La distinction de couche OSI qui compte toujours
Le concept de répartition de charge est simple : distribuer les requêtes entrantes sur plusieurs instances de service pour qu'aucun serveur ne soit submergé et que l'application reste disponible. Ce qui est intéressant, c'est la manière dont vous prenez cette décision de distribution. La division la plus conséquente se situe entre Layer 4 et Layer 7.
Layer 4 Load Balancing fonctionne sur la couche transport du modèle OSI — TCP et UDP. Le load balancer voit l'IP source, l'IP de destination et les ports d'une connexion ; rien de plus. Il prend sa décision de distribution à partir de ces champs d'en-tête puis fait passer les octets sans inspecter la charge utile. Le protocole d'application peut être HTTP, MySQL, Kafka ou un protocole binaire personnalisé — le load balancer ne le sait pas et s'en moque.
Layer 7 Load Balancing fonctionne sur la couche application — HTTP, HTTPS, gRPC, WebSocket. Le load balancer analyse chaque requête, lit le chemin URL, les en-têtes, les cookies et la méthode, et prend des décisions de routage basées sur ce contenu. Il peut également transformer les requêtes au passage : compression, réécriture d'en-têtes, terminaison TLS, mise en cache.
Layer 7 est plus puissant que Layer 4 et plus coûteux que Layer 4. Le choix entre les deux dépend de la forme HTTP du protocole d'application et de la pertinence des capacités supplémentaires par rapport au coût par connexion.
Quand Layer 4 est le bon choix
Les scénarios où L4 est la bonne réponse partagent une propriété : analyser le contenu de l'application est inutile ou ne tient pas dans le budget.
Les protocoles non-HTTP sont l'exemple le plus clair de la catégorie. Pour les bases de données (MySQL, PostgreSQL), les files de messages (Kafka, RabbitMQ), le courrier électronique (SMTP) et les services TCP personnalisés, le load balancer n'a pas besoin de comprendre le contenu d'application — la distribution par port et taux de connexion fonctionne bien.
Les exigences de performance pure pointent également vers L4. La surcharge par connexion de L4 est la plus faible parce qu'il n'y a pas d'analyse d'application. Pour les services TCP à fort volume où chaque microseconde compte — plates-formes de trading sensibles à la latence, backends de jeux en temps réel, charges similaires — L4 est l'outil approprié.
Le chiffrement de bout en bout est un autre cas L4. Lorsque TLS doit se terminer dans l'application plutôt qu'au load balancer — mandat réglementaire, isolation multi-tenant, clés contrôlées par le client — L4 fait passer TLS de manière transparente. Le load balancer ne voit jamais le texte en clair.
Enfin, si une logique de distribution simple suffit, L4 fonctionne avec moins de surcharge opérationnelle. Si round-robin, hachage d'IP source ou least-connections suffisent et que le routage basé sur URL n'est pas nécessaire, L4 est à la fois plus léger et plus simple à raisonner.
Quand Layer 7 est le bon choix
Ce qui distingue L7, c'est sa capacité à prendre des décisions de routage et de transformation basées sur le contenu de l'application. Sans cette capacité, la plupart des applications web modernes ne fonctionneraient pas.
Le routage basé sur URL est le cas le plus courant. Envoyer différents chemins vers différents clusters de services — /api/v1/users vers un cluster, /api/v1/orders vers un autre, /static/* vers un CDN — n'est pas possible avec L4 car L4 ne voit pas les chemins.
Le routage basé sur en-tête ou cookie nécessite aussi L7. Tests A/B, fixation de version (X-Service-Version : 2.5 route vers un déploiement spécifique), affinité de session par ID de session d'application et routage par client via en-tête — tout cela exige de lire le contenu d'application.
La terminaison TLS est également un travail L7. SSL offload termine TLS au load balancer, libérant les services du travail cryptographique ; il permet la gestion centralisée des certificats ; il permet l'inspection WAF. La WAF a besoin de texte en clair pour voir les attaques ; cela n'arrive pas sans L7.
Les fonctionnalités conscientes de l'application — compression, mise en cache, réécriture de requêtes, health checks basés sur contenu (le service renvoie 200 sur /health, et n'accepte pas simplement une connexion) et rétrogradation HTTP/2 vers HTTP/1.1 pour les services hérités — nécessitent aussi L7.
