مشاركة عبر

الموثوقية في Azure Firewall

جدار الحماية من Azure هو خدمة أمن شبكات مدارة قائمة على السحابة تحمي موارد شبكة Azure الافتراضية. إنها خدمة جدار حماية ذات حالة كاملة تتضمن قابلية وصول عالية مضمنة وقابلية توسع سحابية غير مقيدة.

عند استخدام Azure، تعد الموثوقية مسؤولية مشتركة. توفر Microsoft مجموعة من الإمكانات لدعم المرونة والاسترداد. أنت مسؤول عن فهم كيفية عمل هذه الإمكانات في جميع الخدمات التي تستخدمها، وتحديد الإمكانات التي تحتاجها لتحقيق أهداف عملك وأهداف وقت التشغيل.

تصف هذه المقالة كيفية جعل جدار الحماية في Azure مقاوما لمجموعة متنوعة من الانقطاعات والمشاكل المحتملة، بما في ذلك الأعطال المؤقتة، وانقطاعات مناطق التوفر، وانقطاعات المناطق. كما يصف الصمود أثناء صيانة الخدمة، ويبرز بعض المعلومات الأساسية حول اتفاقية مستوى خدمة الجدار الناري (SLA).

توصيات نشر الإنتاج

للتعرف على كيفية نشر Azure Firewall لدعم متطلبات موثوقية الحل وكيف تؤثر الموثوقية على الجوانب الأخرى للبنية الخاصة بك، راجع أفضل ممارسات البنية لجدار حماية Azure في Azure Well-Architected Framework.

نظرة عامة على بنية الموثوقية

يشير المثيل إلى وحدة على مستوى الجهاز الظاهري (VM) لجدار الحماية. يمثل كل مثيل البنية الأساسية التي تعالج حركة المرور وتنفذ فحوصات جدار الحماية.

لتحقيق قابلية وصول عالية لجدار حماية، يوفر Azure Firewall تلقائيا مثيلين على الأقل، دون الحاجة إلى تدخلك أو تكوينك. يتوسع جدار الحماية تلقائيا عندما يصل متوسط معدل النقل واستهلاك وحدة المعالجة المركزية واستخدام الاتصال إلى حدود محددة مسبقا. لمزيد من المعلومات، راجع أداء Azure Firewall. يدير النظام الأساسي تلقائيا إنشاء المثيل ومراقبة السلامة واستبدال المثيلات غير الصحية.

لتحقيق الحماية ضد فشل رف الخادم والخادم، يوزع Azure Firewall تلقائيا المثيلات عبر مجالات خطأ متعددة داخل المنطقة.

يوضح الرسم التخطيطي التالي جدار حماية بمثيلين:

رسم تخطيطي يعرض Azure Firewall مع مثيلين.

لزيادة التكرار والإتاحة أثناء فشل مركز البيانات، يمكنك تمكين تكرار المنطقة لتوزيع المثيلات عبر مناطق توفر متعددة.

المرونة في مواجهة الأعطال العابرة

الأخطاء العابرة هي حالات فشل قصيرة متقطعة في المكونات. تحدث بشكل متكرر في بيئة موزعة مثل السحابة، وهي جزء طبيعي من العمليات. الأخطاء العابرة تصحح نفسها بعد فترة زمنية قصيرة. من المهم أن تتمكن تطبيقاتك من معالجة الأخطاء العابرة، عادة عن طريق إعادة محاولة الطلبات المتأثرة.

يجب أن تتبع جميع التطبيقات المستضافة على السحابة إرشادات معالجة الأخطاء العابرة ل Azure عند الاتصال بأي واجهات برمجة تطبيقات وقواعد بيانات ومكونات أخرى مستضافة على السحابة. لمزيد من المعلومات، راجع توصيات للتعامل مع الأخطاء العابرة.

بالنسبة للتطبيقات التي تتصل من خلال Azure Firewall، قم بتنفيذ منطق إعادة المحاولة مع التراجع الأسي للتعامل مع مشكلات الاتصال العابرة المحتملة. تضمن الطبيعة ذات الحالة لجدار حماية Azure الحفاظ على الاتصالات المشروعة أثناء انقطاعات الشبكة القصيرة.

