すべてのプロダクト
Search

このプロダクト

    Cloud Firewall:VPC ファイアウォールをアクティブ/スタンバイアーキテクチャへ移行

    ドキュメントセンター

    Cloud Firewall:VPC ファイアウォールをアクティブ/スタンバイアーキテクチャへ移行

    最終更新日:Apr 01, 2026

    本トピックでは、VPC ファイアウォールをデフォルトのアクティブ/アクティブアーキテクチャからアクティブ/スタンバイアーキテクチャへ移行する方法について説明します。この移行により、ゾーン間トラフィックに起因する遅延を低減できます。

    サンプル シナリオ

    ある企業が シンガポール リージョンで VPC ファイアウォールを作成し、プライマリおよびセカンダリ可用性ゾーンとして、以下の図に示すように デフォルト (自動割り当て) オプションを選択した場合を想定します。

    image

    作成された VPC ファイアウォールは、ディザスタリカバリのためにデフォルトのアクティブ/アクティブアーキテクチャを使用します。このアーキテクチャでは、Cloud Firewall クラスターは近接性に基づくルーティングを採用せず、代わりに 2 つの可用性ゾーン間でトラフィックをランダムに分散します。これにより、ゾーン間トラフィックが発生する可能性があります。

    この課題に対処するため、VPC ファイアウォールでは、ディザスタリカバリ向けのアクティブ/スタンバイアーキテクチャが提供されています。このアーキテクチャでは、VPC ファイアウォールがプライマリ可用性ゾーンでのトラフィック処理を優先し、障害発生時のみセカンダリ可用性ゾーンへフェイルオーバーします。

    すでにアクティブ/アクティブアーキテクチャを使用している VPC ファイアウォールインスタンスがある場合、本トピックの手順に従って、アクティブ/スタンバイアーキテクチャへ移行できます。

    移行前

    移行後

    注意事項

    • 移行には、対象リージョン内のすべての VPC ファイアウォールを無効化して削除した後、再作成する必要があります。このプロセスでは、既存のアクセス制御ポリシーは保持されます。

    • Cloud Enterprise Network (CEN) Basic Edition インスタンスにアタッチされた VPC ファイアウォールのトラフィックリダイレクトを有効化または無効化すると、数秒間の短時間ルーティング中断が発生する場合があります。

      CEN Enterprise Edition インスタンスでは、同様の操作を行ってもルーティング中断は発生しません。

      (推奨)移行中にトラフィックの中断を防止するため、高優先度のアクセス制御ポリシーを設定してすべてのトラフィックを許可してください。詳細については、「VPC ファイアウォール向けアクセス制御ポリシーの設定」をご参照ください。

    • 開始前に、ファイアウォール VPC および VSwitch の CIDR ブロックを記録してください。再作成時にこの情報を再利用できます。

    • アクティブ/スタンバイアーキテクチャでは、プライマリおよびセカンダリ可用性ゾーン間に依存関係が存在します。コンソールで表示される選択肢は、これらの依存関係を反映しています。

    CEN Basic Edition 向けのアクティブ/スタンバイアーキテクチャへの移行

    Cloud Enterprise Network (CEN) Basic Edition インスタンスに紐付く VPC ファイアウォールを、アクティブ/アクティブアーキテクチャからアクティブ/スタンバイアーキテクチャへ移行するには、対象リージョン内でその CEN インスタンスに関連付けられたすべての VPC ファイアウォールを無効化・削除した後、アクティブ/スタンバイアーキテクチャで再作成する必要があります。

    ステップ 1:VPC ファイアウォールの無効化と削除

    1. Cloud Firewall コンソール」にログインします。 左側ナビゲーションウィンドウで、Firewall をクリックします。

    2. VPC 境界ファイアウォール > CEN (Basic Edition) タブで、一括無効化 をクリックします。

      image

    3. 一括無効化 ダイアログボックスで、CEN インスタンス および リージョン を選択し、OK をクリックします。

    4. ファイアウォールが無効化された後、指定されたリージョンで該当のファイアウォールを特定し、Actions 列の Delete をクリックします。

    ステップ 2:VPC ファイアウォールの作成

    1. 対象リージョンで CEN インスタンスを検索し、Actions 列の 作成する をクリックします。

    2. ファイアウォールの作成 パネルで、クイック診断 をクリックします。

      Basic Edition トランジットルーターの場合、この機能を使用して VPC ファイアウォール作成の前提条件が満たされているかを確認できます。診断完了後、Enable Diagnosis ウィザードで結果を確認できます。作成手順に慣れている場合は、診断をスキップして直接ファイアウォールを作成することも可能です。診断が失敗した場合は、「Cloud Firewall の有効化失敗のトラブルシューティング」をご参照ください。

