Azure Load Balancer により、2 つのアクティブなファイアウォール間でトラフィックが不均一に分散される
3473
Created On 12/27/22 00:57 AM - Last Modified 09/03/25 01:21 AM
Symptom
2 つのアクティブなファイアウォールが Azure にある場合、1 つのアクティブなファイアウォールfirewall他よりも多くのトラフィックを受け取る可能性があります。
Environment
- パロアルトVMAzure プラットフォームのファイアウォール
- 対応 PAN-OS
Cause
- Azure Load Balancer は、既定で 5 タプル ハッシュ ベースの分散モードを使用します
- ソース IP
- ソース ポート
- 行き先 IP
- 宛先ポート
- プロトコルの種類
- ハッシュは、バックエンド プール内の正常なバックエンド インスタンスにトラフィックをルーティングするために使用されます
- クライアントが同じソースから新しいセッションを開始したときIP、送信元ポートが変更され、トラフィックが別のバックエンド インスタンスに移動する原因となります
- Azure portal でセッションの永続性が "なし" に設定されている場合、同じクライアントからの連続する要求は任意の仮想マシンで処理される可能性があります
Resolution
セッション持続性を使用して問題を解決してください。
- セッション永続性モードでは、2 つのタプルを使用します (ソースIPと目的地IP) または 3 タプル (ソースIP、 行き先IP、およびプロトコル タイプ) バックエンド インスタンスにルーティングするためのハッシュ
- セッション永続性を使用する場合、同じクライアントからの接続は、バックエンド プール内の同じバックエンド インスタンスに送られます。
- セッション永続性モードには、次の 2 つの構成タイプがあります。
- クライアントIP(2-tuple) - 同じクライアントからの連続する要求を指定します。IPアドレスは同じバックエンド インスタンスによって処理されます
- クライアントIPand protocol (3-tuple) - 同じクライアントからの連続したリクエストがIPアドレスとプロトコルの組み合わせは、同じバックエンド インスタンスによって処理されます
- Azure portal にサインインし、[リソース グループ] をクリックして、変更するロード バランサーを含むリソース グループを見つけます。
- ロード バランサーの概要画面で、[設定] の下の [負荷分散規則] を選択します。
- 負荷分散ルール画面で、分散モードを変更したい負荷分散ルールを選択します
- ルールの下で、[Session persistence] ドロップダウン ボックスを変更することで、分散モードが変更されます。
- なし (ハッシュベース) - 同じクライアントからの連続する要求を任意の仮想マシンで処理できるように指定します。
- クライアントIP(ソースIP親和性 2 タプル) - 同じクライアントからの連続する要求を指定します。IPアドレスは同じ仮想マシンによって処理されます
- クライアントIPおよびプロトコル(ソースIPアフィニティ 3 タプル) - 同じクライアントからの連続する要求を指定します。IPアドレスとプロトコルの組み合わせは、同じ仮想マシンによって処理されます
Additional Information
詳細については、Jira を参照してください。FWAAS-4519