Topik ini menjelaskan cara memigrasikan firewall VPC dari arsitektur aktif-aktif default ke arsitektur aktif-standby tertentu. Migrasi ini mengurangi latensi yang disebabkan oleh lalu lintas yang melintasi antar zona ketersediaan.
Contoh skenario
Misalnya, Anda membuat firewall VPC di wilayah Singapura dan memilih opsi Default (Auto-assigned) untuk zona ketersediaan primary dan secondary.
Secara default, firewall VPC menggunakan arsitektur aktif-aktif untuk pemulihan bencana. Dalam arsitektur ini, kluster Cloud Firewall tidak meneruskan lalu lintas berdasarkan kedekatan lokasi. Sebaliknya, lalu lintas secara acak diseimbangkan beban (load-balanced) antara dua zona ketersediaan tersebut.
Untuk mengatasi hal ini, VPC Firewall mendukung arsitektur aktif-standby. Arsitektur ini memprioritaskan pemrosesan lalu lintas di zona primary dan hanya menggunakan zona secondary untuk failover saat pemulihan bencana.
Jika Anda memiliki firewall VPC yang menggunakan arsitektur aktif-aktif, ikuti langkah-langkah dalam topik ini untuk memigrasikannya ke arsitektur aktif-standby.
|
Sebelum migrasi |
Setelah migrasi |
|
|
|
Perhatian
-
Untuk melakukan migrasi, Anda harus menonaktifkan, menghapus, lalu membuat ulang firewall VPC di wilayah yang ditentukan. Kebijakan kontrol akses yang sudah ada tetap dipertahankan selama proses ini.
-
Untuk CEN (Edisi Dasar), mengaktifkan atau menonaktifkan redirection traffic untuk firewall VPC akan menyebabkan gangguan routing selama beberapa detik.
Untuk CEN (Edisi Perusahaan), proses ini tidak menyebabkan gangguan routing.
Untuk mencegah lalu lintas satu arah terblokir selama proses tersebut, konfigurasikan kebijakan allow prioritas tinggi untuk lalu lintas ANY. Untuk informasi lebih lanjut, lihat Konfigurasikan kebijakan kontrol akses untuk firewall VPC.
-
Sebelum memulai, catat blok CIDR VPC dan vSwitch dari firewall VPC yang sudah ada. Informasi ini diperlukan untuk membuat ulang firewall tersebut.
-
Dalam arsitektur aktif-standby, terdapat ketergantungan antara zona ketersediaan primary dan secondary. Zona ketersediaan yang dapat dipilih terbatas pada opsi yang tersedia di konsol.
Migrasi CEN (Edisi Dasar) ke arsitektur aktif-standby
Untuk memigrasikan firewall VPC untuk instans CEN (Edisi Dasar) dari arsitektur aktif-aktif ke arsitektur aktif-standby di wilayah tertentu, Anda harus terlebih dahulu menonaktifkan dan menghapus semua firewall VPC yang terkait dengan instans CEN tersebut di wilayah itu, lalu membuatnya kembali.
Langkah 1: Nonaktifkan dan hapus firewall VPC
-
Masuk ke Konsol Cloud Firewall. Di panel navigasi sebelah kiri, klik Firewall.
-
Pada tab , klik Batch Disable.
-
Pada kotak dialog Batch Disable, pilih CEN Instance dan Region, lalu klik OK.
-
Setelah firewall dinonaktifkan, temukan aset di wilayah yang ditentukan dan klik Delete di kolom Actions untuk menghapus semua firewall VPC di wilayah tersebut.
Langkah 2: Buat firewall VPC
-
Di kolom Actions untuk instans CEN di wilayah yang ditentukan, klik Create.
-
Pada panel Create Firewall, klik One-click Check.
Untuk Router transit Edisi Dasar, Anda dapat menjalankan pemeriksaan diagnostik untuk memverifikasi apakah firewall VPC dapat diaktifkan. Setelah pemeriksaan selesai, Anda dapat melihat hasilnya di wizard Enable Diagnosis. Jika Anda sudah memahami prosesnya, Anda dapat melewati pemeriksaan ini dan langsung membuat firewall. Jika diagnosis gagal, lihat Penyebab dan solusi kegagalan pengaktifan Cloud Firewall untuk informasi lebih lanjut.
