Como aumentar o timeout do firewall entre duas VMs com Ubuntu?

Question

Prezados,

Atualmente utilizamos 2 VMs no Azure com aplicações Java rodando no Ubuntu 22. A VM1 roda a aplicação e o banco de dados. A VM2 possui uma API que executa um processamento que, em alguns casos, pode durar mais do que 5 minutos. Atualmente não utilizamos o Load Balancer nem qualquer tipo de Fila.

Contudo, estamos com um problema grave: quando a instância do problema a ser executada na VM2 é pequena, o sistema funciona corretamente. Isto é, a demanda é processada e retornada para a VM1. Contudo, quando a instância é maior, e precisa de mais de 280 segundos para ser processada, ocorre um problema. A VM2 finaliza a execução da tarefa, contudo, não retorna o resultado para a VM1, que fica "travada" aguardando o retorno.

Quando a atividade é executada na própria VM1, o sistema funciona corretamente. Diante disso, estamos suspeitando que pode ser uma limitação de timeout no Azure Firewall. Verificando a documentação do Azure, vimos que o timetout é configurado em 4 minutos:

"North-south traffic: The default TCP idle timeout is 4 minutes. You can extend this timeout to a maximum of 15 minutes by submitting a support request through the Azure portal."

Portanto, gostaríamos de solicitar o aumento deste timeout para 10 minutos a fim de realizarmos testes e verificar se o problema é justamente este.

Caso precisem de mais informações, favor informar. Aguardamos retorno.

Answer 1

Olá Leonardo Ciscon

Obrigado por compartilhar as informações. Informe-me se a conectividade entre "VM1 e VM2" está dentro da mesma VNET ou de VNETs diferentes.

Você está se conectando de VM1 para VM2 em uma rede pública ou privada? Se for público, tente aumentar o valor de tempo limite do TCP para mais de 4 minutos.

Se o tráfego for privado, você precisará ajustar o tempo limite de ociosidade do TCP no nível da VM. Você pode tentar usar os comandos fornecidos na mensagem privada.

---

Por favor, não se esqueça de "Aceitar a resposta" e "votar a favor" sempre que as informações fornecidas o ajudarem, isso pode ser benéfico para outros membros da comunidade.

Se você tiver outras dúvidas ou ainda estiver enfrentando mais problemas, deixe-me saber nos "comentários" e ficarei feliz em ajudá-lo.

Answer 2

Leonardo o comportamento descrito bate com o TCP idle timeout padrão do Azure Firewall (4 minutos). Se a conexão entre VM1 e VM2 estiver ociosa por mais de 4 minutos (sem tráfego), o firewall pode fechá-la silenciosamente, o que explicaria o “travamento” da VM1 esperando um retorno que nunca chega.

Resumo do problema

• VM1 → envia requisição para a VM2
• VM2 → processa por >280s (sem enviar dados intermediários)
• Azure Firewall → corta a conexão TCP após 240s de inatividade
• VM2 finaliza a tarefa, mas a conexão está morta → VM1 nunca recebe o retorno

Soluções possíveis:

Você pode seguir com esse plano (aumentar para 10 minutos):

1. Acessar o Azure Portal.
2. Ir até o Azure Firewall.
3. Abrir um ticket de suporte solicitando o aumento do TCP idle timeout para 10 minutos (600 segundos).

Justificar que há chamadas legítimas com tempo de processamento maior.

Answer 3

Olá Fabiano, primeiramente, obrigado pelo retorno.

Contudo, como eu faço para ter certeza que estou utilizando o serviço do Azure Firewall?

É que, a princípio, eu tenho apenas duas VMs que precisam conversar.

Acredito que não ativei, de forma intencional, o serviço do Azure Firewall.

Caso eu não esteja realmente utilizando o Azure Firewall, sua análise e alternativa de solução ainda seriam válidas? Como aumentar, neste caso, o timeout do firewall ou outro componentes nas trocas de requisições entre duas VMs no Azure ?

Obrigado.

Leonardo