すべてのプロダクト
Search

このプロダクト

    Cloud Firewall:VPC ファイアウォールのゾーン切り替えのベストプラクティス

    ドキュメントセンター

    Cloud Firewall:VPC ファイアウォールのゾーン切り替えのベストプラクティス

    最終更新日:Mar 21, 2025

    このトピックでは、プライマリゾーンとセカンダリゾーンを指定することで、仮想プライベートクラウド (VPC) ファイアウォールをデフォルトのアクティブ/アクティブアーキテクチャからアクティブ/スタンバイアーキテクチャに切り替える方法について説明します。切り替えにより、ゾーン間のトラフィックフローによって発生するレイテンシを削減できます。

    サンプルシナリオ

    企業がシンガポール リージョンに VPC ファイアウォールを作成し、プライマリゾーンとセカンダリゾーンに Default (Auto-assigned) オプションが選択されました。

    image

    デフォルトでは、VPC ファイアウォールはディザスタリカバリにアクティブ/アクティブアーキテクチャを使用します。アクティブ/アクティブアーキテクチャでは、Cloud Firewall クラスターはトラフィックを最も近いゾーンに転送しません。代わりに、クラスターはトラフィックをプライマリゾーンとセカンダリゾーンにランダムに転送します。これにより、ゾーン間でトラフィックが流れる可能性があります。

    この問題を解決するために、Cloud Firewall はディザスタリカバリを実装するための VPC ファイアウォールのアクティブ/スタンバイアーキテクチャを提供します。 VPC ファイアウォールは、最初にプライマリゾーンでトラフィックを処理し、次にディザスタリカバリシナリオでトラフィックを転送するためにセカンダリゾーンに切り替えることができます。

    VPC ファイアウォールがアクティブ/アクティブアーキテクチャを使用している場合は、アクティブ/スタンバイアーキテクチャに切り替えることができます。

    変更前

    変更後

    注意事項

    • 切り替えを行う前に、対応するリージョンのすべての VPC ファイアウォールを無効化して削除する必要があります。その後、再作成します。元の VPC ファイアウォールに作成されたアクセス制御ポリシーは保持されます。

    • Basic Edition 転送ルーターの VPC ファイアウォールを有効または無効にすると、数秒間続く一時的な切断が発生します。

      Enterprise Edition 転送ルーターの VPC ファイアウォールを有効または無効にしても、一時的な切断は発生しません。

      VPC ファイアウォール上の一方向トラフィックがブロックされるのを防ぐために、切り替え中に ANY トラフィックに対して優先度の高い許可ポリシーを設定することをお勧めします。詳細については、「VPC ファイアウォールのアクセス制御ポリシーを作成する」をご参照ください。

    • 再作成プロセス中に再利用するために、元の VPC ファイアウォールの VPC と vSwitch の CIDR ブロックを事前に記録できます。

    • アクティブ/スタンバイアーキテクチャでは、プライマリゾーンとセカンダリゾーン間に依存関係が存在します。実際に使用可能なゾーンが優先されます。

    Basic Edition 転送ルーター用に作成された VPC ファイアウォールの切り替え

    Cloud Enterprise Network (CEN) インスタンスの Basic Edition 転送ルーター用に作成された VPC ファイアウォールをアクティブ/アクティブアーキテクチャからアクティブ/スタンバイアーキテクチャに切り替えるには、VPC ファイアウォールが存在する CEN インスタンスとリージョンを選択して、リージョン内のすべての VPC ファイアウォールを無効化して削除する必要があります。その後、再作成します。

    ステップ 1:VPC ファイアウォールを無効化して削除する

    1. Cloud Firewall コンソール にログインします。 左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。

    2. VPC 境界ファイアウォール > [CEN (basic Edition)] タブで、Batch Disable をクリックします。

      image

    3. Batch Disable ダイアログボックスで、CEN インスタンス パラメーターと リージョン パラメーターを構成し、OK をクリックします。

    4. VPC ファイアウォールが無効になったら、指定したリージョンでファイアウォールを見つけ、Actions 列の Delete をクリックします。これにより、リージョン内のすべての VPC ファイアウォールが削除されます。

    ステップ 2:VPC ファイアウォールを作成する

    1. 指定したリージョンで CEN インスタンスを見つけ、Actions 列の 作成する をクリックします。

    2. ファイアウォールの作成 パネルで、[クイック診断] をクリックします。

      Basic Edition 転送ルーターの VPC ファイアウォールを作成する場合、[クイック診断] をクリックして、必要な条件が満たされているかどうかを確認できます。チェックが完了すると、パネルの Enable Diagnosis ステップで診断結果を確認できます。 VPC ファイアウォールを作成するためのルールを理解している場合は、クイック診断をスキップして、直接 VPC ファイアウォールを作成できます。診断エラーの処理方法の詳細については、「ファイアウォールの有効化エラーの原因と解決策」をご参照ください。

