Dokumen ini menjelaskan cara mengganti virtual private cloud (VPC) firewall dari arsitektur active-active bawaan ke arsitektur active-standby dengan menentukan zona primer dan sekunder. Pergantian ini membantu mengurangi latensi yang disebabkan oleh aliran trafik lintas zona.
Contoh skenario
Sebuah perusahaan membuat VPC firewall di wilayah Singapura, dengan opsi Default (Auto-assigned) dipilih untuk zona primer dan sekunder.
Secara default, VPC firewall menggunakan arsitektur active-active untuk pemulihan bencana. Dalam arsitektur ini, kluster Cloud Firewall tidak meneruskan trafik ke zona terdekat, tetapi secara acak meneruskan trafik ke zona primer dan sekunder. Hal ini dapat menyebabkan aliran trafik lintas zona.
Untuk mengatasi masalah ini, Cloud Firewall menyediakan arsitektur active-standby untuk VPC firewall guna mendukung pemulihan bencana. Dalam arsitektur ini, VPC firewall pertama-tama memproses trafik di zona primer, lalu beralih ke zona sekunder dalam skenario pemulihan bencana.
Jika VPC firewall Anda menggunakan arsitektur active-active, Anda dapat mengubahnya menjadi arsitektur active-standby.
Sebelum | Sesudah |
Catatan penggunaan
Sebelum pergantian, nonaktifkan dan hapus semua VPC firewall di wilayah yang sesuai. Kemudian, buat ulang mereka. Kebijakan kontrol akses yang dibuat untuk VPC firewall asli akan tetap dipertahankan.
Ketika mengaktifkan atau menonaktifkan VPC firewall untuk Router transit Edisi Dasar, koneksi sementara selama beberapa detik akan terjadi.
Ketika mengaktifkan atau menonaktifkan VPC firewall untuk Router transit edisi perusahaan, tidak ada koneksi sementara yang terjadi.
Untuk mencegah trafik satu arah pada VPC firewall diblokir, kami sarankan mengonfigurasi kebijakan Izinkan dengan prioritas tinggi pada trafik APAPUN selama pergantian. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kontrol Akses untuk VPC Firewall.
Anda dapat mencatat blok CIDR VPC dan vSwitch dari VPC firewall asli sebelumnya untuk digunakan kembali selama proses pembuatan ulang.
Dalam arsitektur active-standby, dependensi ada antara zona primer dan sekunder. Zona yang tersedia sebenarnya berlaku.
Pergantian untuk VPC firewall yang dibuat untuk Router transit Edisi Dasar
Sebelum mengganti VPC firewall yang dibuat untuk Router transit Edisi Dasar dari instance Cloud Enterprise Network (CEN) dari arsitektur active-active ke active-standby, pilih instance CEN dan wilayah tempat VPC firewall berada untuk menonaktifkan dan menghapus semua VPC firewall di wilayah tersebut. Kemudian, buat ulang mereka.
Langkah 1: Nonaktifkan dan hapus VPC firewall
Masuk ke Konsol Cloud Firewall. Di panel navigasi sisi kiri, klik Firewall Settings.
Pada tab , klik Batch Disable.
Di kotak dialog Batch Disable, konfigurasikan parameter CEN Instance dan Region, lalu klik OK.
Setelah VPC firewall dinonaktifkan, temukan firewall di wilayah yang ditentukan dan klik Delete di kolom Actions. Ini akan menghapus semua VPC firewall di wilayah tersebut.
Langkah 2: Buat VPC firewall
Temukan instance CEN Anda di wilayah yang ditentukan dan klik Create di kolom Actions.
Di panel Create Firewall, klik Quick Diagnosis.
Jika ingin membuat VPC firewall untuk Router transit Edisi Dasar, Anda dapat mengklik Quick Diagnosis untuk memeriksa apakah kondisi yang diperlukan telah terpenuhi. Setelah pemeriksaan selesai, hasil diagnostik dapat dilihat di langkah Enable Diagnosis di panel. Jika Anda memahami aturan untuk membuat VPC firewall, Anda dapat melewati diagnostik cepat dan langsung membuat VPC firewall. Untuk informasi lebih lanjut tentang cara menangani kegagalan diagnostik, lihat Penyebab dan Solusi Kegagalan Pengaktifan Firewall.
