この記事では、Azure Firewall の実行時間の長いセッションと TCP アイドル タイムアウトの動作について説明します。 これらの概念を理解することは、ネットワーク セキュリティの維持、ファイアウォール リソースの最適化、および重要なアプリケーションの中断のない接続を確保するために不可欠です。
実行時間の長い TCP セッション
実行時間の長いセッションとは、長時間アクティブな状態が続く TCP 接続を指します。 これらの実行時間の長いセッションは、SSH、RDP、VPN トンネル、データベース接続などのアプリケーションでよく使用されます。 予期しない切断を防ぐには、これらのセッションを適切に構成することが不可欠です。 安定性に影響を与える要因を理解することが、接続が中断されないようにするための鍵となります。
一部のシナリオでは、実行時間の長い TCP セッションが削除される可能性があります。 Azure Firewall は多数のコンカレント接続を処理するように設計されていますが、特定の条件下では実行時間の長いセッションを維持できない可能性があります。
Azure Firewall の次のシナリオでは、実行時間の長い TCP セッションが終了する可能性があります。
スケールイン: Azure Firewall がスケールインすると、インスタンスをリサイクルする前に 90 秒間ドレイン モードに入ります。 この期間が経過してもまだアクティブになっている実行時間の長い接続は切断されます。
ファイアウォールのメンテナンス: メンテナンスの更新中、Azure Firewall では有効期間の短いセッションを完了できます。 ただし、実行時間の長いセッションがドレイン期間を超えて続くと、再起動プロセス中に終了します。
自動回復: Azure Firewall インスタンスが応答しなくなると、自動回復プロセスが実行されます。 この回復により、実行時間の長いセッションが切断される可能性があります。
アイドル タイムアウト: TCP アイドル タイムアウトを超える期間非アクティブな状態のままの接続は、Azure Firewall によって閉じられます。
アイドル タイムアウトの設定
TCP アイドル タイムアウトは、Azure Firewall が接続を終了するまでに接続が非アクティブな状態を維持できる期間を指定します。 この設定は、非アクティブな接続を閉じ、全体的なネットワーク パフォーマンスを維持することで、Azure Firewall の最適化に役立ちます。
TCP アイドル タイムアウトには、いくつかの利点があります。
- 効率的なリソース使用率: 非アクティブな接続を終了することによって、Azure Firewall は、メモリーとコンピューティング リソースを節約し、最適なパフォーマンスを確保します。
- DDoS リスクの軽減: アイドル状態の持続接続を悪用する分散型サービス拒否 (DDoS) 攻撃から保護するのに役立ちます。
- ネットワーク パフォーマンスの向上: アイドル状態の接続を効果的に管理することで、全体的なスループットを向上させ、待機時間を短縮します。
タイムアウトの動作
Azure Firewall のコンテキストでは、North-South トラフィックは、Azure Firewall とインターネット間のトラフィックを指します。一方、East-West トラフィックは、同じリージョン内、リージョン間、および Azure VPN、Azure ExpressRoute、または Azure Firewall を通過する仮想ネットワーク ピアリング経由で接続されたオンプレミス ネットワークの Azure リソース間の内部トラフィックを指します。
TCP アイドル タイムアウトの動作は、North-South トラフィックと East-West トラフィックで異なります。
- North-South トラフィック: 既定の TCP アイドル タイムアウトは 4 分です。 Azure portal からサポート リクエストを送信することで、このタイムアウトを最大 15 分まで延長できます。
- East-West トラフィック: TCP アイドル タイムアウトは 5 分に修正され、変更できません。
TCP リセット パケット (RST)
アイドル タイムアウトのために TCP 接続が終了すると、Azure Firewall はクライアントとサーバーの両方に TCP リセット パケット (RST) を送信します。 このパケットは、接続が閉じられたことを両当事者に通知します。 TCP リセット パケットの動作は、North-South トラフィックと East-West トラフィックで異なります。
- North-South トラフィック: Azure Firewall は、TCP リセット パケット (RST) を送信することで、アイドル タイムアウトが発生したときにクライアントとサーバーの両方に通知します。
- East-West トラフィック: アイドル タイムアウトが発生しても、Azure Firewall はリセット パケット (RST) を送信しません。 この動作により、アプリケーションで予期しない問題が発生する可能性があります。 実行時間の長いセッションをアクティブに保ち、スケールイン、メンテナンス、または自動回復イベント中の中断を防ぐように、アプリケーション内で Keep-Alive メカニズムを構成します。
従来の SAP GUI や SAP リモート ファンクション コール (RFC) ベースのアプリケーションなど、特定のアプリケーションは、セッションのリセットの影響を受け、セッションが予期せず終了したときに接続の問題が検出される可能性があります。 これらの問題を回避するには、セッションのリセットを適切に処理する再試行ロジックをアプリケーションに実装できます。 このメカニズムには、接続を再確立し、操作をシームレスに再開するロジックが組み込まれています。
注
Azure Firewall を使用して SAP ワークロードを実行している場合は、構成をテストし、 SAP 設計ドキュメント を確認して、Azure のデプロイが成功することを確認します。
次のステップ
Azure Firewall のパフォーマンスの詳細については、「Azure Firewall のパフォーマンス」を参照してください。