    3. ファイアウォール VPC の CIDR ブロック、プライマリゾーン、セカンダリゾーン、ビジネス VPC の vSwitch、vSwitch のゾーン、侵入防御設定など、その他の設定を構成します。

      重要

      • [ファイアウォールの VPC 構成] セクションの [プライマリゾーンとセカンダリゾーン][ビジネストラフィックが生成されるゾーン] に設定すると、VPC ファイアウォールは [アクティブ/スタンバイ] アーキテクチャに切り替わります。 [ファイアウォールに vSwitch を割り当てる] セクションの [ゾーン][プライマリゾーン] に指定されたゾーンとは異なるゾーンに設定すると、トラフィックレイテンシが発生します。

        ビジネスがレイテンシの影響を受けやすい場合は、[ファイアウォールの VPC 構成] セクションの [プライマリゾーン][ファイアウォールに vSwitch を割り当てる] セクションの [ゾーン][ビジネストラフィックが生成されるのと同じゾーン] に設定して、レイテンシをさらに削減します

      • 侵入防御設定は、同じ CEN インスタンスに接続されているすべてのネットワークインスタンスに適用されます。

      image

    4. 作成を始める をクリックして、VPC ファイアウォールを作成します。

    5. VPC ファイアウォールが作成されたら、上記の手順を繰り返して、CEN インスタンス内の他の VPC のトラフィックリダイレクトと保護のための vSwitch を構成します。 VPC ファイアウォールでは、vSwitch とファイアウォール VPC のプライマリゾーンに同じゾーンを指定することをお勧めします。

    6. リージョン内のすべての VPC の構成が完了したら、VPC の ファイアウォールスイッチ 列のスイッチをオンにします。

      image

    Enterprise Edition 転送ルーター用に作成された VPC ファイアウォールの切り替え

    CEN インスタンスの Enterprise Edition 転送ルーター用に作成された VPC ファイアウォールをアクティブ/アクティブアーキテクチャからアクティブ/スタンバイアーキテクチャに切り替えるには、CEN インスタンスが属するリージョン内のすべてのトラフィックリダイレクトシナリオを無効化して削除する必要があります。次に、VPC ファイアウォールを削除して再作成し、元のトラフィックリダイレクトシナリオを復元する必要があります。

    ステップ 1:トラフィックリダイレクトシナリオを無効化して削除する

    1. Cloud Firewall コンソール にログインします。 左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。

    2. VPC 境界ファイアウォール > [CEN (enterprise Edition)]で、管理する VPC ファイアウォールを見つけ、Actions 列の Details をクリックします。

      image

    3. VPC Firewall Details > Traffic Redirection Scenario タブで、スイッチをオフにします。

    4. リダイレクトシナリオを無効化する ダイアログボックスで、Roll Back Route を選択し、OK をクリックします。

      ファイアウォールのタスク タブで、無効化の進行状況を確認できます。

    5. トラフィックリダイレクトシナリオが無効になったら、Delete をクリックして、トラフィックリダイレクトシナリオを削除します。次に、VPC Firewall Details パネルを閉じます。

      image

    ステップ 2:VPC ファイアウォールを削除する

    1. 必要な CEN インスタンスを見つけ、Actions 列の Delete をクリックします。

    2. Delete ダイアログボックスで、OK をクリックします。

      image

    ステップ 3:VPC ファイアウォールを再作成し、トラフィックリダイレクトシナリオを再構成する

    1. 必要な CEN インスタンスを見つけ、Actions 列の 作成する をクリックします。

      image

    2. ファイアウォールの作成 パネルで、トラフィックリダイレクトモードに [自動] を選択し、[今すぐチェック] をクリックします。

      Enterprise Edition 転送ルーターの VPC ファイアウォールを作成する場合、[今すぐチェック] をクリックして、必要な条件が満たされているかどうかを確認できます。チェックが完了すると、作成前チェック ステップでチェック結果を確認できます。 VPC ファイアウォールを作成するためのルールを理解している場合は、[スキップして今すぐ作成を開始] をクリックできます。ファイアウォールの有効化エラーの詳細については、「ファイアウォールの有効化エラーの原因と解決策」をご参照ください。

    3. ファイアウォール VPC の CIDR ブロック、プライマリゾーンとセカンダリゾーン、侵入防御設定など、その他の設定を構成します。

      重要

      • ビジネスがレイテンシの影響を受けやすい場合は、実際のビジネスのゾーンをプライマリゾーンとセカンダリゾーンとして選択して、レイテンシを削減することをお勧めします。

      • 侵入防御設定は、同じ CEN インスタンスに接続されているすべてのネットワークインスタンスに適用されます。

      image

    4. VPC ファイアウォールが作成されたら、次へ をクリックして、トラフィックリダイレクトシナリオを再構成します。

    5. 次へ をクリックします。 VPC ファイアウォールが作成され、自動的に有効になります。

    関連情報