前回は Azure Load Balancer でしたが、今回は Azure Firewall に割り当て可能なパブリック IP アドレスについて、確認してみました。
※割り当て可能なパブリック IP アドレスは、Azure Firewall の Standard/Premium SKU 共通です。
※強制トンネリングを有効にした際に設定する管理パブリック IP アドレスについてはここで記載する内容と同様かなと思うので、未確認です (もし違ってたら教えてください)。
Azure Firewall に割り当て可能なパブリック IP アドレス
パブリック IP アドレスのリソース グループとリージョン
結論として、パブリック IP アドレスのリソース グループとリージョンは Azure Firewall をデプロイするリソースグループとリージョンは同一である必要があります。
※仮想ネットワーク (VNet) も同様。
確認した結果は以下となります。
| リソース グループ | デプロイ リージョン |
デプロイ 可否 |
|
|---|---|---|---|
| VNet | パブリック IP | ||
| 同一リソース グループ | 同一リソース グループ | 同一リージョン | OK |
| 同一リソース グループ | 同一リソース グループ | 別リージョン | NG |
| 同一リソース グループ | 別リソース グループ | 同一リージョン | NG |
| 別リソース グループ | 同一リソース グループ | 同一リージョン | NG |
パブリック IP アドレスの SKU とバージョンについて
割り当て可能なパブリック IP アドレスの SKU は、Standard のみとなります (Basic は不可)。
また、Azure Firewall の Standard/Premium SKU ともに 割り当て可能なパブリック IP アドレスのバージョンは、IPv4 のみとなります。
※IPv6 は Azure ポータルにて選択可能、デプロイ前の事前チェックでもエラーなく通りますが、実際にデプロイするとエラーとなり、プロビジョニング状態も失敗となります。
パブリック IP アドレスの可用性ゾーン設定について
確認した結果は以下となりますが、実運用として問題がないかどうかの判断までは行えなかったため、Azure Firewall と パブリック IP アドレスの可用性ゾーン設定は合わせておいたほうが良いかと思います。
※パブリック IP アドレスの可用性ゾーンの設定が「ゾーン冗長」であれば、Azure Firewall の可用性ゾーンは「ゾーン 2, 1, 3」を指定する。
| Azure Firewall の 可用性ゾーン設定 |
パブリック IP アドレスの 可用性ゾーン設定 |
デプロイ 可否 |
|---|---|---|
| なし | ゾーン無し | OK |
| ゾーン冗長 | OK | |
| 2 | NG | |
| 1 | NG | |
| 3 | NG | |
| ゾーン 2 のみ | ゾーン無し | NG |
| ゾーン冗長 | NG | |
| 2 | OK | |
| 1 | NG | |
| 3 | NG | |
| ゾーン 1 のみ | ゾーン無し | NG |
| ゾーン冗長 | NG | |
| 2 | NG | |
| 1 | OK | |
| 3 | NG | |
| ゾーン 3 のみ | ゾーン無し | NG |
| ゾーン冗長 | NG | |
| 2 | NG | |
| 1 | NG | |
| 3 | OK | |
| ゾーンを 2 つ選択 (2,1 or 2,3 or 1,3) |
ゾーン無し | OK |
| ゾーン冗長 | OK | |
| 2 | NG | |
| 1 | NG | |
| 3 | NG | |
| ゾーン を 3 つ選択 (2,1,3) |
ゾーン無し | NG |
| ゾーン冗長 | OK | |
| 2 | NG | |
| 1 | NG | |
| 3 | NG |
可用性ゾーン設定について、 Azure Firewall と パブリック IP アドレスとで微妙に異なっているのがつらい (
Azure Firewall
パブリック IP アドレス
パブリック IP アドレスのサービス レベル設定について
パブリック IP アドレスの SKU が Standard 、かつ特定のリージョン (米国西部など) の場合、可用性ゾーン設定は行えませんが、サービスレベルを「地域 (regional)」か「グローバル (global)」のどちらかを選択することができます。
ここで、Azure Firewall のパブリック IP アドレスとしてサポートしているのは「地域 (regional)」のみとなります。
※「グローバル (global)」は、リージョン間の Azure Load Balancer でのみ利用可能
なお、パブリック IP アドレスのサービス レベルを「グローバル (global)」に設定した場合、Azure Firewall デプロイ前の事前チェックではエラーなく通りますが、実際にデプロイするとエラーとなり、プロビジョニング状態も失敗となります。
まとめ
纏めると以下となります。
- VNet とパブリック IP アドレスのリソース グループとリージョンは、デプロイする Azure Firewall と同一にする。
- 割り当て可能なパブリック IP アドレスの設定は以下。
- SKU は「Standard」。
- バージョンは「IPv4」。
- サービス レベルは「地域 (regional)」。
- Azure Firewall とパブリック IP アドレスの可用性ゾーン設定を合わせる。
- それぞれで設定が微妙に異なるので注意する。
Azure ポータルでの事前チェックがザルなのは何とかしてほしい (
関連サイト
