Azure Firewall は、デプロイ中に複数の可用性ゾーンにまたがるよう構成して、可用性を向上させることができます。
この機能により、次のシナリオが可能になります。
- 可用性を 99.99% アップタイムに増やすことができます。 詳細については、Azure Firewall サービス レベル アグリーメント (SLA) に関するページを参照してください。 99.99% アップタイム SLA は、複数の可用性ゾーンが選択されている場合に提供されます。
- また、サービス標準の 99.95% SLA を使用して、近接性の理由だけで Azure Firewall を特定のゾーンに関連付けることもできます。
Azure Firewall Availability Zones の詳細については、「 SKU 別の Azure Firewall 機能」を参照してください。
Azure Firewall で Availability Zones を構成する
デプロイ時に Availability Zones を使用するように Azure Firewall を構成して、可用性と信頼性を向上させることができます。 この構成は、Azure portal、Azure PowerShell、またはその他のデプロイ方法を使用して実行できます。
Azure Portal の使用
- 既定では、Azure portal には、新しい Azure Firewall の作成時に特定の Availability Zones を選択するオプションは用意されていません。 Azure Firewall は既定でゾーン冗長としてデプロイされ、ゾーン冗長の要件に従います。
API の使用
- 既定ではバックエンドによってファイアウォールがゾーン冗長として自動的に構成されるため、デプロイ時にゾーンを指定しないことをお勧めします。
- API を使用したデプロイ中に特定のゾーンが提供される場合は、指定されたゾーンが優先されます。
Azure PowerShell の使用
Azure PowerShell を使用して Availability Zones を構成できます。 次の例では、ゾーン 1、2、3 にファイアウォールを作成する方法を示します。
ゾーンを指定せずに標準のパブリック IP アドレスを作成すると、既定ではゾーン冗長として構成されます。 Standard パブリック IP アドレスは、すべてのゾーンまたは 1 つのゾーンに関連付けることができます。
パブリック IP アドレスが別のゾーンにある間は、ファイアウォールを 1 つのゾーンにデプロイできないことに注意してください。 ただし、特定のゾーンにファイアウォールをデプロイし、それをゾーン冗長パブリック IP アドレスに関連付けたり、ファイアウォールとパブリック IP アドレスの両方を同じゾーンに配置して近接性を高めることができます。
$rgName = "Test-FW-RG"
$vnet = Get-AzVirtualNetwork `
-Name "Test-FW-VN" `
-ResourceGroupName $rgName
$pip1 = New-AzPublicIpAddress `
-Name "AzFwPublicIp1" `
-ResourceGroupName "Test-FW-RG" `
-Sku "Standard" `
-Location "eastus" `
-AllocationMethod Static `
-Zone 1,2,3
New-AzFirewall `
-Name "azFw" `
-ResourceGroupName $rgName `
-Location "eastus" `
-VirtualNetwork $vnet `
-PublicIpAddress @($pip1) `
-Zone 1,2,3
制限事項
- Availability Zones を使用する Azure Firewall は、Availability Zones を提供するリージョンでのみサポートされます。
- 容量の制約によりゾーン制限があるリージョンでは、ゾーン冗長ファイアウォールのデプロイが失敗する可能性があります。 このような場合は、1 つのゾーンまたは使用可能なゾーンにファイアウォールをデプロイして、デプロイを続行できます。
- ゾーン制限については、 Azure Firewall の既知の問題 に関するページを参照してください。
Availability Zones を構成することで、高可用性を実現し、ネットワーク セキュリティ インフラストラクチャの回復性を高めることができます。