-
Konfigurasikan parameter seperti blok CIDR VPC firewall, zona ketersediaan primary dan secondary, instans vSwitch dan zona ketersediaan untuk VPC bisnis, serta pengaturan pencegahan intrusi.
Penting-
Untuk mengaktifkan arsitektur aktif-standby, atur Primary and Secondary Availability Zones di bagian Firewall VPC Configurations ke zona ketersediaan bisnis Anda. Namun, jika Availability Zone untuk vSwitches for Business VPCs berbeda dari primary zone, latensi lalu lintas masih dapat terjadi.
Jika bisnis Anda sensitif terhadap latensi, atur baik primary zone di bagian Firewall VPC Configurations maupun availability zone untuk vSwitches for Business VPCs ke zona ketersediaan bisnis primary Anda. Hal ini meminimalkan latensi.
-
Pengaturan pencegahan intrusi berlaku untuk semua instans jaringan dalam instans CEN yang sama.
-
-
Klik Start Creation untuk membuat firewall VPC.
-
Setelah firewall dibuat, ulangi langkah-langkah ini untuk VPC bisnis lainnya dalam instans CEN tersebut, pastikan zona ketersediaan vSwitch-nya sesuai dengan zona ketersediaan primary firewall.
-
Setelah semua VPC di wilayah tersebut dikonfigurasi, aktifkan firewall untuk semuanya di kolom Firewall.
Migrasi CEN (Edisi Perusahaan) ke arsitektur aktif-standby
Untuk memigrasikan firewall VPC untuk instans CEN (Edisi Perusahaan) dari arsitektur aktif-aktif ke arsitektur aktif-standby, Anda harus terlebih dahulu menghapus skenario redirection traffic untuk wilayah tersebut, menghapus dan membuat ulang firewall VPC, lalu memulihkan kembali skenario redirection traffic asli.
Langkah 1: Nonaktifkan dan hapus skenario redirection traffic
-
Masuk ke Konsol Cloud Firewall. Di panel navigasi sebelah kiri, klik Firewall.
-
Pada tab , temukan firewall VPC di wilayah target dan klik Details di kolom Actions.
-
Pada tab , matikan sakelar tersebut.
-
Pada kotak dialog Disable Traffic Redirection Scenario, pilih Roll Back Route dan klik OK.
Saat skenario sedang dinonaktifkan, Anda dapat memantau progres tugas di tab Firewall Task.
-
Setelah skenario dinonaktifkan, klik Delete untuk menghapusnya. Lalu, tutup panel VPC Firewall Details.
Langkah 2: Hapus firewall VPC
-
Temukan instans CEN untuk wilayah yang ditentukan dan klik Delete di kolom Actions.
-
Pada kotak dialog Delete, klik OK untuk menghapus instans firewall.
Langkah 3: Buat firewall dan konfigurasikan redirection traffic
-
Temukan instans CEN untuk wilayah yang ditentukan dan klik Create di kolom Actions.
-
Pada panel Create Firewall, pilih Automatic dan klik Quick Diagnosis.
Untuk Router transit Edisi Perusahaan, Anda dapat menjalankan pemeriksaan diagnostik untuk memverifikasi apakah firewall VPC dapat diaktifkan. Setelah pemeriksaan selesai, Anda dapat melihat hasilnya di wizard Precheck. Jika Anda sudah memahami prosesnya, klik Skip and start creation now.. Jika diagnosis gagal, lihat Penyebab dan solusi kegagalan pengaktifan Cloud Firewall untuk informasi lebih lanjut.
-
Konfigurasikan parameter seperti blok CIDR VPC firewall, zona ketersediaan primary dan secondary, serta pengaturan pencegahan intrusi.
Penting-
Jika bisnis Anda sensitif terhadap latensi, pilih zona ketersediaan aktual bisnis Anda sebagai zona primary dan secondary untuk mengurangi latensi.
-
Pengaturan pencegahan intrusi berlaku untuk semua instans jaringan dalam instans CEN yang sama.
Anda harus memasukkan blok CIDR minimal /27 untuk VPC firewall yang tidak tumpang tindih dengan paket jaringan yang sudah ada. Sistem menggunakan blok CIDR ini untuk mengalokasikan vSwitch yang diperlukan guna membuat firewall.
-
-
Setelah firewall VPC dibuat, klik Next untuk mengonfigurasi ulang skenario redirection traffic.
-
Klik Next untuk menyelesaikan konfigurasi dan secara otomatis mengaktifkan firewall VPC.