    3. ファイアウォール VPC の CIDR ブロック、プライマリおよびセカンダリ可用性ゾーン、VSwitch インスタンスおよびその可用性ゾーン、侵入防止の設定を構成します。

      重要

      • アクティブ/スタンバイアーキテクチャを有効化するには、VPC 設定 (ファイアウォール) セクションの プライマリゾーンおよびセカンダリゾーン を、業務トラフィックを処理する可用性ゾーン に設定します。これにより、アクティブ/スタンバイアーキテクチャ が有効になります。ただし、業務 VPC の VSwitch のゾーンプライマリゾーン と異なる場合、ゾーン間トラフィックによる遅延が依然として発生する可能性があります。

        遅延の影響を受けやすいアプリケーションでは、VPC 設定 (ファイアウォール) セクションの プライマリゾーン業務 VPC の VSwitch のゾーン を、業務トラフィックを処理する同一の可用性ゾーン に設定してください。これにより、遅延を最小限に抑えることができます

      • 侵入防止設定は、同じ CEN インスタンスにアタッチされたすべてのネットワークインスタンスに適用されます。

      image

    4. 作成を始める をクリックして VPC ファイアウォールを作成します。

    5. ファイアウォールが作成された後、トラフィックリダイレクトが必要な他の VPC についても、同様の手順を繰り返して VSwitch を構成します。各 VSwitch の可用性ゾーンがファイアウォール VPC のプライマリ可用性ゾーンと一致していることを確認してください。

    6. リージョン内のすべての VPC の構成が完了したら、ファイアウォールスイッチ 列のトグルをオンにして、各 VPC のファイアウォールを有効化します。

      image

    CEN Enterprise Edition 向けのアクティブ/スタンバイアーキテクチャへの移行

    Cloud Enterprise Network (CEN) Enterprise Edition インスタンスに紐付く VPC ファイアウォールを、アクティブ/アクティブアーキテクチャからアクティブ/スタンバイアーキテクチャへ移行するには、対象リージョンでトラフィックリダイレクトシナリオを削除し、VPC ファイアウォールを再作成した後、元のトラフィックリダイレクトシナリオを復元する必要があります。

    ステップ 1:トラフィックリダイレクトシナリオの無効化と削除

    1. Cloud Firewall コンソール」にログインします。 左側ナビゲーションウィンドウで、Firewall をクリックします。

    2. VPC 境界ファイアウォール > [CEN (Enterprise Edition)] タブで、対象のリージョンのファイアウォールを見つけ、Actions 列の Details をクリックします。

      image

    3. VPC Firewall Details > Traffic Redirection Scenario タブで、スイッチをオフにしてシナリオを無効化します。

    4. リダイレクトシナリオを無効化する ダイアログボックスで、Roll Back Route を選択し、OK をクリックします。これは推奨オプションです。

      シナリオが無効化されている間は、ファイアウォールのタスク タブでタスクの進行状況をモニターできます。

    5. トラフィックリダイレクトシナリオが無効化された後、Delete をクリックします。その後、VPC Firewall Details パネルを閉じます。

      image

    ステップ 2:VPC ファイアウォールの削除

    1. 対象リージョンの VPC ファイアウォールを特定し、Actions 列の Delete をクリックします。

    2. Delete ダイアログボックスで、OK をクリックしてファイアウォールインスタンスを削除します。

      image

    ステップ 3:VPC ファイアウォールの作成とトラフィックリダイレクトの構成

    1. 対象リージョンの CEN インスタンスを特定し、Actions 列の 作成する をクリックします。

      image

    2. ファイアウォールの作成 パネルで、自動リダイレクトモード を選択し、Quick Diagnosis をクリックします。

      Enterprise Edition トランジットルーターの場合、この機能を使用して VPC ファイアウォール作成の前提条件が満たされているかを確認できます。チェック完了後、作成前チェック ウィザードで結果を確認できます。作成手順に慣れている場合は、「Skip and start creation now.」をクリックすることも可能です。チェックが失敗した場合は、「Cloud Firewall の有効化失敗のトラブルシューティング」をご参照ください。

    3. ファイアウォール VPC の CIDR ブロック、プライマリおよびセカンダリ可用性ゾーン、侵入防止の設定を構成します。

      重要

      • 遅延の影響を受けやすいアプリケーションでは、業務ワークロードが実行される可用性ゾーンをプライマリおよびセカンダリゾーンとして選択することで、遅延を低減できます。

      • 侵入防止設定は、同じ CEN インスタンスにアタッチされたすべてのネットワークインスタンスに適用されます。

      image

    4. VPC ファイアウォールが作成された後、次へ をクリックして、トラフィックリダイレクトシナリオを再構成します。

    5. 次へ をクリックして構成を完了します。これにより、VPC ファイアウォールおよびそのトラフィックリダイレクトシナリオが有効化されます。

    関連ドキュメント