가용성을 높이기 위해 여러 가용성 영역에 걸쳐 배포하는 동안 Azure Firewall을 구성할 수 있습니다.
이 기능을 사용하면 다음과 같은 시나리오가 가능합니다.
- 99.99%의 가동 시간 가용성을 늘릴 수 있습니다. 자세한 내용은 Azure Firewall SLA(서비스 수준 계약)를 참조하세요. 99.99% 작동 시간 SLA는 둘 이상의 가용성 영역을 선택할 때 제공됩니다.
- 또한 서비스 표준 99.95% SLA를 사용하여 근접한 이유로 Azure Firewall을 특정 영역에 연결할 수도 있습니다.
Azure Firewall 가용성 영역에 대한 자세한 내용은 SKU별 Azure Firewall 기능을 참조하세요.
Azure Firewall에서 가용성 영역 구성
배포 중에 가용성 영역을 사용하도록 Azure Firewall을 구성하여 가용성 및 안정성을 향상시킬 수 있습니다. 이 구성은 Azure Portal, Azure PowerShell 또는 기타 배포 방법을 사용하여 수행할 수 있습니다.
Azure Portal 사용
- 기본적으로 Azure Portal은 새 Azure Firewall을 만들 때 특정 가용성 영역을 선택하는 옵션을 제공하지 않습니다. Azure Firewall은 기본적으로 영역 중복으로 배포되며 영역 중복 요구 사항을 준수합니다.
API 사용
- 백 엔드는 기본적으로 방화벽을 영역 중복으로 자동으로 구성하므로 배포 중에 영역을 지정하지 않는 것이 좋습니다.
- API를 통해 배포하는 동안 특정 영역이 제공되면 지정된 영역이 적용됩니다.
Azure PowerShell 사용
Azure PowerShell을 사용하여 가용성 영역을 구성할 수 있습니다. 다음 예제에서는 영역 1, 2 및 3에서 방화벽을 만드는 방법을 보여 줍니다.
영역을 지정하지 않고 표준 공용 IP 주소를 만들면 기본적으로 영역 중복으로 구성됩니다. 표준 공용 IP 주소는 모든 영역 또는 단일 영역과 연결할 수 있습니다.
공용 IP 주소가 다른 영역에 있는 동안에는 방화벽을 한 영역에 배포할 수 없다는 점에 유의해야 합니다. 그러나 특정 영역에 방화벽을 배포하고 영역 중복 공용 IP 주소와 연결하거나 근접을 위해 동일한 영역에 방화벽과 공용 IP 주소를 모두 배포할 수 있습니다.
$rgName = "Test-FW-RG"
$vnet = Get-AzVirtualNetwork `
-Name "Test-FW-VN" `
-ResourceGroupName $rgName
$pip1 = New-AzPublicIpAddress `
-Name "AzFwPublicIp1" `
-ResourceGroupName "Test-FW-RG" `
-Sku "Standard" `
-Location "eastus" `
-AllocationMethod Static `
-Zone 1,2,3
New-AzFirewall `
-Name "azFw" `
-ResourceGroupName $rgName `
-Location "eastus" `
-VirtualNetwork $vnet `
-PublicIpAddress @($pip1) `
-Zone 1,2,3
제한점
- 가용성 영역이 있는 Azure Firewall은 가용성 영역을 제공하는 지역에서만 지원됩니다.
- 용량 제약 조건으로 인해 영역 제한이 있는 지역에서는 영역 중복 방화벽 배포가 실패할 수 있습니다. 이러한 경우 단일 영역 또는 사용 가능한 영역에 방화벽을 배포하여 배포를 진행할 수 있습니다.
- 영역 제한은 Azure Firewall 알려진 문제 페이지에 설명되어 있습니다.
가용성 영역을 구성하여 더 높은 가용성을 달성하고 네트워크 보안 인프라의 복원력을 높일 수 있습니다.