Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure Firewall je spravovaná cloudová služba zabezpečení sítě, která chrání prostředky virtuální sítě Azure. Jedná se o plně stavovou službu firewall, která zahrnuje integrovanou vysokou dostupnost a neomezenou cloudovou škálovatelnost.
Při používání Azure je spolehlivost sdílenou odpovědností. Microsoft nabízí celou řadu možností, které podporují odolnost a obnovení. Zodpovídáte za pochopení toho, jak tyto možnosti fungují ve všech službách, které používáte, a výběrem možností, které potřebujete ke splnění vašich obchodních cílů a cílů dostupnosti.
Tento článek popisuje, jak zajistit odolnost služby Azure Firewall vůči nejrůznějším potenciálním výpadkům a problémům, včetně přechodných chyb, výpadků zón dostupnosti a výpadků oblastí. Popisuje také odolnost během údržby služeb a zvýrazňuje některé klíčové informace o smlouvě o úrovni služeb brány firewall (SLA).
Doporučení pro nasazení do produkčního prostředí
Informace o nasazení služby Azure Firewall pro podporu požadavků na spolehlivost vašeho řešení a o tom, jak spolehlivost ovlivňuje další aspekty architektury, najdete v tématu Osvědčené postupy architektury pro Azure Firewall v architektuře Azure Well-Architected Framework.
Přehled architektury spolehlivosti
Instance odkazuje na jednotku na úrovni virtuálního počítače brány firewall. Každá instance představuje infrastrukturu, která zpracovává provoz a provádí kontroly brány firewall.
Pokud chcete dosáhnout vysoké dostupnosti brány firewall, Azure Firewall automaticky poskytuje alespoň dvě instance bez nutnosti zásahu nebo konfigurace. Brána firewall se automaticky škáluje, když průměrná propustnost, spotřeba procesoru a využití připojení dosáhnou předdefinovaných prahových hodnot. Další informace najdete v tématu Výkon služby Azure Firewall. Platforma automaticky spravuje vytváření instancí, monitorování stavu a náhradu instancí, které nejsou v pořádku.
Aby bylo možné dosáhnout ochrany proti selháním serverového a serverového racku, Azure Firewall automaticky distribuuje instance napříč několika doménami selhání v rámci oblasti.
Následující diagram znázorňuje bránu firewall se dvěma instancemi:
Pokud chcete zvýšit redundanci a dostupnost během selhání datacentra, můžete povolit redundanci zón, která distribuuje instance napříč několika zónami dostupnosti.
Odolnost proti přechodným chybám
Přechodné chyby jsou krátká, přerušovaná selhání ve složkách. V distribuovaném prostředí, jako je cloud, se vyskytují často a jsou normální součástí provozu. Přechodné chyby se opravují po krátké době. Je důležité, aby vaše aplikace mohly zpracovávat přechodné chyby, obvykle opakováním ovlivněných požadavků.
Všechny aplikace hostované v cloudu by měly při komunikaci se všemi cloudovými rozhraními API, databázemi a dalšími komponentami postupovat podle pokynů pro zpracování přechodných chyb Azure. Další informace najdete v tématu Doporučení pro zpracování přechodných chyb.
U aplikací, které se připojují přes Azure Firewall, implementujte logiku opakování s exponenciálním zpochybněním pro zpracování potenciálních přechodných problémů s připojením. Stavová povaha služby Azure Firewall zajišťuje zachování legitimních připojení během krátkého přerušení sítě.
Během operací škálování, které trvá 5 až 7 minut, se stávající připojení zachovají, zatímco se přidají nové instance brány firewall pro zpracování zvýšeného zatížení.
Odolnost proti chybám zóny dostupnosti
Zóny dostupnosti jsou fyzicky oddělené skupiny datacenter v rámci oblasti Azure. Když jedna zóna selže, mohou služby přejít na jednu ze zbývajících zón.
Azure Firewall se při vytváření prostřednictvím webu Azure Portal automaticky nasadí napříč zónami dostupnosti v podporovaných oblastech. Pro pokročilé možnosti konfigurace zóny musíte použít Azure PowerShell, Azure CLI, Bicep nebo šablony Azure Resource Manageru (šablony ARM).
