Spolehlivost ve službě Azure Private Link

služba Azure Private Link pomáhá soukromě vystavit vlastní aplikace, jako jsou aplikace spouštěné na virtuálních počítačích, v rámci Azure virtuální sítě. služba Private Link pomáhá ostatním Azure zákazníkům nebo klientům ve vašich sítích bezpečně připojit bez veřejných IP adres, což zajišťuje, že provoz zůstane v síti Azure.

Při použití Azure je spolehlivost sdílenou odpovědností. Microsoft poskytuje řadu funkcí pro podporu odolnosti a obnovení. Zodpovídáte za pochopení toho, jak tyto možnosti fungují ve všech službách, které používáte, a výběrem možností, které potřebujete ke splnění vašich obchodních cílů a cílů dostupnosti.

Tento článek se zaměřuje na službu Private Link a přidružené privátní koncové body jako mechanismus připojení. Popisuje chování na úrovni platformy a roviny řízení během přechodných chyb, výpadků zón dostupnosti a výpadků v celé oblasti.

Poznámka:

Tento článek se zaměřuje na službu Private Link, která usnadňuje privátní připojení k aplikacím, které spouštíte na vlastních virtuálních počítačích. Pokud používáte privátní koncové body s jinými službami Azure, například Azure Storage nebo Azure SQL Database, měli byste si místo toho projít příručky ke spolehlivosti těchto služeb, kde najdete informace o spolehlivosti jejich privátních koncových bodů.

Důležité

Spolehlivost celkového řešení závisí na konfiguraci back-endových serverů, ke kterým se služba Private Link připojuje. Tyto back-endové servery můžou být Azure virtuální počítače, Azure škálovací sady virtuálních počítačů nebo externí koncové body. Spolehlivost vašeho řešení závisí také na konfiguraci nástrojů pro vyrovnávání zatížení a dalších síťových komponent.

Back-endové servery nejsou v oboru pro tento článek, ale jejich konfigurace dostupnosti přímo ovlivňují odolnost vaší aplikace. Pokud chcete zjistit, jak každá služba podporuje vaše požadavky na spolehlivost, projděte si příručky ke spolehlivosti pro všechny služby Azure ve vašem řešení. Pro vaši aplikaci můžete dosáhnout komplexní spolehlivosti tím, že zajistíte, aby byly back-endové servery také nakonfigurované pro zajištění vysoké dostupnosti a redundance zón.

Přehled architektury spolehlivosti

Private Link služba pomáhá zákazníkům připojit se soukromě k vašim úlohám v Azure. Jako poskytovatel služby nasadíte prostředek služby Private Link. Spotřebitelé služby vytvářejí soukromé koncové body ve svých vlastních virtuálních sítích Azure. Tyto koncové body se bezpečně a soukromě připojují k vašim aplikacím prostřednictvím Azure Private Link. Toto nastavení nezpřístupňuje veřejné IP adresy, i když příjemce používá privátní koncový bod z místního prostředí prostřednictvím Azure ExpressRoute nebo jiné metody privátního připojení.

Diagram znázorňující síťové připojení mezi místním prostředím a dvěma Azure virtuálními sítěmi, které jsou umístěné v samostatných tenantech a oblastech Na levé straně se místní síť připojuje k Azure prostřednictvím privátního partnerského vztahu ExpressRoute a brány ExpressRoute. Tato cesta vede do virtuální sítě spotřebitele. Virtuální síť příjemce obsahuje podsíť a privátní koncový bod. Skupina zabezpečení sítě řídí tuto podsíť a zakazuje odchozí provoz. Diagram označuje podsíť s rozsahem adres 10.0.1.0/24 a označí virtuální síť rozsahem adres 10.0.0.0/16. Provoz prochází sítí Microsoft prostřednictvím Private Link. Toto připojení vede k virtuální síti poskytovatele na pravé straně diagramu. Virtuální síť poskytovatele obsahuje službu Private Link, která používá NAT IP adresu 192.168.0.5. Tato služba se připojí k Standard Load Balancer, která má front-endovou IP adresu 192.168.0.10. Nástroj pro vyrovnávání zatížení distribuuje provoz do škálovací sady virtuálních počítačů, která obsahuje virtuální počítače s IP adresami, například 192.168.0.1 a 192.168.0.2. Skupina zabezpečení sítě řídí virtuální síť poskytovatele a zakazuje příchozí provoz. Diagram označuje podsíť poskytovatele s rozsahem IP adres 192.168.0.0/24 a označuje virtuální síť poskytovatele s rozsahem IP adres 192.168.0.0/16. Diagram znázorňuje, že je síť příjemce nasazená v oblasti A a je v rámci předplatného A v tenantovi Microsoft Entra A. Diagram znázorňuje, že síť poskytovatele je nasazená v oblasti B a je v rámci předplatného B v tenantovi Microsoft Entra B.

