Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Firewall ist ein verwalteter, cloudbasierter Netzwerksicherheitsdienst, der Azure Virtual Network-Ressourcen schützt. Es ist eine vollständig zustandsbehaftete Firewalldienst mit integrierter Hochverfügbarkeit und uneingeschränkter Cloudskalierbarkeit.
Wenn Sie Azure verwenden, ist Zuverlässigkeit eine gemeinsame Verantwortung. Microsoft bietet eine Reihe von Funktionen zur Unterstützung von Resilienz und Wiederherstellung. Sie sind dafür verantwortlich, zu verstehen, wie diese Funktionen in allen von Ihnen verwendeten Diensten funktionieren, und die Funktionen auswählen, die Sie benötigen, um Ihre Geschäftsziele und Uptime-Ziele zu erfüllen.
In diesem Artikel wird beschrieben, wie Sie die Azure-Firewall für eine Vielzahl potenzieller Ausfälle und Probleme widerstandsfähig machen, einschließlich vorübergehender Fehler, Ausfall der Verfügbarkeitszone und Regionsausfälle. Darüber hinaus werden die Resilienz während der Wartung des Diensts beschrieben und einige wichtige Informationen zum Servicelevelvertrag (Firewall Service Level Agreement, SLA) erläutert.
Bereitstellungsempfehlungen für die Produktion
Informationen dazu, wie Sie Azure Firewall bereitstellen, um die Zuverlässigkeitsanforderungen Ihrer Lösung zu erfüllen, und wie sich die Zuverlässigkeit auf andere Aspekte Ihrer Architektur auswirkt, finden Sie unter Bewährte Methoden für die Architektur von Azure Firewall im Azure Well-Architected Framework.
Übersicht über die Zuverlässigkeitsarchitektur
Eine Instanz bezieht sich auf eine Einheit auf VM-Ebene der Firewall. Jede Instanz stellt die Infrastruktur dar, die Datenverkehr verarbeitet und Firewallprüfungen durchführt.
Um Hochverfügbarkeit einer Firewall zu erreichen, stellt Azure Firewall automatisch mindestens zwei Instanzen bereit, ohne dass Sie eingreifen oder Konfigurationsschritte ausführen müssen. Die Firewall wird automatisch aufskaliert, wenn der durchschnittliche Durchsatz, der CPU-Verbrauch und die Verbindungsnutzung vordefinierte Schwellenwerte erreichen. Weitere Informationen finden Sie unter Azure Firewall-Leistung. Die Plattform verwaltet automatisch die Instanzerstellung, Systemüberwachung und den Austausch von fehlerhaften Instanzen.
Um vor Server- und Servergestellfehlern zu schützen, verteilt Azure Firewall Instanzen automatisch über mehrere Fehlerdomänen innerhalb einer Region.
Das folgende Diagramm zeigt eine Firewall mit zwei Instanzen:
Um Redundanz und Verfügbarkeit während Rechenzentrumsfehlern zu erhöhen, ermöglicht Azure Firewall automatisch Zonenredundanz in Regionen, die mehrere Verfügbarkeitszonen unterstützen, und verteilt Instanzen über mindestens zwei Verfügbarkeitszonen.
Resilienz für vorübergehende Fehler
Vorübergehende Fehler sind kurze, zeitweilige Fehler in Komponenten. Sie treten häufig in einer verteilten Umgebung wie der Cloud auf und sind ein normaler Bestandteil von Vorgängen. Vorübergehende Fehler korrigieren sich nach kurzer Zeit. Es ist wichtig, dass Ihre Anwendungen vorübergehende Fehler behandeln können, in der Regel durch Wiederholen betroffener Anforderungen.
Alle in der Cloud gehosteten Anwendungen sollten die Anleitung zur vorübergehenden Fehlerbehandlung von Azure befolgen, wenn sie mit cloudgehosteten APIs, Datenbanken und anderen Komponenten kommunizieren. Weitere Informationen finden Sie unter Empfehlungen zur Behandlung vorübergehender Fehler.