Azure Firewall podporuje zónově redundantní i zónové modely nasazení:
Zónově redundantní: Pokud je povolená redundance zón, Azure distribuuje instance brány firewall napříč několika zónami dostupnosti v dané oblasti. Azure spravuje vyrovnávání zatížení a převzetí služeb při selhání mezi zónami automaticky.
Zónově redundantní brány firewall mají nejvyšší smlouvu o úrovni služeb (SLA). Doporučuje se pro produkční úlohy, které vyžadují maximální dostupnost.
Následující diagram znázorňuje zónově redundantní bránu firewall se třemi instancemi distribuovanými napříč třemi zónami dostupnosti:
Poznámka:
Pokud vytvoříte bránu firewall pomocí Azure portálu, se redundance zón automaticky povolí.
Zónový: Pokud je vaše řešení neobvykle citlivé na latenci napříč zónami, můžete azure Firewall přidružit ke konkrétní zóně dostupnosti. K nasazení v blízkosti back-endových serverů můžete použít zónové nasazení. V této zóně se nasadí všechny instance zónové brány firewall.
Následující diagram znázorňuje zónovou bránu firewall se třemi instancemi nasazenými do stejné zóny dostupnosti:
Důležité
Doporučujeme připnout k jedné zóně dostupnosti jenom v případech, kdy latence napříč zónami překračuje přijatelné limity a ověřili jste, že latence nesplňuje vaše požadavky. Samotná zónová brána firewall neposkytuje odolnost vůči výpadku zóny dostupnosti. Pokud chcete zlepšit odolnost zónového nasazení služby Azure Firewall, musíte ručně nasadit samostatné brány firewall do několika zón dostupnosti a nakonfigurovat směrování provozu a převzetí služeb při selhání.
Pokud bránu firewall nenakonfigurujete tak, aby byla zónově redundantní nebo zónová, považuje se za nezonální nebo regionální. Nezonální brány firewall se dají umístit do jakékoli zóny dostupnosti v dané oblasti. Pokud dojde k výpadku zóny dostupnosti v oblasti, můžou být v ovlivněné zóně nezonální brány firewall a můžou docházet k výpadkům.
Podpora oblastí
Azure Firewall podporuje zóny dostupnosti ve všech oblastech, které podporují zóny dostupnosti, kde je dostupná služba Azure Firewall.
Požadavky
- Všechny úrovně služby Azure Firewall podporují zóny dostupnosti.
- Pro zónově redundantní brány firewall musíte použít standardní veřejné IP adresy a nakonfigurovat je tak, aby byly zónově redundantní.
- Pro zónové brány firewall musíte použít standardní veřejné IP adresy a můžete je nakonfigurovat tak, aby byly zónově redundantní nebo zónové ve stejné zóně jako brána firewall.
Náklady
Za bránu firewall nasazenou ve více než jedné zóně dostupnosti nejsou žádné další poplatky.
Konfigurujte podporu zón dostupnosti
Tato část vysvětluje, jak nakonfigurovat podporu zón dostupnosti pro vaše brány firewall.
Vytvořte novou bránu firewall s podporou zóny dostupnosti: Přístup, který použijete ke konfiguraci zón dostupnosti, závisí na tom, jestli chcete vytvořit zónově redundantní nebo zónovou bránu firewall a nástroje, které používáte.
Důležité
Redundance zón se automaticky povolí při nasazení prostřednictvím webu Azure Portal. Ke konfiguraci konkrétních zón musíte použít jiný nástroj, například Azure CLI, Azure PowerShell, Bicep nebo šablony ARM.
Zónově redundantní: Když nasadíte novou bránu firewall pomocí webu Azure Portal, brána firewall je ve výchozím nastavení zónově redundantní. Další informace najdete v tématu Nasazení služby Azure Firewall pomocí webu Azure Portal.
Pokud používáte Azure CLI, Azure PowerShell, Bicep, šablony ARM nebo Terraform, můžete volitelně zadat zóny dostupnosti pro nasazení. Pokud chcete nasadit zónově redundantní bránu firewall, zadejte dvě nebo více zón. Doporučujeme vybrat všechny zóny, aby brána firewall mohly používat každou zónu dostupnosti, pokud nemáte konkrétní důvod k vyloučení zóny.
Další informace o nasazení brány firewall ZR najdete v tématu Nasazení služby Azure Firewall se zónami dostupnosti.
