Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure Bastion je plně spravovaná platforma jako služba (PaaS), kterou zřídíte, aby poskytovala vysoce zabezpečená připojení k virtuálním počítačům prostřednictvím privátní IP adresy. Poskytuje bezproblémové připojení RDP/SSH k virtuálním počítačům přímo přes protokol TLS z webu Azure Portal nebo přes nativního klienta SSH nebo RDP, který je už nainstalovaný na místním počítači. Když se připojíte přes Azure Bastion, vaše virtuální počítače nepotřebují veřejnou IP adresu, agenta ani speciální klientský software.
Při používání Azure je spolehlivost sdílenou odpovědností. Microsoft nabízí celou řadu možností, které podporují odolnost a obnovení. Zodpovídáte za pochopení toho, jak tyto možnosti fungují ve všech službách, které používáte, a výběrem možností, které potřebujete ke splnění vašich obchodních cílů a cílů dostupnosti.
Tento článek popisuje, jak zajistit odolnost služby Azure Bastion vůči nejrůznějším potenciálním výpadkům a problémům, včetně přechodných chyb, výpadků zón dostupnosti a výpadků oblastí. Zvýrazňuje některé klíčové informace o smlouvě o úrovni služeb (SLA) služby Azure Bastion.
Důležité
Podpora zón dostupnosti pro Azure Bastion je aktuálně ve verzi Preview. Další podmínky použití pro Microsoft Azure Preview najdete v právních podmínkách, které se vztahují na funkce Azure, které jsou v beta verzi, ve verzi Preview nebo ještě nejsou vydané v obecné dostupnosti.
Doporučení pro produkční nasazení pro spolehlivost
Pro produkční úlohy doporučujeme:
- Použijte úroveň SKU Basic nebo vyšší.
- Povolte redundanci zón, pokud je váš hostitel bastionu v podporované oblasti.
Přehled architektury spolehlivosti
Pokud používáte Azure Bastion, musíte nasadit hostitele bastionu do podsítě, která splňuje požadavky služby Azure Bastion.
Hostitel bastionu má definovaný počet instancí, které se také někdy označují jako jednotky škálování. Každá instance představuje jeden vyhrazený virtuální počítač, který zpracovává připojení služby Azure Bastion. Platforma automaticky spravuje vytváření instancí, monitorování stavu a náhradu instancí, které nejsou v pořádku, takže virtuální počítače nevidíte ani nespravujete přímo.
Skladová položka Basic podporuje přesně dvě instance. Standardní a prémiové SKU umožňují škálování hostitele, kde můžete nakonfigurovat počet instancí, s minimálním počtem dvou instancí. Když přidáte další instance, hostitel bastionu může pojmout další souběžná klientská připojení.
Odolnost proti přechodným chybám
Přechodné chyby jsou krátká, občasná selhání komponentů. Často se vyskytují v distribuovaném prostředí, jako je cloud, a jsou normální součástí provozu. Přechodné chyby se opravují po krátké době. Je důležité, aby vaše aplikace mohly zpracovávat přechodné chyby, obvykle opakováním ovlivněných požadavků.
Všechny aplikace hostované v cloudu by měly při komunikaci se všemi cloudovými rozhraními API, databázemi a dalšími komponentami postupovat podle pokynů pro zpracování přechodných chyb Azure. Další informace najdete v tématu Doporučení pro zpracování přechodných chyb.
Pokud přechodné chyby ovlivňují váš virtuální počítač nebo bastion, klienti používající protokoly SSH (Secure Shell) a RDP (Remote Desktop Protocol) obvykle automaticky zahajují opakované pokusy.
Odolnost proti chybám zóny dostupnosti
Zóny dostupnosti jsou fyzicky oddělené skupiny datacenter v rámci oblasti Azure. Když jedna zóna selže, služby se mohou přesunout do jedné z ostatních zón.
Azure Bastion podporuje zóny dostupnosti v zónově redundantních i zónových konfiguracích:
Zónově redundantní: Zónově redundantní hostitel bastionu dosahuje odolnosti a spolehlivosti rozšířením instancí napříč několika zónami dostupnosti. Vyberete, které zóny dostupnosti chcete použít pro svého hostitele bastionu.