L'observabilité au niveau application suit la même logique. Latence par endpoint, taux d'erreur par URL, détection de requêtes lentes — ces éléments nécessitent de voir les requêtes, pas les connexions. L7 expose ces données ; L4 ne voit que le niveau connexion.
Le point central est le suivant : si vous décidez sur la base du contenu d'application, L7 est obligatoire. Si vous ne décidez qu'au niveau connexion, L4 suffit.
Comparaison directe
| Dimension | Layer 4 | Layer 7 |
|---|---|---|
| Couche OSI | Transport (TCP/UDP) | Application (HTTP, HTTPS, gRPC, WebSocket) |
| Entrées de routage | IP source, IP destination, ports | URL, en-têtes, cookies, méthode, corps |
| Gestion TLS | Pass-through | Terminer ou pass-through |
| Surcharge par connexion | La plus faible | Plus élevée (analyse requise) |
| Algorithmes de distribution | Round-robin, hachage IP source, least-connections | Tous les algorithmes L4 plus routage basé sur contenu, pondération par URL |
| Intégration WAF | Impossible (pas de visibilité du contenu) | Native |
| Observabilité | Niveau connexion | Niveau requête |
| Cas d'usage typique | Proxy de base de données, jeux, RTMP, SMTP | Applications web, APIs, microservices |
Les déploiements modernes utilisent les deux
La décision est rarement « L4 ou L7 » pour toute une infrastructure. Elle se prend par application — parfois par listener.
Un schéma d'entreprise typique combine les deux modes. L7 en bordure pour le trafic HTTPS des utilisateurs ; L4 pour le trafic interne est-ouest où le protocole est nativement TCP et où le budget de latence est serré ; L7 à nouveau là où le trafic est-ouest passe par RPC sur HTTP, comme gRPC.
La question architecturale est de savoir si un seul déploiement de load balancer peut gérer les deux modes ou si l'organisation doit faire fonctionner des produits L4 et L7 séparés. L'approche par produits séparés était historiquement courante parce que L4 et L7 avaient des exigences d'implémentation différentes — L4 voulait un réseau kernel-bypass, L7 voulait une analyse HTTP riche. Les ADCs modernes ont comblé cet écart ; le même appareil gère les deux modes via une configuration par listener.
L'avantage opérationnel de les combiner est le même que pour toute consolidation : un produit à déployer, une surface d'observabilité, un ensemble de runbooks opérationnels, un chemin de mise à niveau. Pour les organisations qui faisaient auparavant fonctionner des produits L4 et L7 de fournisseurs séparés, la consolidation sur un seul ADC est souvent la plus grande simplification opérationnelle disponible.
Comment le TR7 Load Balancer gère les deux modes
Le Load Balancer (LB) de TR7 porte les modes L4 et L7 sur le même appareil via une configuration par listener. Un seul déploiement peut héberger ces listeners côte à côte : un listener L7 sur 443 gérant le trafic web HTTPS avec WAF et accélération SSL ; un listener L4 sur 5432 gérant les connexions PostgreSQL avec affinité IP source ; un autre listener L7 sur 8080 gérant les services gRPC internes avec mTLS. Tous configurés ensemble, partageant l'observabilité et un cycle de vie d'upgrade unique.
L'accélération matérielle s'applique aux deux modes. Les connexions L4 bénéficient du traitement de paquets kernel-bypass ; les connexions L7 bénéficient de la terminaison TLS déchargée et de l'analyse HTTP/2 / HTTP/3. Le même appareil physique peut porter des milliers de services TCP L4 simultanément à des milliers de sessions HTTPS L7 ; la limite est l'enveloppe matérielle, pas une licence ou un gate de fonctionnalité par mode.
Pour les organisations choisissant entre fournisseurs en 2026, la question « ce LB prend-il en charge à la fois L4 et L7 ? » n'est plus un différenciateur ; la plupart le font. Les différenciateurs sont l'histoire opérationnelle (un produit ou deux), l'histoire d'observabilité (unifiée ou divisée) et l'histoire de modernisation (HTTP/3, TLS 1.3, prise en charge de la cryptographie post-quantique). TR7 se positionne autour de ces trois axes ; la capacité L4 et L7 est l'entrée.
L4 + L7 sur une seule plateforme
TR7 Load Balancer porte les modes L4 et L7 sur le même appareil, avec accélération matérielle pour les deux. Une surface d'observabilité, un chemin de mise à niveau, les deux modes disponibles par listener.
Découvrir TR7 Load Balancer