Poznámka:
Když vyberete, které zóny dostupnosti se mají použít, ve skutečnosti vybíráte logickou zónu dostupnosti. Pokud nasadíte jiné součásti úloh v jiném předplatném Azure, můžou pro přístup ke stejné zóně fyzické dostupnosti použít jiné číslo logické zóny dostupnosti. Další informace najdete v tématu Fyzické a logické zóny dostupnosti.
Povolení podpory zón dostupnosti u existující brány firewall: Zóny dostupnosti můžete povolit na existující bráně firewall, pokud splňuje konkrétní kritéria. Tento proces vyžaduje zastavení (zrušení přidělení) brány firewall a jeho překonfigurování. Očekávejte výpadek. Další informace najdete v tématu Konfigurace zón dostupnosti po nasazení.
Změna konfigurace zóny dostupnosti existující brány firewall: Pokud chcete změnit konfiguraci zóny dostupnosti, musíte nejprve zastavit (uvolnit) bránu firewall, proces, který zahrnuje určité výpadky. Další informace najdete v tématu Konfigurace zón dostupnosti po nasazení.
Zakázání podpory zóny dostupnosti: Můžete změnit zóny dostupnosti, které brána firewall používá, ale nemůžete převést zónově redundantní nebo zónovou bránu firewall na nezonální konfiguraci.
Chování, když jsou všechny zóny v pořádku
Tato část popisuje, co očekávat, když je služba Azure Firewall nakonfigurovaná s podporou zóny dostupnosti a všechny zóny dostupnosti jsou funkční.
Směrování provozu mezi zónami: Chování směrování provozu závisí na konfiguraci zóny dostupnosti, kterou používá vaše brána firewall.
Zónově redundantní: Azure Firewall automaticky distribuuje příchozí požadavky mezi instance ve všech zónách, které brána firewall používá. Tato konfigurace aktivní-aktivní zajišťuje optimální výkon a distribuci zatížení za normálních provozních podmínek.
Zónový: Pokud nasadíte více zónových instancí napříč různými zónami, musíte nakonfigurovat směrování provozu pomocí externích řešení vyrovnávání zatížení, jako je Azure Load Balancer nebo Azure Traffic Manager.
Správa instancí: Platforma automaticky spravuje umístění instancí napříč zónami, které brána firewall používá, nahrazení neúspěšných instancí a udržování nakonfigurovaného počtu instancí. Monitorování stavu zajišťuje, aby provoz přijímaly pouze instance, které jsou v pořádku.
Replikace dat mezi zónami: Azure Firewall nemusí synchronizovat stav připojení napříč zónami dostupnosti. Instance, která zpracovává požadavek, udržuje stav každého připojení.
Chování při selhání zóny
Tato část popisuje, co očekávat, když je služba Azure Firewall nakonfigurovaná s podporou zóny dostupnosti a jedna nebo více zón dostupnosti není k dispozici.
Detekce a odpověď: Odpovědnost za detekci a odpověď závisí na konfiguraci zóny dostupnosti, kterou používá vaše brána firewall.
Zónově redundantní: V případě instancí nakonfigurovaných tak, aby používaly redundanci zón, platforma Azure Firewall detekuje selhání v zóně dostupnosti a reaguje na ně. Nemusíte inicializovat převzetí služeb při selhání zóny.
Zónový: Pro brány firewall nakonfigurované tak, aby byly zónové, musíte zjistit ztrátu zóny dostupnosti a zahájit převzetí služeb při selhání sekundární bránou firewall, kterou vytvoříte v jiné zóně dostupnosti.
- Oznámení: Microsoft vás automaticky neoznámí, když je zóna mimo provoz. Azure Service Health ale můžete použít k pochopení celkového stavu služby, včetně jakýchkoli selhání zón, a můžete nastavit upozornění služby Service Health , která vás upozorní na problémy.
Aktivní připojení: Pokud je zóna dostupnosti nedostupná, můžou se požadavky probíhající připojené k instanci brány firewall v vadné zóně dostupnosti ukončit a vyžadovat opakování.
Očekávaná ztráta dat: Během převzetí služeb při selhání zóny se neočekává žádná ztráta dat, protože Azure Firewall neukládá trvalá zákaznická data.
