Azure Firewall に割り当て可能なパブリック IP アドレスについて

スポンサーリンク

前回は Azure Load Balancer でしたが、今回は Azure Firewall に割り当て可能なパブリック IP アドレスについて、確認してみました。
※割り当て可能なパブリック IP アドレスは、Azure Firewall の Standard/Premium SKU 共通です。
※強制トンネリングを有効にした際に設定する管理パブリック IP アドレスについてはここで記載する内容と同様かなと思うので、未確認です (もし違ってたら教えてください)。

スポンサーリンク

Azure Firewall に割り当て可能なパブリック IP アドレス

パブリック IP アドレスのリソース グループとリージョン

結論として、パブリック IP アドレスのリソース グループとリージョンは Azure Firewall をデプロイするリソースグループとリージョンは同一である必要があります。
※仮想ネットワーク (VNet) も同様。

確認した結果は以下となります。

リソース グループ デプロイ
リージョン
デプロイ
可否
VNet パブリック IP
同一リソース グループ 同一リソース グループ 同一リージョン OK
同一リソース グループ 同一リソース グループ 別リージョン NG
同一リソース グループ 別リソース グループ 同一リージョン NG
別リソース グループ 同一リソース グループ 同一リージョン NG

パブリック IP アドレスの SKU とバージョンについて

割り当て可能なパブリック IP アドレスの SKU は、Standard のみとなります (Basic は不可)。

また、Azure Firewall の Standard/Premium SKU ともに 割り当て可能なパブリック IP アドレスのバージョンは、IPv4 のみとなります。
※IPv6 は Azure ポータルにて選択可能、デプロイ前の事前チェックでもエラーなく通りますが、実際にデプロイするとエラーとなり、プロビジョニング状態も失敗となります。

パブリック IP アドレスの可用性ゾーン設定について

確認した結果は以下となりますが、実運用として問題がないかどうかの判断までは行えなかったため、Azure Firewall と パブリック IP アドレスの可用性ゾーン設定は合わせておいたほうが良いかと思います。
※パブリック IP アドレスの可用性ゾーンの設定が「ゾーン冗長」であれば、Azure Firewall の可用性ゾーンは「ゾーン 2, 1, 3」を指定する。

Azure Firewall の
可用性ゾーン設定
パブリック IP アドレスの
可用性ゾーン設定
デプロイ
可否
なし ゾーン無し OK
ゾーン冗長 OK
2 NG
1 NG
3 NG
ゾーン 2 のみ ゾーン無し NG
ゾーン冗長 NG
2 OK
1 NG
3 NG
ゾーン 1 のみ ゾーン無し NG
ゾーン冗長 NG
2 NG
1 OK
3 NG
ゾーン 3 のみ ゾーン無し NG
ゾーン冗長 NG
2 NG
1 NG
3 OK
ゾーンを 2 つ選択
(2,1 or 2,3 or 1,3)
ゾーン無し OK
ゾーン冗長 OK
2 NG
1 NG
3 NG
ゾーン を 3 つ選択
(2,1,3)
ゾーン無し NG
ゾーン冗長 OK
2 NG
1 NG
3 NG

可用性ゾーン設定について、 Azure Firewall と パブリック IP アドレスとで微妙に異なっているのがつらい (

Azure Firewall

パブリック IP アドレス

パブリック IP アドレスのサービス レベル設定について

パブリック IP アドレスの SKU が Standard 、かつ特定のリージョン (米国西部など) の場合、可用性ゾーン設定は行えませんが、サービスレベルを「地域 (regional)」か「グローバル (global)」のどちらかを選択することができます。

ここで、Azure Firewall のパブリック IP アドレスとしてサポートしているのは「地域 (regional)」のみとなります。
※「グローバル (global)」は、リージョン間の Azure Load Balancer でのみ利用可能

なお、パブリック IP アドレスのサービス レベルを「グローバル (global)」に設定した場合、Azure Firewall デプロイ前の事前チェックではエラーなく通りますが、実際にデプロイするとエラーとなり、プロビジョニング状態も失敗となります。

スポンサーリンク

まとめ

纏めると以下となります。

  • VNet とパブリック IP アドレスのリソース グループとリージョンは、デプロイする Azure Firewall と同一にする。
  • 割り当て可能なパブリック IP アドレスの設定は以下。
    • SKU は「Standard」。
    • バージョンは「IPv4」。
    • サービス レベルは「地域 (regional)」。
  • Azure Firewall とパブリック IP アドレスの可用性ゾーン設定を合わせる。
    • それぞれで設定が微妙に異なるので注意する。

Azure ポータルでの事前チェックがザルなのは何とかしてほしい (

スポンサーリンク

関連サイト

Azure FirewallAzure Virtual Network

コメント

タイトルとURLをコピーしました