Implementieren Sie für Anwendungen, die eine Verbindung über Azure Firewall herstellen, Wiederholungslogik mit exponentiellem Backoff, um potenzielle vorübergehende Verbindungsprobleme zu behandeln. Die zustandsbehaftete Art der Azure Firewall stellt sicher, dass legitime Verbindungen während kurzer Netzwerkunterbrechungen aktiv bleiben.
Bei Skalierungsvorgängen, die fünf bis sieben Minuten dauern, behält die Firewall vorhandene Verbindungen bei, während neue Firewallinstanzen hinzugefügt werden, um erhöhte Last zu verarbeiten.
Ausfallsicherheit bei Ausfällen von Verfügbarkeitszonen
Verfügbarkeitszonen sind physisch getrennte Gruppen von Rechenzentren innerhalb einer Azure-Region. Wenn eine Zone ausfällt, erfolgt ein Failover der Dienste zu einer der verbleibenden Zonen.
Azure Firewall wird automatisch als zonenredundant in Regionen bereitgestellt, die mehrere Verfügbarkeitszonen unterstützen. Eine Firewall ist zonenredundant, wenn Sie sie über mindestens zwei Verfügbarkeitszonen bereitstellen.
Azure Firewall unterstützt Modelle für die zonenredundante und für die zonale Bereitstellung:
Zonenredundant: In Regionen, die Verfügbarkeitszonen unterstützen, verteilt Azure Automatisch Firewallinstanzen über mehrere Verfügbarkeitszonen (mindestens zwei). Azure verwaltet den Lastenausgleich und das Failover zwischen Zonen automatisch. Dieses Bereitstellungsmodell ist die Standardeinstellung für alle neuen Firewalls.
Zonenredundante Firewalls haben eine Vereinbarung zum Servicelevel (Service Level Agreement, SLA) für die höchste Uptime. Verwenden Sie sie für Produktionsworkloads, die eine maximale Verfügbarkeit erfordern.
Das folgende Diagramm zeigt eine zonenredundante Firewall mit drei Instanzen, die über drei Verfügbarkeitszonen verteilt sind:
Hinweis
Alle Firewallbereitstellungen in Regionen mit mehreren Verfügbarkeitszonen sind automatisch zonenredundant. Diese Regel gilt für Bereitstellungen über das Azure-Portal und API-basierte Bereitstellungen (Azure CLI, PowerShell, Bicep, ARM-Vorlagen, Terraform).
Zonal: In bestimmten Szenarien, in denen Kapazitätsbeschränkungen vorhanden sind oder Latenzanforderungen erforderlich sind, können Sie Azure Firewall mithilfe von API-basierten Tools (Azure CLI, PowerShell, Bicep, ARM-Vorlagen, Terraform) auf einer bestimmten Verfügbarkeitszone bereitstellen. Sie stellen alle Instanzen einer Zonenfirewall innerhalb dieser Zone bereit.
Das folgende Diagramm zeigt eine Zonenfirewall mit drei Instanzen, die in derselben Verfügbarkeitszone bereitgestellt werden:
Von Bedeutung
Sie können nur zonalbereitstellungen über API-basierte Tools erstellen. Sie können sie nicht über das Azure-Portal konfigurieren. Vorhandene Zonenfirewallbereitstellungen werden in Zukunft zu zonenredundanten Bereitstellungen migriert. Verwenden Sie wann immer möglich zonenredundante Bereitstellungen, um die höchstmögliche Verfügbarkeit gemäß SLA zu erreichen. Eine zonale Firewall allein bietet keine Resilienz bei einem Ausfall der Verfügbarkeitszone.
Migration vorhandener Bereitstellungen
Zuvor sind Azure Firewall-Bereitstellungen, die nicht als zonenredundant oder zonal konfiguriert sind, nicht zonenredundant oder regional. Im gesamten Kalenderjahr 2026 migriert Azure alle vorhandenen nichtzonalen Firewallbereitstellungen zu zonenredundanten Bereitstellungen in Regionen, die mehrere Verfügbarkeitszonen unterstützen.
Regionsunterstützung
Azure Firewall unterstützt Verfügbarkeitszonen in allen Regionen, die Verfügbarkeitszonen unterstützen, in denen der Azure Firewall-Dienst verfügbar ist.
Anforderungen
- Alle Ebenen von Azure Firewall unterstützen Verfügbarkeitszonen.
