この記事では、実行時間の長いセッションの動作と、Azure Firewallの TCP アイドル タイムアウトについて説明します。 これらの概念を理解することは、ネットワーク セキュリティの維持、ファイアウォール リソースの最適化、および重要なアプリケーションの中断のない接続を確保するために不可欠です。
実行時間の長い TCP セッション
実行時間の長いセッションとは、長時間アクティブな状態が続く TCP 接続を指します。 SSH、RDP、VPN トンネル、データベース接続などのアプリケーションでは、多くの場合、これらの実行時間の長いセッションが使用されます。 予期しない切断を防ぐには、これらのセッションを適切に構成する必要があります。 安定性に影響を与える要因を理解することが、接続が中断されないようにするための鍵となります。
一部のシナリオでは、実行時間の長い TCP セッションが削除される可能性があります。 Azure Firewallは多数の同時接続を処理するように設計されていますが、特定の条件下では実行時間の長いセッションを維持できない可能性があります。
Azure Firewallの次のシナリオでは、実行時間の長い TCP セッションが終了する可能性があります。
Scale-in: Azure Firewallスケールインすると、インスタンスをリサイクルする前に 90 秒間ドレイン モードに入ります。 このプロセスは、この期間が過ぎた後もアクティブなままの長時間接続を切断します。
ファイアウォール のメンテナンス: メンテナンスの更新中に、Azure Firewallは有効期間の短いセッションを完了できます。 ただし、再起動プロセスは、ドレイン期間を超えて保持される実行時間の長いセッションを終了します。
Autorecovery: Azure Firewall インスタンスが応答しなくなると、自動復旧プロセスが実行されます。 この復旧プロセスにより、実行時間の長いセッションが切断される可能性があります。
Idle timeout: Azure Firewallは、TCP アイドル タイムアウトを超える期間非アクティブな接続を閉じます。
アイドル タイムアウトの設定
TCP アイドル タイムアウトは、接続が非アクティブな状態を維持できる期間を指定して、Azure Firewall が接続を終了する前の時間を決定します。 この設定は、非アクティブな接続を閉じ、全体的なネットワーク パフォーマンスを維持することで、Azure Firewallを最適化するのに役立ちます。
TCP アイドル タイムアウトには、いくつかの利点があります。
- Efficient リソース使用率: 非アクティブな接続を終了すると、Azure Firewallメモリとコンピューティング リソースが節約され、最適なパフォーマンスが確保されます。
- DDoS リスク軽減: アイドル状態の永続的な接続を悪用する分散型サービス拒否 (DDoS) 攻撃から保護するのに役立ちます。
- ネットワーク パフォーマンスの向上: アイドル状態の接続を効果的に管理することで、全体的なスループットを向上させ、待機時間を短縮します。
タイムアウトの動作
Azure Firewallのコンテキストでは、北南トラフィックはAzure Firewallとインターネットの間のトラフィックを指し、 east-west トラフィック は、同じリージョン内のAzure リソース間、リージョン間、およびAzure VPN を介して接続されたオンプレミス ネットワーク間の内部トラフィックを指します。Azure ExpressRoute、またはAzure Firewallを経由するVirtual Network ピアリング。
TCP アイドル タイムアウトの動作は、North-South トラフィックと East-West トラフィックで異なります。
- North-South トラフィック: 既定の TCP アイドル タイムアウトは 4 分です。 このタイムアウトを最大15 分まで延長するには、Azure ポータルからサポート要求を送信します。
- East-West トラフィック: TCP アイドル タイムアウトは 5 分に修正され、変更できません。
TCP リセット パケット (RST)
アイドル タイムアウトにより Azure Firewall が TCP 接続を終了した際、クライアントとサーバーの両方に TCP リセットパケット (RST) を送信します。 このパケットは、接続が閉じられたことを両当事者に通知します。 TCP リセット パケットの動作は、North-South トラフィックと East-West トラフィックで異なります。