Služba Private Link je obvykle připojená k nástroji pro vyrovnávání zatížení Azure, který poskytuje front-endové rozhraní k backendovým prostředkům, jako jsou virtuální počítače nebo škálovací sady virtuálních počítačů. Můžete také použít Private Link service Direct Connect (Preview), což usnadňuje připojení k libovolné privátní směrovatelné IP adrese ve vaší virtuální síti. Pokud používáte službu Private Link Direct Connect, pečlivě si projděte dokumentaci a seznamte se s požadavky, dostupností oblastí a omezeními.

Důležité

Private Link služba Direct Connect je aktuálně ve verzi Preview.

Podívejte se na Doplňkové podmínky použití pro náhledové verze Microsoft Azure pro právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, náhledu nebo nejsou obecně dostupné.

Odolnost proti přechodným chybám

Přechodné chyby jsou krátká, přerušovaná selhání ve složkách. V distribuovaném prostředí, jako je cloud, se vyskytují často a jsou normální součástí provozu. Přechodné chyby se opravují po krátké době. Je důležité, aby vaše aplikace mohly zpracovávat přechodné chyby, obvykle opakováním ovlivněných požadavků.

Všechny aplikace hostované v cloudu by měly postupovat podle Azure pokynů pro zpracování přechodných chyb, když komunikují s libovolnými rozhraními API, databázemi a dalšími komponentami hostovanými v cloudu. Další informace najdete v tématu Doporučení pro zpracování přechodných chyb.

Když nasadíte službu Private Link se standardním nástrojem Load Balancer, projděte si doporučení pro zpracování přechodných chyb pro Azure Load Balancer a ujistěte se, že je váš Load Balancer nakonfigurovaný tak, aby zpracovával přechodné chyby.

Odolnost proti chybám zóny dostupnosti

Private Link služba je automaticky odolná vůči selháním zóny dostupnosti při nasazení v oblasti, která podporuje zóny dostupnosti. Poskytovatelé služeb nemusí nic konfigurovat, aby toto chování povolili.

Diagram znázorňující tři svislé části uspořádané vedle sebe, které představují tři samostatné zóny dostupnosti Zónově redundantní interní nástroj pro vyrovnávání zatížení a služba Private Link zahrnuje všechny tři zóny. Každá zóna má back-endovou instanci. Private Link služba se připojuje k nástroji pro vyrovnávání zatížení, který se připojuje ke všem back-endovým instancím.

Privátní koncové body se automaticky distribuují napříč zónami dostupnosti v dané oblasti. Uživatelé služeb nemusí vytvářet samostatné privátní koncové body v různých zónách.

Požadavky

• Region support: V oblastech , ve které podporují zóny dostupnosti, můžete nasadit zónově redundantní služby Private Link.

• Závislost nástroje pro vyrovnávání zatížení: Pokud používáte službu Private Link s back-endovým nástrojem pro vyrovnávání zatížení, nakonfigurujte nástroj pro vyrovnávání zatížení také jako zónově redundantní, abyste zajistili odolnost komplexní zóny. Další informace najdete v tématu Spolehlivost v Load Balancer.

Náklady

S podporou zóny dostupnosti pro službu Private Link nejsou spojené žádné další náklady.

Konfigurujte podporu zón dostupnosti

Podpora zóny dostupnosti se automaticky povolí, když nasadíte službu Private Link v oblasti, která podporuje zóny dostupnosti.

Chování, když jsou všechny zóny v pořádku

Tato část popisuje, co očekávat, když služby Private Link a privátní koncové body podporují zóny dostupnosti a všechny zóny jsou funkční.

• Operace mezi zónami: Provoz prostřednictvím privátního koncového bodu a služby Private Link může být směrován přes libovolnou zónu dostupnosti.