أثناء عمليات التحجيم، التي تستغرق من 5 إلى 7 دقائق لإكمالها، يتم الاحتفاظ بالاتصالات الحالية بينما تتم إضافة مثيلات جدار الحماية الجديدة للتعامل مع الحمل المتزايد.

المرونة في مواجهة حالات فشل منطقة التوفر

مناطق التوفر هي مجموعات منفصلة فعليا من مراكز البيانات داخل منطقة Azure. عند فشل منطقة واحدة، يمكن أن تفشل الخدمات إلى إحدى المناطق المتبقية.

يتم نشر Azure Firewall تلقائيا عبر مناطق التوفر في المناطق المدعومة عند إنشائه من خلال مدخل Microsoft Azure. بالنسبة لخيارات تكوين المنطقة المتقدمة، يجب عليك استخدام قوالب Azure PowerShell أو Azure CLI أو Bicep أو Azure Resource Manager (قوالب ARM).

يدعم Azure Firewall كلا من نماذج التوزيع المتكررة في المنطقة والمناطق:

  • المنطقة الزائدة عن الحاجة: عند التمكين لتكرار المنطقة، يوزع Azure مثيلات جدار الحماية عبر مناطق توفر متعددة في المنطقة. يدير Azure موازنة التحميل وتجاوز الفشل بين المناطق تلقائيا.

    تحقق جدران الحماية الزائدة عن الحاجة في المنطقة أعلى اتفاقية مستوى خدمة (SLA) لوقت التشغيل. يوصى بها لأحمال عمل الإنتاج التي تتطلب أقصى قدر من التوفر.

    يوضح الرسم التخطيطي التالي جدار حماية متكرر للمنطقة مع ثلاثة مثيلات موزعة عبر ثلاث مناطق توفر:

    رسم تخطيطي يوضح Azure Firewall بثلاثة مثيلات، كل منها في منطقة توفر منفصلة.

    إشعار

    إذا قمت بإنشاء جدار الحماية الخاص بك باستخدام مدخل Microsoft Azure، تمكين تكرار المنطقة تلقائيا.

  • المناطق: إذا كان الحل الخاص بك حساسا بشكل غير عادي لزمن الانتقال عبر المناطق، فيمكنك إقران Azure Firewall بمنطقة توفر محددة. يمكنك استخدام التوزيع النطاقي للنشر على مقربة من الخوادم الخلفية. يتم نشر جميع مثيلات جدار الحماية النطاقي داخل تلك المنطقة.

    يوضح الرسم التخطيطي التالي جدار حماية منطقة مع ثلاثة مثيلات يتم نشرها في نفس منطقة التوفر:

    رسم تخطيطي يعرض Azure Firewall بثلاثة مثيلات، وكلها في نفس منطقة التوفر.

    مهم

    نوصي بالتثبيت بمنطقة توفر واحدة فقط عندما يتجاوز زمن الانتقال عبر المناطق الحدود المقبولة وتكون قد أكدت أن زمن الانتقال لا يفي بمتطلباتك. لا يوفر جدار الحماية النطاقي وحده مرونة لانقطاع منطقة التوفر. لتحسين مرونة توزيع جدار حماية Azure في المنطقة، يجب عليك نشر جدران حماية منفصلة يدويا في مناطق توفر متعددة وتكوين توجيه نسبة استخدام الشبكة وتجاوز الفشل.

إذا لم تقم بتكوين جدار حماية ليكون زائدا عن الحاجة في المنطقة أو منطقيا، اعتباره غير منطقي أو إقليمي. يمكن وضع جدران الحماية غير الإقليمية في أي منطقة توفر داخل المنطقة. إذا واجهت منطقة توفر في المنطقة انقطاعا، فقد تكون جدران الحماية غير الإقليمية في المنطقة المتأثرة وقد تواجه توقفا.

دعم المنطقة

يدعم Azure Firewall مناطق التوفر في جميع المناطق التي تدعم مناطق التوفر، حيث تتوفر خدمة Azure Firewall.

