🔥
Azure Firewallの可用性ゾーン設定およびVMとの通信について
モチベ
- Azure Firewallにもゾーンの考え方がある
- どういう挙動が想定されているのか整理をしたい
Azure Firewallの可用性ゾーン
- Azure Firewallデプロイ時にAZ対応しているリージョンであればゾーンを選択可能
- 1つだけ選ぶことも、複数選ぶことも可能
Availability Zones を使用すると、可用性が高まり 99.99% のアップタイムが実現します。 詳細については、Azure Firewall のサービス レベル アグリーメント (SLA) に関するページをご覧ください。 2 つ以上の可用性ゾーンを選択すると、稼働率 99.99% の SLA が提供されます。
サービス標準の 99.95% の SLA を使用して、近接性の理由から Azure Firewall を特定のゾーンに関連付けることもできます。
複数の可用性ゾーンにデプロイされるファイアウォールについては追加のコストは発生しません。 ただし、Availability Zones に関連する受信および送信データ転送については追加のコストが発生します。 詳細については、「帯域幅の料金詳細」をご覧ください。
SLA
- AZなし:99.95%
- ユーザ目線ではゾーンの概念がなく、確認もできない
- 実際にはどこかのゾーンに展開され、ユーザから確認出来ない
- 1つ選択:99.95%
- 1つのゾーンのみで展開する
- 可用性としては低くなる
- VMが特定ゾーンにありネットワークのレイテンシやネットワーク課金を抑えるために利用する場合もある
- 2つ以上選択:99.99%
- 指定したゾーンに分散配置する
- Azure Firewallの初期ノードは2インスタンスのため、スケーリングに合わせて分散されていく形になる
耐障害性
- ノード障害については10秒以内に解消する想定だが、ゾーン障害の場合はAZを利用していないと利用不可となる
予期しない問題の場合は、新しいノードをインスタンス化して、障害が発生したノードを置き換えます。 新しいノードへの接続は、通常、障害発生時から 10 秒以内に再確立されます。
課金
- Azure FirewallはAZを利用してもしなくても金額が変わらない(SLAはAZ利用したほうが上がるのでちょっと不思議)
- ただし、2023/07から始まるAZ間の通信課金によって、コスト的にはAZを利用する方が高くなることが想定される
VMとの通信
- VMとの通信を考えた時にいくつかの課金パターンがある
VMがゾーン指定の場合
- Azure FirewallがAZを利用している場合、VMが利用するAzure FirewallのノードがVMと異なるゾーンにいる場合その間で課金が生じる
- 例:ゾーン1のVMがゾーン2のAzure Firewallのノードを利用する
- VMが利用するノードを明示的に指定することができないため、ここはuntouchable
- Azure Firewallがゾーン無しの場合、実際にノードがデプロイされているゾーンとVMのゾーンが異なれば?課金が生じる可能性がある(要確認)
VMがゾーン指定でない場合
- Azure Firewallがゾーン指定の場合、実際にノードがデプロイされているゾーンとVMのゾーンが異なれば?課金が生じる可能性がある(要確認)
- Azure FirewallもVMもゾーン指定がない場合はゾーンを指定しないリソース同士の通信として扱われるため、ゾーン間の通信に対する費用は発生しない想定
おわり
- AZ間の課金のところはまだ始まっていない部分なので、近々要確認といったところ
Discussion