Konfigurasikan pengaturan lainnya, termasuk blok CIDR firewall VPC, zona primer, zona sekunder, vSwitch VPC bisnis, zona vSwitch, dan pengaturan pencegahan intrusi.
PentingJika Anda mengatur Zona Primer dan Sekunder di bagian Konfigurasi VPC Firewall ke zona tempat trafik bisnis Anda dihasilkan, VPC firewall beralih ke arsitektur active-standby. Jika Anda mengatur Zona di bagian Tetapkan vSwitch untuk Firewall ke zona yang berbeda dari zona yang ditentukan untuk Zona Primer, latensi trafik akan terjadi.
Jika bisnis Anda sensitif terhadap latensi, atur Zona Primer di bagian Konfigurasi VPC Firewall dan Zona di bagian Tetapkan vSwitch untuk Firewall ke zona yang sama tempat trafik bisnis Anda dihasilkan untuk lebih mengurangi latensi.
Pengaturan pencegahan intrusi berlaku untuk semua instance jaringan yang dilampirkan ke instance CEN yang sama.
Klik Start Creation untuk membuat VPC firewall.
Setelah VPC firewall dibuat, ulangi operasi sebelumnya untuk mengonfigurasi vSwitch untuk pengalihan trafik dan perlindungan untuk VPC lainnya di instance CEN. Kami sarankan menentukan zona yang sama untuk vSwitch dan zona primer untuk VPC firewall di VPC firewall.
Setelah konfigurasi selesai untuk semua VPC di wilayah tersebut, aktifkan sakelar di kolom Firewall Settings untuk VPC.
Pergantian untuk VPC firewall yang dibuat untuk Router transit edisi perusahaan
Sebelum mengganti VPC firewall yang dibuat untuk Router transit edisi perusahaan dari instance CEN dari arsitektur active-active ke active-standby, Anda harus menonaktifkan dan menghapus semua skenario pengalihan trafik di wilayah tempat instance CEN berada. Kemudian, Anda harus menghapus dan membuat ulang VPC firewall, serta memulihkan skenario pengalihan trafik asli.
Langkah 1: Nonaktifkan dan hapus skenario pengalihan trafik
Masuk ke Konsol Cloud Firewall. Di panel navigasi sisi kiri, klik Firewall Settings.
Pada tab , temukan VPC firewall yang ingin Anda kelola dan klik Details di kolom Actions.
Pada tab , matikan sakelar.
Di dalam kotak dialog Disable Traffic Redirection Scenario, pilih opsi Roll Back Route, lalu klik OK.
Anda dapat melihat kemajuan penonaktifan di tab Firewall Task.
Setelah skenario pengalihan trafik dinonaktifkan, klik Delete untuk menghapus skenario pengalihan trafik. Lalu, tutup panel VPC Firewall Details.
Langkah 2: Hapus VPC firewall
Temukan instance CEN yang diperlukan dan klik Delete pada kolom Actions.
Di kotak dialog Delete, klik OK.
Langkah 3: Buat ulang VPC firewall dan konfigurasikan ulang skenario pengalihan trafik
Temukan instance CEN yang diperlukan dan klik Create di kolom Actions.
Di panel Create Firewall, pilih Automatic untuk Mode Pengalihan Trafik dan klik Check Now.
Jika ingin membuat VPC firewall untuk Router transit edisi perusahaan, Anda dapat mengklik Check Now untuk memeriksa apakah kondisi yang diperlukan telah terpenuhi. Setelah pemeriksaan selesai, hasil pemeriksaan dapat dilihat di langkah Precheck. Jika Anda memahami aturan untuk membuat VPC firewall, Anda dapat mengklik Skip and start creation now. Untuk informasi lebih lanjut tentang kegagalan pengaktifan firewall, lihat Penyebab dan Solusi Kegagalan Pengaktifan Firewall.
Konfigurasikan pengaturan lainnya, termasuk blok CIDR firewall VPC, zona primer dan sekunder, serta pengaturan pencegahan intrusi.
PentingJika bisnis Anda sensitif terhadap latensi, kami sarankan memilih zona bisnis aktual sebagai zona primer dan sekunder untuk mengurangi latensi.
Pengaturan pencegahan intrusi berlaku untuk semua instance jaringan yang dilampirkan ke instance CEN yang sama.
Setelah VPC firewall dibuat, klik Next untuk mengonfigurasi ulang skenario pengalihan trafik.
Klik Next. VPC firewall akan dibuat dan diaktifkan secara otomatis.