Následující diagram znázorňuje zónově redundantního hostitele bastionu s jeho instancemi rozloženými mezi tři zóny:
Pokud zadáte více zón dostupnosti, než máte instance, Azure Bastion rozloží instance mezi tolik zón, kolik může.
Zónový: Zónový hostitel bastionu a všechny jeho instance jsou v jedné zóně dostupnosti, kterou vyberete.
Důležité
Připnutí do jedné zóny dostupnosti se doporučuje jenom v případě, že je latence napříč zónami pro vaše potřeby příliš vysoká a po ověření, že latence nesplňuje vaše požadavky. Samotný zónový prostředek neposkytuje odolnost vůči výpadku zóny dostupnosti. Chcete-li zlepšit odolnost zónového prostředku, musíte explicitně nasadit samostatné prostředky do více zón dostupnosti a nakonfigurovat směrování provozu a zajištění převzetí služeb při selhání. Další informace najdete v tématu Zónové prostředky a odolnost zón.
Požadavky
Podpora oblastí: Zónové a zónově redundantní hostitele bastionu je možné nasadit do následujících oblastí:
Severní a Jižní Amerika Evropa Střední východ Afrika Asie a Tichomoří Kanada – střed Severní Evropa Katar – střed Jižní Afrika – sever Austrálie – východ Střed USA Švédsko – střed Izrael – střed Korea – střed USA – východ Velká Británie – jih USA – východ 2 Západní Evropa USA – západ 2 Norsko – východ USA – východ 2 (EUAP) Itálie – sever Mexiko – střed Španělsko – střed SKU: Pokud chcete nakonfigurovat hostitele bastionu tak, aby byly zónově redundantní, musíte je nasadit pomocí skladových položek Basic, Standard nebo Premium.
Veřejná IP adresa: Azure Bastion vyžaduje zónově redundantní veřejnou IP adresu skladové položky Standard.
Náklady
Za použití podpory zóny dostupnosti pro Azure Bastion nejsou žádné další náklady. Poplatky jsou určené na SKU bastionového hostitele a počet instancí, které využívá. Informace najdete v tématu o cenách služby Azure Bastion.
Konfigurace podpory zón dostupnosti
Nasazení nového hostitele bastionu s podporou zóny dostupnosti: Když nasadíte nového hostitele bastionu v oblasti, která podporuje zóny dostupnosti, vyberete konkrétní zóny, do které chcete nasadit.
V případě redundance zóny je nutné vybrat více zón.
Když vyberete, které zóny dostupnosti se mají použít, ve skutečnosti vybíráte logickou zónu dostupnosti. Pokud nasadíte jiné součásti úloh v jiném předplatném Azure, můžou pro přístup ke stejné zóně fyzické dostupnosti použít jiné číslo logické zóny dostupnosti. Další informace najdete v tématu Fyzické a logické zóny dostupnosti.
Existující hostitelé bastionu: Konfiguraci zóny dostupnosti existujícího hostitele bastionu není možné změnit. Místo toho musíte vytvořit bastionový hostitel s novou konfigurací a odstranit starý.
Chování, když jsou všechny zóny v pořádku
Tato část popisuje, co očekávat, když jsou hostitelé bastionu nakonfigurovaní pro podporu zóny dostupnosti a všechny zóny dostupnosti jsou funkční.
Směrování provozu mezi zónami: Když zahájíte relaci SSH nebo RDP, můžete ji směrovat do instance služby Azure Bastion v libovolné z vybraných zón dostupnosti.
Pokud nakonfigurujete redundanci zón na hostiteli bastionu, může se relace odeslat do instance bastionu v zóně dostupnosti, která se liší od virtuálního počítače, ke kterému se připojujete. V následujícím diagramu se požadavek od uživatele odešle do instance služby Azure Bastion v zóně 2, i když je virtuální počítač v zóně 1:
Návod
Ve většině scénářů není množství latence napříč zónami významné. Pokud ale pro úlohy máte neobvykle přísné požadavky na latenci, měli byste nasadit vyhrazeného hostitele bastionu s jednou zónou v zóně dostupnosti virtuálního počítače. Mějte na paměti, že tato konfigurace neposkytuje redundanci zón a nedoporučujeme ji pro většinu zákazníků.