• Replikace dat mezi zónami: Private Link neprovádí replikaci dat mezi zónami, protože se jedná o bezstavovou službu pro připojení.

Chování při selhání zóny

Tato část popisuje, co očekávat, když vaše služby Private Link a privátní koncové body podporují zóny dostupnosti a v jedné z zón dojde k výpadku.

• Detekce a odezva: Microsoft zodpovídá za detekci selhání zón dostupnosti a řízení reakce služby.

• Notification: Microsoft vás při výpadku zóny automaticky neoznámí. Můžete ale použít Azure Service Health k pochopení celkového stavu služby, včetně jakýchkoli selhání zón, a můžete nastavit upozornění služby Service Health, která vás upozorní na problémy.

• Aktivní požadavky: Aktivní požadavky se můžou ukončit během selhání zóny dostupnosti. Příjemci služeb by měli po přechodných přerušeních opakovat neúspěšné požadavky, podobně jako jiné přechodné chyby.

• Expected data loss: Nedojde k žádné ztrátě dat, protože Private Link je bezstavová služba pro připojení.

• Očekávaný výpadek: Existující připojení, která se připojují přes zónu, která selhala, může selhat. Pokud back-endové komponenty, jako je nástroj pro vyrovnávání zatížení a aplikační servery, zůstanou dostupné, uživatelé služeb můžou připojení okamžitě zopakovat a požadavky se směrují přes infrastrukturu v jiné zóně.

• Přerozdělování: Pokud jedna zóna dostupnosti selže, služba směruje nový provoz přes zóny, které jsou v pořádku, což pokračuje v provozu.

  Virtuální počítače v ovlivněné zóně dostupnosti pravděpodobně během výpadku zóny nebudou funkční. Pokud ale částečná chyba zóny znepřístupní Private Link v ovlivněné zóně, zatímco virtuální počítače v této zóně budou dál fungovat, odchozí připojení k virtuálním počítačům v ovlivněné zóně se směrují přes infrastrukturu Private Link v jiné zóně.

K výpadku aplikace může dojít také v případě, že závislé komponenty, jako jsou nástroje pro vyrovnávání zatížení nebo back-endové virtuální počítače, nejsou odolné vůči zónám.

Obnovení zóny

Když se ovlivněná zóna dostupnosti obnoví, Microsoft automaticky spravuje proces návratu. Nevyžaduje se žádná akce zákazníka.

Testování poruch zón

Platforma Private Link spravuje směrování provozu, převzetí provozu při selhání a obnovení provozu pro služby Private Link a privátní koncové body v rámci zón dostupnosti. Vzhledem k tomu, že je tato funkce plně spravovaná, nemusíte ověřovat procesy selhání zóny dostupnosti.

Odolnost proti selháním v celé oblasti

služba Private Link je služba s jednou oblastí. Služba neposkytuje nativní schopnosti pro více regionů ani automatický přechod při selhání mezi regiony. Pokud Azure oblast přestane být dostupná, Private Link služby v této oblasti jsou také nedostupné.

Vlastní řešení pro více regionů pro odolnost systémů

Pokud navrhujete síťový přístup, který zahrnuje více oblastí, měli byste do každé oblasti nasadit nezávislé služby Private Link. Zodpovídáte za nasazení a správu služby Private Link. Uživatelé služeb zodpovídají za konfiguraci privátního koncového bodu ve službách Private Link jednotlivých oblastí. Příjemci služeb také zodpovídají za směrování provozu do příslušné služby Private Link.

Zálohování a obnovení

Private Link služba neukládá zákaznická data a nevyžaduje zálohování ani obnovení. Pokud chcete znovu vytvořit konfigurace, zvažte údržbu šablon infrastruktury jako kódu (IaC) pro síťové prostředky. Služby Private Link jsou pouze o konfiguracích a neukládají žádná zákaznická data, proto by se měla zálohovat šablonami IaC pro rychlé opětovné nasazení.

Smlouva o úrovni služeb

Smlouva o úrovni služeb (SLA) pro služby Azure popisuje očekávanou dostupnost každé služby a podmínky, které musí vaše řešení splnit, aby bylo dosaženo očekávané dostupnosti. Další informace najdete v tématu SLA pro online služby.

Související obsah

• Reliability in Azure
• Spolehlivost v Load Balanceru