Requirements

  • تدعم جميع مستويات Azure Firewall مناطق التوفر.
  • بالنسبة لجدران الحماية الزائدة عن الحاجة في المنطقة، يجب عليك استخدام عناوين IP العامة القياسية وتكوينها لتكون زائدة عن الحاجة في المنطقة.
  • بالنسبة لجدران الحماية المنطقية، يجب عليك استخدام عناوين IP العامة القياسية ويمكنك تكوينها لتكون إما زائدة عن الحاجة في المنطقة أو منطقة في نفس المنطقة مثل جدار الحماية.

Cost

لا توجد تكلفة إضافية لجدار حماية تم نشره في أكثر من منطقة توفر واحدة.

تكوين دعم منطقة التوفر

يشرح هذا القسم كيفية تكوين دعم منطقة التوفر لجدران الحماية الخاصة بك.

  • قم بإنشاء جدار حماية جديد مع دعم منطقة التوفر: يعتمد الأسلوب الذي تستخدمه لتكوين مناطق التوفر على ما إذا كنت تريد إنشاء جدار حماية متكرر أو منطقي للمنطقة، والأدوات التي تستخدمها.

    مهم

    يتم تمكين تكرار المنطقة تلقائيا عند النشر من خلال مدخل Microsoft Azure. لتكوين مناطق معينة، يجب عليك استخدام أداة أخرى، مثل قوالب Azure CLI أو Azure PowerShell أو Bicep أو ARM.

    • المنطقة الزائدة عن الحاجة: عند نشر جدار حماية جديد باستخدام مدخل Microsoft Azure، يكون جدار الحماية الخاص بك زائدا عن الحاجة في المنطقة بشكل افتراضي. لمزيد من المعلومات، راجع توزيع جدار حماية Azure باستخدام مدخل Microsoft Azure.

      عند استخدام قوالب Azure CLI أو Azure PowerShell أو Bicep أو ARM أو Terraform، يمكنك اختياريا تحديد مناطق التوفر للتوزيع. لنشر جدار حماية متكرر في المنطقة، حدد منطقتين أو أكثر. نوصي بتحديد جميع المناطق حتى يتمكن جدار الحماية الخاص بك من استخدام كل منطقة توفر، ما لم يكن لديك سبب محدد لاستبعاد منطقة.

      لمزيد من المعلومات حول نشر جدار حماية ZR، راجع نشر جدار حماية Azure مع مناطق التوفر.

      إشعار

      عند تحديد مناطق التوفر التي يجب استخدامها، فإنك تحدد بالفعل منطقة التوفر المنطقية. إذا قمت بنشر مكونات حمل العمل الأخرى في اشتراك Azure مختلف، فقد تستخدم رقم منطقة توفر منطقية مختلفة للوصول إلى نفس منطقة التوفر الفعلية. لمزيد من المعلومات، راجع مناطق التوفر المادية والمنطقية.

  • تمكين دعم منطقة التوفر على جدار حماية موجود: يمكنك تمكين مناطق التوفر على جدار حماية موجود إذا كان يفي بمعايير محددة. تتطلب منك العملية إيقاف (إلغاء تخصيص) جدار الحماية وإعادة تكوينه. توقع بعض التوقف عن العمل. لمزيد من المعلومات، راجع تكوين مناطق التوفر بعد النشر.

  • قم بتغيير تكوين منطقة التوفر لجدار حماية موجود: لتغيير تكوين منطقة التوفر ، تحتاج أولا إلى إيقاف (إلغاء تخصيص) جدار الحماية ، وهي عملية تتضمن قدرا من وقت التوقف عن العمل. لمزيد من المعلومات، راجع تكوين مناطق التوفر بعد النشر.

  • تعطيل دعم منطقة التوفر: يمكنك تغيير مناطق التوفر التي يستخدمها جدار الحماية، ولكن لا يمكنك تحويل جدار حماية متكرر أو منطقي إلى تكوين غير منطقي.

السلوك عندما تكون جميع المناطق صحية

يصف هذا القسم ما يمكن توقعه عند تكوين Azure Firewall مع دعم منطقة التوفر وتشغيل جميع مناطق التوفر.

  • توجيه حركة المرور بين المناطق: يعتمد سلوك توجيه نسبة استخدام الشبكة على تكوين منطقة التوفر التي يستخدمها جدار الحماية الخاص بك.

