Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Firewall es un servicio de seguridad de red administrado basado en la nube que protege los recursos de Azure Virtual Network. Es un servicio de firewall con estado completo que incluye alta disponibilidad integrada y escalabilidad de nube sin restricciones.
Cuando se usa Azure, la confiabilidad es una responsabilidad compartida. Microsoft proporciona una variedad de funcionalidades para admitir resistencia y recuperación. Es responsable de comprender cómo funcionan esas funcionalidades dentro de todos los servicios que usa y de seleccionar las funcionalidades que necesita para cumplir los objetivos empresariales y los objetivos de tiempo de actividad.
En este artículo se describe cómo hacer que Azure Firewall sea resistente a una variedad de posibles interrupciones y problemas, como errores transitorios, interrupciones de zona de disponibilidad y interrupciones de regiones. También describe la resistencia durante el mantenimiento del servicio y resalta cierta información clave sobre el acuerdo de nivel de servicio (SLA) de Firewall.
Recomendaciones de implementación de producción
Para obtener información sobre cómo implementar Azure Firewall para admitir los requisitos de confiabilidad de la solución y cómo afecta la confiabilidad a otros aspectos de la arquitectura, consulte Procedimientos recomendados de arquitectura para Azure Firewall en Azure Well-Architected Framework.
Introducción a la arquitectura de confiabilidad
Una instancia hace referencia a una unidad de nivel de máquina virtual (VM) del firewall. Cada instancia representa la infraestructura que controla el tráfico y realiza comprobaciones de firewall.
Para lograr una alta disponibilidad de un firewall, Azure Firewall proporciona automáticamente al menos dos instancias, sin necesidad de intervención o configuración. El firewall se escala horizontalmente automáticamente cuando el rendimiento promedio, el consumo de CPU y el uso de la conexión alcanzan umbrales predefinidos. Para más información, consulte Rendimiento de Azure Firewall. La plataforma administra automáticamente la creación de instancias, la supervisión del estado y el reemplazo de instancias incorrectas.
Para protegerse frente a errores de servidor y bastidor de servidores, Azure Firewall distribuye automáticamente las instancias entre varios dominios de error dentro de una región.
En el diagrama siguiente se muestra un firewall con dos instancias:
Para aumentar la redundancia y la disponibilidad durante los errores del centro de datos, Azure Firewall habilita automáticamente la redundancia de zona en regiones que admiten varias zonas de disponibilidad, distribuyendo instancias entre al menos dos zonas de disponibilidad.
Resistencia a errores transitorios
Los errores transitorios son errores breves e intermitentes en los componentes. Se producen con frecuencia en un entorno distribuido como la nube y son una parte normal de las operaciones. Los errores transitorios se corrigen después de un breve período de tiempo. Es importante que las aplicaciones puedan controlar errores transitorios, normalmente mediante el reintento de solicitudes afectadas.
Todas las aplicaciones hospedadas en la nube deben seguir las instrucciones de control de errores transitorios de Azure cuando se comunican con cualquier API, bases de datos y otros componentes hospedados en la nube. Para obtener más información, consulte Recomendaciones para controlar errores transitorios.
En el caso de las aplicaciones que se conectan a través de Azure Firewall, implemente la lógica de reintento con retroceso exponencial para controlar posibles problemas de conexión transitorios. La naturaleza con estado de Azure Firewall garantiza que las conexiones legítimas permanezcan activas durante breves interrupciones de red.
Durante las operaciones de escalado, que tardan cinco a siete minutos, el firewall conserva las conexiones existentes mientras agrega nuevas instancias de firewall para controlar la mayor carga.
Resistencia a errores de zona de disponibilidad
Las zonas de disponibilidad son grupos físicamente independientes de centros de datos dentro de una región de Azure. Cuando una zona falla, los servicios pueden transferirse a una de las zonas restantes.
Azure Firewall se implementa automáticamente con redundancia de zona en regiones que admiten múltiples zonas de disponibilidad. Un firewall tiene redundancia de zona al implementarlo en al menos dos zonas de disponibilidad.
Azure Firewall admite modelos de implementación con redundancia de zona y zonales:
Con redundancia de zona: En regiones que admiten zonas de disponibilidad, Azure distribuye automáticamente las instancias de firewall entre varias zonas de disponibilidad (al menos dos). Azure administra automáticamente el equilibrio de carga y la conmutación por error entre zonas. Este modelo de implementación es el valor predeterminado para todos los firewalls nuevos.
Los firewalls con redundancia de zona logran el acuerdo de nivel de servicio (SLA) de tiempo de actividad más alto. Úselas para cargas de trabajo de producción que requieran la máxima disponibilidad.
