🔥

Azure Firewallの可用性ゾーン設定およびVMとの通信について

2023/04/11に公開

モチベ

  • Azure Firewallにもゾーンの考え方がある
  • どういう挙動が想定されているのか整理をしたい

Azure Firewallの可用性ゾーン

  • Azure Firewallデプロイ時にAZ対応しているリージョンであればゾーンを選択可能
  • 1つだけ選ぶことも、複数選ぶことも可能

Availability Zones を使用すると、可用性が高まり 99.99% のアップタイムが実現します。 詳細については、Azure Firewall のサービス レベル アグリーメント (SLA) に関するページをご覧ください。 2 つ以上の可用性ゾーンを選択すると、稼働率 99.99% の SLA が提供されます。
サービス標準の 99.95% の SLA を使用して、近接性の理由から Azure Firewall を特定のゾーンに関連付けることもできます。
複数の可用性ゾーンにデプロイされるファイアウォールについては追加のコストは発生しません。 ただし、Availability Zones に関連する受信および送信データ転送については追加のコストが発生します。 詳細については、「帯域幅の料金詳細」をご覧ください。

https://learn.microsoft.com/ja-jp/azure/firewall/features#built-in-high-availability

SLA

  • AZなし:99.95%
    • ユーザ目線ではゾーンの概念がなく、確認もできない
    • 実際にはどこかのゾーンに展開され、ユーザから確認出来ない
  • 1つ選択:99.95%
    • 1つのゾーンのみで展開する
    • 可用性としては低くなる
    • VMが特定ゾーンにありネットワークのレイテンシやネットワーク課金を抑えるために利用する場合もある
  • 2つ以上選択:99.99%
    • 指定したゾーンに分散配置する
    • Azure Firewallの初期ノードは2インスタンスのため、スケーリングに合わせて分散されていく形になる

耐障害性

  • ノード障害については10秒以内に解消する想定だが、ゾーン障害の場合はAZを利用していないと利用不可となる

予期しない問題の場合は、新しいノードをインスタンス化して、障害が発生したノードを置き換えます。 新しいノードへの接続は、通常、障害発生時から 10 秒以内に再確立されます。

https://learn.microsoft.com/ja-jp/azure/firewall/firewall-faq#azure-firewall------------------------------

課金

  • Azure FirewallはAZを利用してもしなくても金額が変わらない(SLAはAZ利用したほうが上がるのでちょっと不思議)
  • ただし、2023/07から始まるAZ間の通信課金によって、コスト的にはAZを利用する方が高くなることが想定される

VMとの通信

  • VMとの通信を考えた時にいくつかの課金パターンがある

VMがゾーン指定の場合

  • Azure FirewallがAZを利用している場合、VMが利用するAzure FirewallのノードがVMと異なるゾーンにいる場合その間で課金が生じる
    • 例:ゾーン1のVMがゾーン2のAzure Firewallのノードを利用する
    • VMが利用するノードを明示的に指定することができないため、ここはuntouchable
  • Azure Firewallがゾーン無しの場合、実際にノードがデプロイされているゾーンとVMのゾーンが異なれば?課金が生じる可能性がある(要確認)

VMがゾーン指定でない場合

  • Azure Firewallがゾーン指定の場合、実際にノードがデプロイされているゾーンとVMのゾーンが異なれば?課金が生じる可能性がある(要確認)
  • Azure FirewallもVMもゾーン指定がない場合はゾーンを指定しないリソース同士の通信として扱われるため、ゾーン間の通信に対する費用は発生しない想定

おわり

  • AZ間の課金のところはまだ始まっていない部分なので、近々要確認といったところ
GitHubで編集を提案

Discussion