    • المنطقة الزائدة عن الحاجة: يوزع Azure Firewall تلقائيا الطلبات الواردة عبر المثيلات في جميع المناطق التي يستخدمها جدار الحماية الخاص بك. يضمن هذا التكوين النشط والنشط الأداء الأمثل وتوزيع الحمل في ظل ظروف التشغيل العادية.

    • المناطق: إذا قمت بنشر مثيلات متعددة للمناطق عبر مناطق مختلفة، فيجب عليك تكوين توجيه نسبة استخدام الشبكة باستخدام حلول موازنة التحميل الخارجية مثل Azure Load Balancer أو Azure Traffic Manager.

  • إدارة المثيل: يدير النظام الأساسي تلقائيا موضع المثيل عبر المناطق التي يستخدمها جدار الحماية الخاص بك، ويحل محل المثيلات الفاشلة ويحافظ على عدد المثيلات التي تم تكوينها. تضمن مراقبة السلامة أن المثيلات السليمة فقط هي التي تتلقى حركة المرور.

  • النسخ المتماثل للبيانات بين المناطق: لا يحتاج Azure Firewall إلى مزامنة حالة الاتصال عبر مناطق التوفر. يحتفظ المثيل الذي يعالج الطلب بحالة كل اتصال.

السلوك أثناء فشل المنطقة

يصف هذا القسم ما يمكن توقعه عند تكوين Azure Firewall مع دعم منطقة التوفر وعدم توفر منطقة توفر واحدة أو أكثر.

  • الكشف والاستجابة: تعتمد مسؤولية الكشف والاستجابة على تكوين منطقة التوفر التي يستخدمها جدار الحماية الخاص بك.

    • المنطقة الزائدة عن الحاجة: بالنسبة للمثيلات التي تم تكوينها لاستخدام تكرار المنطقة، يكتشف النظام الأساسي لجدار حماية Azure فشلا في منطقة التوفر ويستجيب له. لا تحتاج إلى بدء تجاوز فشل المنطقة.

    • المناطق: بالنسبة لجدران الحماية التي تم تكوينها لتكون منطقية، تحتاج إلى اكتشاف فقدان منطقة توفر وبدء تجاوز الفشل إلى جدار حماية ثانوي تقوم بإنشائه في منطقة توفر أخرى.

  • الإعلام: لا تقوم Microsoft بإعلامك تلقائيا عندما تكون المنطقة معطلة. ومع ذلك، يمكنك استخدام Azure Service Health لفهم السلامة العامة للخدمة، بما في ذلك أي حالات فشل في المنطقة، ويمكنك إعداد تنبيهات حماية الخدمة لإعلامك بالمشكلات.

  • الاتصالات النشطة: عندما تكون منطقة التوفر غير متوفرة، قد تنتهي الطلبات الجارية المتصلة بمثيل جدار حماية في منطقة التوفر المعيبة وتتطلب إعادة المحاولة.

  • فقدان البيانات المتوقع: لا يتوقع فقدان البيانات أثناء تجاوز فشل المنطقة لأن Azure Firewall لا يخزن بيانات العملاء المستمرة.

  • وقت التوقف المتوقع: يعتمد وقت التوقف عن العمل على تكوين منطقة التوفر التي يستخدمها جدار الحماية الخاص بك.

    • المنطقة الزائدة عن الحاجة: توقع الحد الأدنى من وقت التوقف عن العمل (عادة بضع ثوان) أثناء انقطاع منطقة التوفر. يجب أن تتبع تطبيقات العميل ممارسات معالجة الأخطاء العابرة، بما في ذلك تنفيذ نهج إعادة المحاولة مع التراجع الأسي.

    • المناطق: عندما تكون المنطقة غير متوفرة، يظل جدار الحماية الخاص بك غير متاح حتى يتم استرداد منطقة التوفر.

  • إعادة توجيه حركة المرور: يعتمد سلوك إعادة توجيه حركة المرور على تكوين منطقة التوفر التي يستخدمها جدار الحماية الخاص بك.

    • المنطقة الزائدة عن الحاجة: تعيد حركة المرور التوجيه تلقائيا إلى مناطق توافر التوفر السليمة. إذا لزم الأمر ، يقوم النظام الأساسي بإنشاء مثيلات جدار حماية جديدة في المناطق السليمة.

