Spolehlivost ve službě Azure Bastion
Tento článek popisuje podporu spolehlivosti ve službě Azure Bastion. Řeší odolnost uvnitř oblastí dostupnosti prostřednictvím zón dostupnosti. Zahrnuje také nasazení ve více oblastech.
Vzhledem k tomu, že odolnost je sdílenou odpovědností mezi vámi a Microsoftem, tento článek popisuje také způsoby, jak vytvořit odolné řešení, které vyhovuje vašim potřebám.
Důležité
Funkce redundance zón pro prostředky služby Azure Bastion jsou aktuálně ve verzi Preview. Další podmínky použití pro Microsoft Azure Preview najdete v právních podmínkách, které se vztahují na funkce Azure, které jsou v beta verzi, ve verzi Preview nebo ještě nejsou vydané v obecné dostupnosti.
Azure Bastion je plně spravovaná platforma jako služba (PaaS), kterou zřídíte, aby poskytovala vysoce zabezpečená připojení k virtuálním počítačům prostřednictvím privátní IP adresy. Poskytuje bezproblémové připojení RDP/SSH k virtuálním počítačům přímo přes protokol TLS z webu Azure Portal nebo přes nativního klienta SSH nebo RDP, který je už nainstalovaný na místním počítači. Když se připojíte přes Azure Bastion, vaše virtuální počítače nepotřebují veřejnou IP adresu, agenta ani speciální klientský software.
Doporučení pro produkční nasazení
V případě produkčních nasazení byste měli povolit redundanci zón, pokud jsou vaše prostředky služby Azure Bastion v podporované oblasti.
Přechodné chyby
Přechodné chyby jsou krátká přerušovaná selhání v komponentách. Často se vyskytují v distribuovaném prostředí, jako je cloud, a jsou normální součástí provozu. Opravili se po krátké době. Je důležité, aby vaše aplikace zpracovávaly přechodné chyby, obvykle opakováním ovlivněných požadavků.
Pokud přechodné chyby ovlivňují váš virtuální počítač nebo hostitele služby Azure Bastion, klienti používající protokoly SSH (Secure Sockets Host) a RDP (Remote Desktop Protocol) se obvykle opakují automaticky.
Podpora zón dostupnosti
Službu Azure Bastion můžete nakonfigurovat tak, aby byla zónově redundantní, aby se vaše prostředky rozprostřely do několika zón dostupnosti. Při rozložení prostředků mezi zóny dostupnosti můžete dosáhnout odolnosti a spolehlivosti pro produkční úlohy.
Můžete určit, do které zóny dostupnosti nebo zóny se má prostředek služby Azure Bastion nasadit. Azure Bastion rozloží vaše instance napříč těmito zónami. Následující diagram znázorňuje instance služby Azure Bastion rozložené mezi tři zóny:
Poznámka:
Pokud zadáte více zón dostupnosti, než máte instance, Azure Bastion rozloží instance mezi tolik zón, kolik může. Pokud není zóna dostupnosti dostupná, nahradí se instance v vadné zóně jinou instancí v zóně, která je v pořádku.
Požadavky
Pokud chcete nakonfigurovat prostředky Služby Azure Bastion s redundancí zón, musíte je nasadit pomocí skladových položek Basic, Standard nebo Premium.
Bastion vyžaduje zónově redundantní veřejnou IP adresu skladové položky Standard.
Podporované oblasti
Zónově redundantní prostředky Služby Azure Bastion je možné nasadit do následujících oblastí:
| Amerika | Evropě | Střední východ | Afrika | Asie a Tichomoří |
|---|---|---|---|---|
| Střední Kanada | Severní Evropa | Střední Katar | Jižní Afrika – sever | Austrálie – východ |
| USA – střed | Švédsko – střed | Izrael - střed | Jižní Korea – střed | |
| USA – východ | Velká Británie – jih | |||
| USA – východ 2 | Západní Evropa | |||
| Západní USA 2 | Norsko – východ | |||
| USA – východ 2 (EUAP) | Itálie - sever | |||
| Mexiko – střed | Španělsko – střed |
Náklady
Za použití redundance zón pro Azure Bastion nejsou žádné další náklady.
Konfigurace podpory zón dostupnosti
Nové prostředky: Když nasadíte nový prostředek Služby Azure Bastion v oblasti, která podporuje zóny dostupnosti, vyberete konkrétní zóny, do které chcete nasadit. V případě redundance zóny je nutné vybrat více zón.