- Zonenredundante Firewalls erfordern standardmäßige öffentliche IP-Adressen, die als zonenredundant konfiguriert sind.
- Zonal-Firewalls (bereitgestellt über API-basierte Tools) erfordern standardmäßige öffentliche IP-Adressen und können so konfiguriert werden, dass sie entweder zonenredundant oder zonal in derselben Zone wie die Firewall sind.
Kosten
Es gibt keine zusätzlichen Kosten für zonenredundante Firewallbereitstellungen.
Konfigurieren der Unterstützung von Verfügbarkeitszonen
In diesem Abschnitt wird die Verfügbarkeitszonenkonfiguration für Ihre Firewalls erläutert.
Erstellen Sie eine neue Firewall: Alle neuen Azure Firewall-Bereitstellungen in Regionen mit mehreren Verfügbarkeitszonen sind standardmäßig automatisch zonenredundant. Diese Regel gilt sowohl für portalbasierte als auch für API-basierte Bereitstellungen.
Zonenredundant (Standard): Wenn Sie eine neue Firewall in einer Region mit mehreren Verfügbarkeitszonen bereitstellen, verteilt Azure Instanzen automatisch über mindestens zwei Verfügbarkeitszonen. Eine zusätzliche Konfiguration ist nicht erforderlich. Weitere Informationen finden Sie unter Bereitstellen von Azure Firewall über das Azure-Portal.
- Azure-Portal: Stellt zonenredundante Firewalls automatisch bereit. Sie können über das Portal keine bestimmte Verfügbarkeitszone auswählen.
- API-basierte Tools (Azure CLI, PowerShell, Bicep, ARM-Vorlagen, Terraform): Stellen Sie zonenredundante Firewalls standardmäßig bereit. Sie können optional Zonen für die Bereitstellung angeben.
Weitere Informationen zum Bereitstellen einer zonenredundanten Firewall finden Sie unter Bereitstellen einer Azure-Firewall mit Verfügbarkeitszonen.
Zonal (nur API-basierte Tools): Um eine Firewall in einer bestimmten Verfügbarkeitszone bereitzustellen (z. B. aufgrund von Kapazitätsbeschränkungen in einer Region), verwenden Sie API-basierte Tools wie Azure CLI, PowerShell, Bicep, ARM-Vorlagen oder Terraform. Geben Sie eine einzelne Zone in Ihrer Bereitstellungskonfiguration an. Diese Option ist über das Azure-Portal nicht verfügbar.
Hinweis
Wenn Sie auswählen, welche Verfügbarkeitszonen verwendet werden sollen, wählen Sie tatsächlich die logische Verfügbarkeitszone aus. Wenn Sie andere Workloadkomponenten in einem anderen Azure-Abonnement bereitstellen, verwenden diese möglicherweise eine andere logische Verfügbarkeitszonennummer, um auf dieselbe physische Verfügbarkeitszone zuzugreifen. Weitere Informationen finden Sie unter Physische und logische Verfügbarkeitszonen.
Vorhandene Firewalls: Alle vorhandenen nichtzonalen (regionalen) Firewallbereitstellungen werden automatisch zu zonenredundanten Bereitstellungen in Regionen migriert, die mehrere Verfügbarkeitszonen unterstützen. Vorhandene Zonenfirewallbereitstellungen (angeheftet an eine bestimmte Zone) werden zu zonenredundanten Bereitstellungen zu einem zukünftigen Zeitpunkt migriert.
Kapazitätsbeschränkungen: Wenn eine Region keine Kapazität für eine zonenredundante Bereitstellung hat (mindestens zwei Verfügbarkeitszonen erforderlich), schlägt die Bereitstellung fehl. In diesem Szenario können Sie eine Zonenfirewall mithilfe von API-basierten Tools in einer bestimmten Verfügbarkeitszone bereitstellen.
Verhalten, wenn alle Zonen fehlerfrei sind
In diesem Abschnitt wird beschrieben, was Sie erwarten können, wenn Azure Firewall mit Unterstützung von Verfügbarkeitszonen konfiguriert wird und alle Verfügbarkeitszonen betriebsbereit sind.