Očekávaný výpadek: Výpadek závisí na konfiguraci zóny dostupnosti, kterou používá vaše brána firewall.
Zónově redundantní: Během výpadku zóny dostupnosti můžete očekávat minimální prostoje (obvykle několik sekund). Klientské aplikace by měly dodržovat postupy pro zpracování přechodných chyb, včetně implementace zásad opakování s exponenciálním výpadkem.
Zónový: Pokud je zóna nedostupná, brána firewall zůstane nedostupná, dokud se zóna dostupnosti neobnoví.
Přesměrování provozu: Chování přesměrování provozu závisí na konfiguraci zóny dostupnosti, kterou používá vaše brána firewall.
Zónově redundantní: Provoz se automaticky směruje do zón dostupnosti, které jsou v pořádku. V případě potřeby platforma vytvoří nové instance brány firewall v zónách, které jsou v pořádku.
Zónový: Pokud je zóna nedostupná, je zónová brána firewall také nedostupná. Pokud máte sekundární bránu firewall v jiné zóně dostupnosti, zodpovídáte za přesměrování provozu do této brány firewall.
Failback
Chování navrácení služeb po obnovení závisí na konfiguraci zóny dostupnosti, kterou používá vaše brána firewall.
Zónově redundantní: Jakmile se zóna dostupnosti obnoví, Azure Firewall automaticky redistribuuje instance napříč všemi zónami, které brána firewall používá, a obnoví normální vyrovnávání zatížení napříč zónami.
Zónový: Po obnovení zóny dostupnosti zodpovídáte za přesměrování provozu do brány firewall v původní zóně dostupnosti.
Testování poruch zón
Možnosti testování selhání zón závisí na konfiguraci zóny dostupnosti vaší brány firewall.
Zónově redundantní: Platforma Azure Firewall spravuje směrování provozu, převzetí služeb při selhání a navrácení služeb po obnovení pro zónově redundantní prostředky brány firewall. Tato funkce je plně spravovaná, takže nemusíte zahajovat ani ověřovat procesy selhání zóny dostupnosti.
Zónový: Aspekty selhání zóny dostupnosti můžete simulovat zastavením brány firewall. Tento přístup použijte k otestování, jak jiné systémy a nástroje pro vyrovnávání zatížení zpracovávají výpadek v bráně firewall. Další informace najdete v tématu Zastavení a spuštění služby Azure Firewall.
Odolnost proti selháním v celé oblasti
Azure Firewall je služba s jednou oblastí. Pokud oblast není k dispozici, prostředek brány firewall je také nedostupný.
Vlastní řešení pro více regionů pro odolnost systémů
Pokud chcete implementovat architekturu s více oblastmi, použijte samostatné brány firewall. Tento přístup vyžaduje, abyste do každé oblasti nasadili nezávislou bránu firewall, směrovali provoz do příslušné regionální brány firewall a implementovali logiku pro vlastní převzetí služeb při selhání. Vezměte v úvahu následující body:
Azure Firewall Manager slouží k centralizované správě zásad napříč několika branami firewall. Použijte metodu zásad brány firewall pro centralizovanou správu pravidel napříč několika instancemi brány firewall.
Implementujte směrování provozu pomocí Traffic Manageru nebo služby Azure Front Door.
Příklad architektury, která znázorňuje architektury zabezpečení sítě ve více oblastech, najdete v tématu Vyrovnávání zatížení více oblastí pomocí Traffic Manageru, služby Azure Firewall a služby Application Gateway.
Odolnost vůči údržbě služeb
Azure Firewall provádí pravidelné upgrady služeb a další formy údržby.
Denní časové intervaly údržby můžete nakonfigurovat tak, aby odpovídaly plánům upgradu s vašimi provozními potřebami. Další informace najdete v tématu Konfigurace údržby řízené zákazníkem pro službu Azure Firewall.
Smlouva o úrovni služeb
Smlouva o úrovni služeb (SLA) pro služby Azure popisuje očekávanou dostupnost každé služby a podmínky, které musí vaše řešení splnit, aby bylo dosaženo očekávané dostupnosti. Další informace najdete v tématu Smlouvy SLA pro online služby.
Azure Firewall poskytuje smlouvu SLA s vyšší dostupností pro brány firewall nasazené ve dvou nebo více zónách dostupnosti.