Důležité
Po nasazení prostředku Azure Bastion nemůžete změnit nastavení zóny dostupnosti.
Když vyberete, které zóny dostupnosti se mají použít, ve skutečnosti vybíráte logickou zónu dostupnosti. Pokud nasadíte jiné součásti úloh v jiném předplatném Azure, můžou pro přístup ke stejné zóně fyzické dostupnosti použít jiné číslo logické zóny dostupnosti. Další informace najdete v tématu Fyzické a logické zóny dostupnosti.
Migrace: K existujícímu prostředku, který ho nemá, není možné přidat podporu zóny dostupnosti. Místo toho musíte vytvořit prostředek Služby Azure Bastion v nové oblasti a odstranit starý prostředek.
Směrování provozu mezi zónami
Když zahájíte relaci SSH nebo RDP, můžete ji směrovat do instance služby Azure Bastion v libovolné z vybraných zón dostupnosti.
Relace se může odeslat do instance služby Azure Bastion v zóně dostupnosti, která se liší od virtuálního počítače, ke kterému se připojujete. V následujícím diagramu se požadavek od uživatele odešle do instance služby Azure Bastion v zóně 2, i když je virtuální počítač v zóně 1:
Ve většině scénářů není malé množství latence napříč zónami významné. Pokud ale máte neobvykle přísné požadavky na latenci pro úlohy služby Azure Bastion, měli byste do zóny dostupnosti virtuálního počítače nasadit vyhrazenou instanci služby Azure Bastion s jednou zónou. Tato konfigurace neposkytuje redundanci zón a pro většinu zákazníků ji nedoporučujeme.
Prostředí pro zónu dolů
Detekce a odpověď: Azure Bastion detekuje selhání v zóně dostupnosti a reaguje na ně. K zahájení převzetí služeb při selhání zóny dostupnosti nemusíte nic dělat.
Aktivní požadavky: Pokud je zóna dostupnosti nedostupná, ukončují se všechna probíhající připojení RDP nebo SSH, která používají instanci služby Azure Bastion v vadné zóně dostupnosti, a je potřeba je opakovat.
Pokud virtuální počítač, ke kterému se připojujete, není v ovlivněné zóně dostupnosti, bude virtuální počítač dál přístupný. Další informace o prostředí zóny virtuálních počítačů najdete v tématu Spolehlivost virtuálních počítačů: Prostředí pro zónu zóny zóny.
Přesměrování provozu: Nová připojení používají instance služby Azure Bastion v pozůstalých zónách dostupnosti. Celkově azure Bastion zůstává funkční.
Navrácení služeb po obnovení
Když se zóna dostupnosti obnoví, Azure Bastion:
- Automaticky obnoví instance v zóně dostupnosti.
- Odebere všechny dočasné instance vytvořené v ostatních zónách dostupnosti.
- Směruje provoz mezi vašimi instancemi jako obvykle.
Testování selhání zón
Platforma Azure Bastion spravuje směrování provozu, převzetí služeb při selhání a navrácení služeb po obnovení pro zónově redundantní prostředky služby Azure Bastion. Vzhledem k tomu, že je tato funkce plně spravovaná, nemusíte zahajovat nic ani ověřovat procesy selhání zóny dostupnosti.
Podpora více oblastí
Azure Bastion je nasazený v rámci virtuálních sítí nebo partnerských virtuálních sítí a je přidružený k oblasti Azure. Azure Bastion je služba s jednou oblastí. Pokud se oblast stane nedostupnou, váš prostředek Služby Azure Bastion je také nedostupný.
Azure Bastion podporuje přístup k virtuálním počítačům v globálně partnerských virtuálních sítích, ale pokud oblast hostující váš prostředek Služby Azure Bastion není dostupná, nebudete moct použít prostředek služby Azure Bastion. Pokud chcete větší odolnost, nasadíte celkové řešení do více oblastí s samostatnými virtuálními sítěmi v každé oblasti, měli byste nasadit Službu Azure Bastion do každé oblasti.
Pokud máte lokalitu pro zotavení po havárii v jiné oblasti Azure, nezapomeňte nasadit Azure Bastion do virtuální sítě v této oblasti.
Smlouva o úrovni služeb
Smlouva o úrovni služeb (SLA) pro Azure Bastion popisuje očekávanou dostupnost služby a podmínky, které musí být splněny, aby bylo možné očekávat dostupnost. Abyste těmto podmínkám porozuměli, je důležité, abyste zkontrolovali smlouvu SLA pro online služby.