Datenverkehrsrouting zwischen Zonen: Das Datenverkehrsroutingverhalten hängt von der Konfiguration der Verfügbarkeitszone ab, die Ihre Firewall verwendet.
Zonenredundant: Azure Firewall verteilt eingehende Anforderungen automatisch auf Instanzen in allen Zonen, die Ihre Firewall verwendet. Diese aktiv-aktive Konfiguration gewährleistet eine optimale Leistung und Lastverteilung unter normalen Betriebsbedingungen.
Zonal: Wenn Sie mehrere zonale Instanzen bereitstellen, müssen Sie das Datenverkehrsrouting mithilfe externer Lastenausgleichslösungen wie Azure Load Balancer oder Azure Traffic Manager konfigurieren.
Instanzverwaltung: Die Plattform verwaltet die Instanzplatzierung automatisch über die Zonen, die Ihre Firewall verwendet. Er ersetzt fehlgeschlagene Instanzen und verwaltet die konfigurierte Instanzanzahl. Die Gesundheitsüberwachung stellt sicher, dass nur gesunde Instanzen den Datenverkehr empfangen.
Datenreplikation zwischen Zonen: Azure Firewall muss den Verbindungsstatus nicht über Verfügbarkeitszonen hinweg synchronisieren. Die Instanz, die die Anforderung verarbeitet, behält den Status der einzelnen Verbindungen bei.
Verhalten bei einem Zoneausfall
In diesem Abschnitt wird beschrieben, was Sie erwarten können, wenn Azure Firewall mit Unterstützung von Verfügbarkeitszonen konfiguriert wird und mindestens eine Verfügbarkeitszone nicht verfügbar ist.
Erkennung und Reaktion: Die Verantwortung für die Erkennung und Reaktion hängt von der Konfiguration von Verfügbarkeitszonen ab, die Ihre Firewall verwendet.
Zonenredundant: Bei Instanzen, die für die Verwendung von Zonenredundanz konfiguriert sind, erkennt die Azure Firewall-Plattform einen Fehler in einer Verfügbarkeitszone und reagiert darauf. Sie müssen kein Zonenfailover initiieren.
Zonal: Damit Firewalls als zonal konfiguriert sind, müssen Sie den Verlust einer Verfügbarkeitszone erkennen und ein Failover auf eine sekundäre Firewall initiieren, die Sie in einer anderen Verfügbarkeitszone erstellen.
- Benachrichtigung: Microsoft benachrichtigt Sie nicht automatisch, wenn eine Zone deaktiviert ist. Sie können jedoch Azure Service Health verwenden, um die allgemeine Integrität des Diensts zu verstehen, einschließlich aller Zonenfehler, und Sie können Dienststatuswarnungen einrichten, um Sie über Probleme zu informieren.
Aktive Verbindungen: Wenn eine Verfügbarkeitszone nicht verfügbar ist, werden Anfragen, die eine Verbindung mit einer Firewallinstanz in der fehlerhaften Verfügbarkeitszone herstellen, möglicherweise beendet und erfordern Wiederholungen.
Erwarteter Datenverlust: Während des Zonenfailovers wird kein Datenverlust erwartet, da die Azure Firewall keine dauerhaften Kundendaten speichert.
Erwartete Downtime: Die Downtime hängt von der Konfiguration der Verfügbarkeitszone ab, die Ihre Firewall verwendet.
Zonenredundant: Erwarten Sie minimale Downtime (in der Regel einige Sekunden) während des Ausfalls einer Verfügbarkeitszone. Clientanwendungen sollten sich an die Vorgehensweisen für vorübergehende Fehler halten. Dazu gehört u. a. die Implementierung von Wiederholungsrichtlinien mit exponentiellem Backoff.
Zonal: Wenn eine Zone nicht verfügbar ist, bleibt Ihre Firewall bis zur Wiederherstellung der Verfügbarkeitszone nicht verfügbar.
Datenverkehrsumleitung: Das Verhalten für die Datenverkehrsumleitung hängt von der Konfiguration der Verfügbarkeitszone ab, die Ihre Firewall verwendet.
Zonenredundant: Datenverkehr wird automatisch an fehlerfreie Verfügbarkeitszonen umgeleitet. Bei Bedarf erstellt die Plattform neue Firewallinstanzen in fehlerfreien Zonen.
