Security Edge Inlineのマルチクラウドおよびマルチリージョンデプロイメント 
¶
インラインEdge Nodeを複数リージョンおよび複数クラウドプロバイダにデプロイして、地理的冗長性と低レイテンシを実現できます。
Security Edgeを構成する際、サポートされているクラウドプロバイダ(AWSとAzure)にまたがって1つ以上のリージョンを選択できます。
マルチリージョンデプロイメント¶
単一のクラウドプロバイダ内で複数リージョンを選択した場合、トラフィックはレイテンシに基づいてルーティングされ、各リクエストは最寄りの利用可能なリージョンに送られます。
これは最も一般的な構成であり、複数の場所からリクエストを処理する場合に推奨されます。
利用可能なリージョンはご利用のWallarm Cloudに依存します(US→USリージョン、EU→EUリージョン)。
マルチクラウドデプロイメント¶
複数のクラウドプロバイダにまたがる複数リージョンを選択した場合、レイテンシに関係なく、すべてのリクエストは選択したリージョンとプロバイダ間でラウンドロビン方式により分散されます。
この構成は次のケースで推奨されます:
-
クラウドプロバイダの冗長化: トラフィックが選択したすべてのプロバイダに分散され、1つが利用不能になっても(例: AWS)、他のプロバイダ(例: Azure)が中断なくトラフィック処理を継続します。
-
リージョンの高可用性: 例えば、
AWS US East 1とAzure East USの両方を選択すると、リージョン間でトラフィックのバランスが維持され、いずれかのリージョンまたはプロバイダが利用不能になってもサービスが継続します。
オリジンアクセスのためのWallarm IP範囲¶
Security Edgeからオリジンへの接続はmTLSで保護することを推奨します。これにより、WallarmのIPが変更された際にIP許可リストを更新する必要がなくなります。
mTLSを使用できない場合は、選択したリージョンのWallarm IPアドレスからの受信トラフィックを許可してください。
-
AWS
-
Azure
CNAMEレコード¶
保護対象ホストが第3レベル以上のドメイン(例: api.example.com)である場合、DNSゾーンにWallarmが提供するFQDNを指すCNAMEレコードを指定する必要があります。このレコードはTraffic CNAMEとして返されます。
-
単一クラウドのデプロイメント: 選択したクラウドプロバイダ用のTraffic CNAMEを使用します。
-
マルチクラウドデプロイメント: すべての選択したリージョンとプロバイダにトラフィックを自動分散するためにTraffic CNAME (Global)を使用します。
特定のプロバイダにルーティングを固定する必要がある場合は、プロバイダ別のCNAMEも利用できます。例えば、プロバイダ間のレイテンシやパフォーマンスをテストする目的です。
Aレコード¶
保護対象ホストがApexドメイン(例: example.com)の場合、CNAMEは使用できません。この場合、DNS設定ではAレコードを使用する必要があり、デプロイメントがActiveになると返されます。
Edge Nodeのデプロイメントに複数のリージョンまたはプロバイダを選択した場合は、返されたすべてのAレコードをDNSゾーンに設定する必要があります。
この場合のトラフィックのルーティングはDNSプロバイダによって管理されます。既定では、ほとんどのDNSプロバイダはラウンドロビンのロジックを使用しますが、レイテンシベースのルーティングをサポートしている場合もあります。
クラウドプロバイダまたはリージョンの削除¶
-
クラウドプロバイダを削除する前に、DNS設定を残存プロバイダのTraffic CNAMEを使用するよう切り替えてください。
クラウドプロバイダを削除すると、そのTraffic CNAMEは削除されます。
プロバイダが1つだけ残る場合、Traffic CNAME (Global)も削除され、使用できなくなります。
-
リージョンを削除する前に、該当するAレコードを更新してください。
リージョンを削除すると、関連するAレコードは利用できなくなります。