(Load Balancer)/ L4(Network Load Balancer)の 2 系統しかない。AWS のような GWLB 相当(アプライアンス挿入専用 LB)は存在しないので、3 択で問われたら惑わされない
  • L7 の Load Balancer は Flexible シェイプが標準(最小帯域ぶんは常時課金+最大まで使用量)。旧来の 100/400/8000 Mbps 固定シェイプから移行済み。Network Load Balancer 自体は無料(付随リソースのみ課金)
  • 送信元 IP を保持したいなら Network Load Balancer。L7 の Load Balancer は X-Forwarded-For で渡す
  • TLS 終端は Load Balancer で行い、証明書は OCI Certificates で集中管理(ACM 相当)。WAF は Load Balancer の前段に付ける(NLB には直接付けられない)
  • apex(example.com)に CNAME は不可。LB へ apex を向けるなら DNS の ALIAS レコードを使う
  • グローバルな広域振り分けは LB ではなく DNS Traffic Management。フェイルオーバーの体感速度は TTL に左右される
  • 冗長化は複数の可用性ドメイン(AD)/フォルトドメイン(FD)ヘルスチェック。単一 AD リージョンでも FD で耐障害性を担保
アンチパターン

WAF エッジポリシーや Load Balancer を入れても、オリジン(バックエンドのインスタンスや Object Storage)が公衆インターネットに直接到達可能なままでは、攻撃者は前段を迂回してオリジンを直撃できます。バックエンドはプライベートサブネットに置き、NSG/セキュリティリストでエッジ・LB からのアクセスのみ許可して、必ず前段を唯一の入口にしてください。TLS 証明書を各バックエンドに配って終端させるのも NG で、LB で終端し OCI Certificates で集中管理するのが正解です。

関連: OCI Load Balancer / OCI DNS(Traffic Management) / OCI CDN(WAF エッジ配信) / OCI API Gateway

OCI Service

ロードバランサを実務で読む

TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。

解決すること

cheatsheets

比較で見る軸

クラウド: OCI / カテゴリ: cheatsheets / 難易度: basic

導入後に効く点

導入後の運用手順、権限、監視、更新方法まで含めて評価します。

先に潰すリスク

サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。

数字・仕様の読み方
クラウド
OCI
カテゴリ
cheatsheets
難易度
basic
関連資格
設計柱

判断チェックリスト

  • 自社の用途が「cheatsheets」に近いか確認する。
  • 注意点の「サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。」を運用で吸収できるか確認する。
  • 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
  • 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
  • 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。

次に確認する観点

cheatsheets