    • المناطق: عندما تكون المنطقة غير متوفرة، يكون جدار الحماية المنطقي غير متاح أيضا. إذا كان لديك جدار حماية ثانوي في منطقة توفر أخرى، فأنت مسؤول عن إعادة توجيه نسبة استخدام الشبكة إلى جدار الحماية هذا.

إرجاع الموارد

يعتمد سلوك إرجاع الفشل على تكوين منطقة التوفر التي يستخدمها جدار الحماية الخاص بك.

  • المنطقة الزائدة عن الحاجة: بعد استرداد منطقة التوفر، يقوم Azure Firewall تلقائيا بإعادة توزيع المثيلات عبر جميع المناطق التي يستخدمها جدار الحماية الخاص بك ويستعيد موازنة التحميل العادية عبر المناطق.

  • المناطق: بعد استرداد منطقة التوفر، تكون مسؤولا عن إعادة توجيه حركة المرور إلى جدار الحماية في منطقة التوفر الأصلية.

اختبار فشل المنطقة

تعتمد خيارات اختبار فشل المنطقة على تكوين منطقة توفر جدار الحماية الخاص بك.

  • المنطقة الزائدة عن الحاجة: يدير النظام الأساسي Azure Firewall توجيه نسبة استخدام الشبكة وتجاوز الفشل وإرجاع الفشل لموارد جدار الحماية المتكررة في المنطقة. تتم إدارة هذه الميزة بالكامل، لذلك لا تحتاج إلى بدء عمليات فشل منطقة التوفر أو التحقق من صحتها.

  • المناطق: يمكنك محاكاة جوانب فشل منطقة التوفر عن طريق إيقاف جدار الحماية. استخدم هذا الأسلوب لاختبار كيفية تعامل الأنظمة وموازنات التحميل الأخرى مع انقطاع في جدار الحماية. لمزيد من المعلومات، راجع إيقاف Azure Firewall وبدء تشغيله.

القدرة على الصمود في وجه الإخفاقات على مستوى المنطقة

Azure Firewall هي خدمة أحادية المنطقة. إذا لم تكن المنطقة متاحة، فإن مورد جدار الحماية الخاص بك غير متاح أيضا.

حلول مخصصة متعددة المناطق للمرونة

لتنفيذ بنية متعددة المناطق، استخدم جدران حماية منفصلة. يتطلب هذا النهج منك نشر جدار حماية مستقل في كل منطقة، وتوجيه حركة المرور إلى الجدار الناري الإقليمي المناسب، وتنفيذ منطق تجاوز الفشل المخصص. ضع فِي الاعتبار النقَاط التَالية:

  • استخدم Azure Firewall Manager لإدارة النهج المركزية عبر جدران الحماية المتعددة. استخدم أسلوب نهج جدار الحماية لإدارة القواعد المركزية عبر مثيلات جدار الحماية المتعددة.

  • تنفيذ توجيه نسبة استخدام الشبكة باستخدام Traffic Manager أو Azure Front Door.

للحصول على مثال على بنية توضح بنيات أمان الشبكة متعددة المناطق، راجع موازنة التحميل متعددة المناطق باستخدام Traffic Manager وAzure Firewall وApplication Gateway.

المرونة في صيانة الخدمة

يقوم Azure Firewall بإجراء ترقيات منتظمة للخدمة وأشكال الصيانة الأخرى.

يمكنك تكوين نوافذ الصيانة اليومية لمواءمة جداول الترقية مع احتياجاتك التشغيلية. لمزيد من المعلومات، راجع تكوين الصيانة التي يتحكم فيها العميل لجدار حماية Azure.

اتفاقية مستوى الخدمة

تصف اتفاقية مستوى الخدمة (SLA) لخدمات Azure التوفر المتوقع لكل خدمة والشروط التي يجب أن يفي بها الحل الخاص بك لتحقيق توقع التوفر هذا. لمزيد من المعلومات، راجع اتفاقيات مستوى الخدمة للخدمات عبر الإنترنت.

يوفر Azure Firewall اتفاقية مستوى خدمة قابلية وصول أعلى لجدران الحماية المنشورة عبر منطقتين أو أكثر من مناطق التوفر.

المحتويات ذات الصلة

  • Last updated on