Zonal: Wenn eine Zone nicht verfügbar ist, ist auch Ihre zonale Firewall nicht verfügbar. Wenn Sie über eine sekundäre Firewall in einer anderen Verfügbarkeitszone verfügen, sind Sie dafür verantwortlich, den Datenverkehr an diese Firewall umzuleiten.
Failback
Das Failbackverhalten hängt von der Konfiguration der Verfügbarkeitszone ab, die Ihre Firewall verwendet.
Zonenredundant: Nachdem die Verfügbarkeitszone wiederhergestellt wurde, verteilt Azure Firewall Instanzen automatisch auf alle Zonen, die Ihre Firewall verwendet, und stellt den normalen Lastenausgleich über Zonen hinweg wieder her.
Zonal: Nachdem die Verfügbarkeitszone wiederhergestellt wurde, sind Sie dafür verantwortlich, den Datenverkehr an die Firewall in der ursprünglichen Verfügbarkeitszone umzuleiten.
Test auf Zonenfehler
Die Optionen für Zonenfehlertests hängen von der Verfügbarkeitszonenkonfiguration Ihrer Firewall ab.
Zonenredundant: Die Azure Firewall-Plattform verwaltet Datenverkehrsrouting, Failover und Failback für zonenredundante Firewallressourcen. Dieses Feature ist vollständig verwaltet. Deshalb müssen Sie die Prozesse für ausgefallene Verfügbarkeitszonen weder einleiten noch überprüfen.
Zonal: Sie können Aspekte des Ausfalls einer Verfügbarkeitszone simulieren, indem Sie eine Firewall beenden. Verwenden Sie diesen Ansatz, um zu testen, wie andere Systeme und Lastenausgleichsmodule einen Ausfall in der Firewall behandeln. Weitere Informationen finden Sie unter Beenden und Starten von Azure Firewall.
Widerstandsfähigkeit bei regionalen Ausfällen
Azure Firewall ist ein Dienst, der in einer einzelnen Region ausgeführt wird. Wenn die Region nicht verfügbar ist, ist Ihre Firewallressource ebenfalls nicht verfügbar.
Benutzerdefinierte Lösungen mit mehreren Regionen für Resilienz
Verwenden Sie separate Firewalls, um eine Architektur mit mehreren Regionen zu implementieren. Bei diesem Ansatz müssen Sie eine unabhängige Firewall in jeder Region bereitstellen, Datenverkehr an die entsprechende regionale Firewall weiterleiten und benutzerdefinierte Failoverlogik implementieren. Berücksichtigen Sie die folgenden Punkte:
Verwenden Sie Azure Firewall Manager für die zentrale Richtlinienverwaltung über mehrere Firewalls hinweg. Verwenden Sie die Firewallrichtlinienmethode für die zentrale Regelverwaltung für mehrere Firewallinstanzen.
Implementieren Sie Datenverkehrsrouting mithilfe von Traffic Manager oder Azure Front Door.
Eine Beispielarchitektur, die die Sicherheitsarchitektur für Netzwerke in mehreren Regionen veranschaulicht, finden Sie unter Regionsübergreifender Lastenausgleich mit Traffic Manager, Azure Firewall und Application Gateway.
Resilienz gegenüber Wartungsarbeiten an Diensten
Azure Firewall führt regelmäßig Dienstupgrades und andere Wartungsarten durch.
Sie können tägliche Wartungsfenster konfigurieren, um Upgradezeitpläne an Ihre betrieblichen Anforderungen anzupassen. Weitere Informationen finden Sie unter Konfigurieren der kundenseitig gesteuerten Wartung für Azure Firewall.
Service-Level-Vereinbarung
Der Service level agreement (SLA) für Azure-Dienste beschreibt die erwartete Verfügbarkeit jedes Diensts und die Bedingungen, die Ihre Lösung erfüllen muss, um diese Verfügbarkeitserwartungen zu erreichen. Weitere Informationen finden Sie unter SLAs für Onlinedienste.
Azure Firewall bietet eine SLA für eine höhere Verfügbarkeit für zonenredundante Firewalls, die in zwei oder mehr Verfügbarkeitszonen bereitgestellt werden.