- 北南トラフィック: Azure Firewallは、TCP リセット パケット (RST) の送信によってアイドル タイムアウトが発生したときに、クライアントとサーバーの両方に通知します。
- East-west トラフィック: アイドル タイムアウトが発生しても、Azure Firewallはリセット パケット (RST) を送信しません。
リセット パケットが送信されないため、Azure Firewallを明示的に通知することなく、基になる接続がプラットフォーム インフラストラクチャによって削除される可能性があります。 その結果、接続がアクティブでなくなった後でも、Azure Firewallはフロー状態を一時的に保持できます。
この期間中、既存のフローに一致する後続のパケットは、ファイアウォール フローの状態が期限切れになるまで許可され続ける可能性があります。 これにより、実際の接続状態とファイアウォールの追跡状態の間に一時的な不一致が発生し、アプリケーションの動作が断続的または予期しない場合があります。
この動作を軽減するには、アプリケーション レベルの TCP キープアライブを使用し、アイドル タイムアウト後に接続が再確立されるように再試行ロジックを実装します。
従来の SAP GUI や SAP リモート関数呼び出し (RFC) ベースのアプリケーションなどの特定のアプリケーションは、セッションのリセットに影響を受け、セッションが予期せず終了したときに接続の問題が発生する可能性があります。 これらの問題を回避するには、セッションのリセットを適切に処理する再試行ロジックをアプリケーションに実装します。 このメカニズムには、接続を再確立し、操作をシームレスに再開するロジックが組み込まれています。
注
Azure Firewallを使用して SAP ワークロードを実行している場合は、構成をテストし、[SAP 設計ドキュメント](/azure/sap/workloads/deployment-check list?tabs=pilot#pilot-phase-strongly-recommended) を確認して、Azureデプロイが成功することを確認します。
スケールイン イベント中の TCP リセット動作
Azure Firewallスケールインすると、基になるファイアウォール インスタンスがリサイクルされる前に、ドレイン モードに 90 秒間入ります。
- 最初の 45 秒: ファイアウォールは新しい接続の受け入れを停止しますが、TCP リセット パケットを送信せずに既存の接続を続行できます。
-
次の 45 秒: ファイアウォールは、すべてのアクティブなセッション フローに TCP RST パケットを送信して、リサイクル前にクリーンな終了を確保します。 これらのリセットは、接続がクリーニングを終了していることをクライアントとサーバーの両方に通知するため、基になるインスタンスが使用停止になると到着しないパケットをどちらの側も無期限に待機しません。
- クライアントとサーバーの両方のエンドポイントでこれらのリセットがすぐに検出されるようにするには、 30 秒間隔で双方向 TCP キープアライブ メッセージを構成します。 キープアライブ プローブは、アプリケーション データが交換されない場合でも定期的なトラフィックを生成し、両方の側がリアルタイムで接続の終了を検出し、ハーフオープン セッションを回避するのに役立ちます。一方の側が接続を閉じた後も接続がまだ有効であると考える場合。 この構成により、アプリケーションは、スケールイン中にファイアウォール インスタンスがリサイクルされたときに接続を正常に回復できます。
- 30 秒のキープアライブ間隔が実現できない場合は、より高い最小容量を維持するように 事前スケーリングを 構成することを検討してください。これにより、実行時間の長い接続が中断される可能性のあるスケールイン イベントの可能性が低くなります。
このスケールイン TCP リセット動作は、南北トラフィックと東西トラフィックの両方に適用されます。 これにより、ファイアウォール インスタンスが使用停止される前に、クライアントとサーバーに適切に通知されます。 ドレイン期間とリセット動作は、スケールイン イベント中は構成できません。
注
スケールイン中の TCP リセット動作は、アイドル タイムアウト動作とは異なります。 アイドル タイムアウトの場合、RST パケットは南北トラフィックに対してのみ送信され、スケールイン中は、南北トラフィックと東西トラフィックの両方に対して RST パケットが送信されます。
次のステップ
Azure Firewallパフォーマンスの詳細については、Azure Firewallパフォーマンスに関するページを参照してください。