Replikace dat mezi zónami: Vzhledem k tomu, že Azure Bastion neukládá stav, neexistují žádná data k replikaci mezi zónami.
Chování při selhání zóny
Tato část popisuje, co očekávat, když jsou bastionové servery nakonfigurovány pro podporu dostupnosti zóny a dojde k jejímu výpadku.
Detekce a odpověď: Když použijete redundanci zóny, Azure Bastion zjistí selhání v zóně dostupnosti a reaguje na ně. K zahájení přepnutí zóny dostupnosti nemusíte nic dělat.
V případě zónově redundantních instancí se Azure Bastion snaží nahradit všechny ztracené instance kvůli výpadku zóny. Není však zaručeno, že instance budou nahrazeny.
- Oznámení: Microsoft vás automaticky neoznámí, když je zóna mimo provoz. Azure Resource Health ale můžete použít k monitorování stavu jednotlivých prostředků a můžete nastavit upozornění služby Resource Health , která vás upozorní na problémy. Pomocí služby Azure Service Health můžete také porozumět celkovému stavu služby, včetně jakýchkoli selhání zón, a můžete nastavit upozornění služby Service Health , která vás upozorní na problémy.
Aktivní požadavky: Pokud je zóna dostupnosti nedostupná, ukončují se všechna probíhající připojení RDP nebo SSH, která používají instanci služby Azure Bastion v vadné zóně dostupnosti, a je potřeba je opakovat.
Pokud virtuální počítač, ke kterému se připojujete, není v ovlivněné zóně dostupnosti, bude dál spuštěný. Další informace o fungování virtuálních počítačů při výpadku zóny najdete v tématu Spolehlivost ve virtuálních počítačích – Chování při selhání zóny.
Očekávaný výpadek: Očekávaný výpadek závisí na konfiguraci zóny dostupnosti, kterou váš hostitel bastionu používá.
Zónově redundantní: Při obnovování operací služby může dojít k malému výpadku. Tento výpadek je obvykle několik sekund.
Zóna: Vaše instance nebude k dispozici, dokud se zóna dostupnosti nezotaví.
Očekávaná ztráta dat: Vzhledem k tomu, že Azure Bastion neukládá stav, během selhání zóny se neočekává žádná ztráta dat.
Přesměrování provozu: Když použijete redundanci zón, nová připojení používají instance Služby Azure Bastion v zónách dostupnosti, které jsou v pořádku. Celkově azure Bastion zůstává funkční.
Obnovení zóny
Když se zóna dostupnosti obnoví, Azure Bastion automaticky obnoví instance v zóně dostupnosti a směruje provoz mezi vašimi instancemi jako obvykle.
Testování poruch zón
Platforma Azure Bastion spravuje směrování provozu, převzetí služeb při selhání a navrácení služeb po obnovení pro zónově redundantní hostitele bastionu. Vzhledem k tomu, že je tato funkce plně spravovaná, nemusíte zahajovat nic ani ověřovat procesy selhání zóny dostupnosti.
Odolnost proti selháním v celé oblasti
Azure Bastion je nasazený v rámci virtuálních sítí nebo partnerských virtuálních sítí a je přidružený k oblasti Azure. Azure Bastion je služba s jednou oblastí. Pokud oblast přestane být dostupná, váš hostitel bastionu je také nedostupný.
Azure Bastion podporuje přístup k virtuálním počítačům v globálně partnerských virtuálních sítích, ale pokud oblast hostující hostitele bastionu není dostupná, nebudete moct hostitele bastionu používat. Pokud chcete větší odolnost, nasadíte-li své celkové řešení do více oblastí se samostatnými virtuálními sítěmi v každé oblasti, měli byste nasadit Azure Bastion do každé oblasti.
Pokud máte lokalitu pro zotavení po havárii v jiné oblasti Azure, nezapomeňte nasadit Azure Bastion do virtuální sítě v této oblasti.
Smlouva o úrovni služeb
Smlouva o úrovni služeb (SLA) pro služby Azure popisuje očekávanou dostupnost každé služby a podmínky, které musí vaše řešení splnit, aby bylo dosaženo očekávané dostupnosti. Další informace najdete v tématu Smlouvy SLA pro online služby.