アップデートの概要
AWS Network Firewall で、TCP アイドルタイムアウト値をカスタマイズできるようになりました。従来はこの値は 350 秒に固定されていましたが、今回のアップデートにより、60 秒から6,000 秒の間で任意に変更できるようになりました。
参考リンク
AWS Network Firewall は、AWS Network Firewall の TCP アイドルタイムアウト値を変更し、アプリケーションの TCP アイドルタイムアウト値に合わせることができる新機能を発表しました。この機能を使用することで、AWS Network Firewall は金融アプリケーション、データベース、ERP システムなど、実行時間の長いフローを使用するアプリケーションのステートフルな検査を中断なく実行できます。
今回のリリース以前は、TCP アイドルタイムアウトは 350 秒という固定値でした。これにより、一部のアプリケーションの長時間のフローが中断される場合がありました。今回のリリースにより、AWS Network Firewall の TCP アイドルタイムアウトを 60 秒から 6000 秒の間の値に柔軟に設定できます。デフォルトは下位互換性のために 350 秒のままです。
公式ドキュメントからの情報
TCP 接続がアイドル状態と判断され、切断されるまでの時間を設定できます。設定を変更すると、新しい設定は変更後に確立される新しいTCP接続に適用されます。既存のセッションには、変更前の設定が引き続き適用されます。
参考リンク
TCP idle timeouts (Optional) – Defines the number of seconds that can pass without any traffic sent through the firewall before the firewall determines that the TCP connection is idle. Existing TCP connections and flows are not impacted when you update this value. Only new connections after you update this value are impacted.
You can define the value to be between 60 and 6000 seconds. If no value is provided, it defaults to 350 seconds.
ユースケースの例
Active Directory (AD) のサイト間レプリケーションは、デフォルトで3時間ごとに実行されます。これは5,400秒に相当します。
このプロセスがオンプレミスとAWS間で行われる場合、間にAWS Network Firewallがあると、デフォルトのTCPアイドルタイムアウト設定では通信が切断される可能性があります。
これを防ぐためには、TCPアイドルタイムアウトを6,000秒などに設定することで、通信が中断されることなく、ADのレプリケーションプロセスを継続することが可能です。
この設定により、長時間にわたるレプリケーションフローが中断されることなく、効率的にデータを同期することができます。
参考リンク
長く設定する場合の懸念
TCPアイドルタイムアウトを6,000秒(約1時間40分)に設定すると、Network Firewall を利用する通信接続がタイムアウトせずに、長時間維持されることになります。
これにより、サーバーに負荷がかかる可能性があります。
そのため、AWS Network Firewallを利用するアプリケーションに最適なタイムアウトを設定することが重要と考えます。
設定前に、アプリケーションの特性や変更の必要性を慎重に確認してください。
短く設定する場合の懸念
今回のアップデートにより、タイムアウトを短く設定することも可能になりました。
しかし、TCPアイドルタイムアウトを 60 秒のように短く設定すると、特定の機能が正常に動作しなくなる可能性があります。
例えば、私の検証環境では、AWS Systems ManagerのSession Manager機能でEC2に接続できなくなることがありました。
このため、タイムアウトを短く設定する場合は、影響を受ける可能性のあるアプリケーションについて事前に確認し、慎重に設定することが重要です。
AWSマネジメントコンソールでの設定方法
ファイアーウォールポリシーの設定に、アイドルタイムアウトの項目があります。
チェックボックスを入れて、秒数を指定します。
「保存」を押すと、画面左上に更新された旨のメッセージが出ます。
まとめ
今回のアップデートにより、AWS Network FirewallでTCPアイドルタイムアウトをカスタマイズできるようになったことは、メリットです。特に、長時間にわたる接続が必要なアプリケーションにおいて、接続の安定性や効率を向上させることができます。 設定可能な範囲が60秒から6,000秒までに拡大されたことで、各アプリケーションの要件に合わせた柔軟な調整が可能になりました。しかし、設定を変更する際には、サーバーの負荷やアプリケーションの互換性に注意が必要です。長すぎる設定はサーバーに負荷をかける可能性があり、短すぎる設定は一部の機能を阻害する可能性があります。 このアップデートを活用する際には、事前に現行のシステムやアプリケーションの特性を確認し、最適なタイムアウトを設定することが重要です。また、設定の変更が既存のセッションには影響を与えないことも考慮に入れて、新しい接続がどのように影響を受けるかを理解しておくことが大切です。 AWSマネジメントコンソールを使って簡単に設定を変更できるため、ぜひこの新しい機能を活用して、より効果的なネットワーク管理を実現してください。
余談
近所のマラソン大会でハーフマラソンを走ってきました。
11 月とは思えない暑さに参りました。
山の紅葉が綺麗でした。
山本 哲也 (記事一覧)
カスタマーサクセス部のエンジニア。2024 Japan AWS Top Engineers に選んでもらいました。
今年の目標は Advanced Networking – Specialty と Machine Learning - Specialty を取得することです。
山を走るのが趣味です。今年の目標は 100 km と 100 mile を完走することです。 100 km は Gran Trail みなかみで完走しました。OSJ koumi 100 で 100 mile 砕け散りました。どこかで 100 mile やりたいです。
基本的にのんびりした性格です。座右の銘は「いつか着く」