En el diagrama siguiente se muestra un firewall con redundancia de zona con tres instancias distribuidas entre tres zonas de disponibilidad:
Nota:
Todas las implementaciones de firewall en regiones con varias zonas de disponibilidad son automáticamente con redundancia de zona. Esta regla se aplica a las implementaciones a través de Azure Portal y implementaciones basadas en API (CLI de Azure, PowerShell, Bicep, plantillas de ARM, Terraform).
Zonal: En escenarios específicos en los que existen restricciones de capacidad o los requisitos de latencia son críticos, puede implementar Azure Firewall en una zona de disponibilidad específica mediante herramientas basadas en API (CLI de Azure, PowerShell, Bicep, plantillas de ARM, Terraform). Implemente todas las instancias de un firewall zonal dentro de esa zona.
En el diagrama siguiente se muestra un firewall zonal con tres instancias que se implementan en la misma zona de disponibilidad:
Importante
Solo puede crear implementaciones zonales a través de herramientas basadas en API. No se pueden configurar a través de Azure Portal. Las implementaciones de firewall zonales existentes se migrarán a implementaciones con redundancia de zona en el futuro. Use implementaciones con redundancia de zona siempre que sea posible para alcanzar el mayor nivel de disponibilidad según el SLA (Acuerdo de Nivel de Servicio). Un firewall zonal solo no proporciona resistencia a una interrupción de zona de disponibilidad.
Migración de implementaciones existentes
Anteriormente, las implementaciones de Azure Firewall que no están configuradas para que sean con redundancia de zona o zonales son no zonales o regionales. A lo largo del año natural 2026, Azure está migrando todas las implementaciones de firewall no zonales existentes a implementaciones con redundancia de zona en regiones que admiten varias zonas de disponibilidad.
Soporte para regiones
Azure Firewall admite zonas de disponibilidad en todas las regiones que admiten zonas de disponibilidad, donde el servicio Azure Firewall está disponible.
Requisitos
- Todos los niveles de Azure Firewall admiten zonas de disponibilidad.
- Los firewalls con redundancia de zona requieren direcciones IP públicas estándar configuradas para tener redundancia de zona.
- Los firewalls zonales (implementados mediante herramientas basadas en API) requieren direcciones IP públicas estándar y se pueden configurar para que sean con redundancia de zona o zonales en la misma zona que el firewall.
Cost
No hay ningún costo adicional para las implementaciones de firewall con redundancia de zona.
Configurar soporte de zonas de disponibilidad
En esta sección se explica la configuración de zona de disponibilidad para los firewalls.
Cree un nuevo firewall: Todas las nuevas implementaciones de Azure Firewall en regiones con varias zonas de disponibilidad son automáticamente con redundancia de zona de forma predeterminada. Esta regla se aplica a las implementaciones basadas en el portal y basadas en API.
Con redundancia de zona (valor predeterminado): Al implementar un nuevo firewall en una región con varias zonas de disponibilidad, Azure distribuye automáticamente las instancias entre al menos dos zonas de disponibilidad. No se requiere ninguna configuración adicional. Para más información, consulte Implementar Azure Firewall mediante Azure Portal.
- Azure Portal: Implementa automáticamente firewalls con redundancia de zona. No puede seleccionar una zona de disponibilidad específica a través del portal.
- Herramientas basadas en API (CLI de Azure, PowerShell, Bicep, plantillas de ARM, Terraform): Implemente firewalls con redundancia de zona de forma predeterminada. Opcionalmente, puede especificar zonas para la implementación.
Para más información sobre cómo implementar un firewall con redundancia de zona, consulte Implementación de Azure Firewall con zonas de disponibilidad.
Zonal (solo herramientas basadas en API): Para implementar un firewall en una zona de disponibilidad específica (por ejemplo, debido a restricciones de capacidad en una región), use herramientas basadas en API, como la CLI de Azure, PowerShell, Bicep, plantillas de ARM o Terraform. Especifique una sola zona en la configuración de implementación. Esta opción no está disponible a través de Azure Portal.
Nota:
Cuando selecciona qué zonas de disponibilidad usar, en realidad está seleccionando la zona de disponibilidad lógica. Si implementa otros componentes de la carga de trabajo en una suscripción de Azure diferente, podrían usar un número de zona de disponibilidad lógica distinto para acceder a la misma zona de disponibilidad física. Para obtener más información, consulte zonas de disponibilidad física y lógica.
Firewalls existentes: Todas las implementaciones de firewall no zonales (regionales) existentes se migran automáticamente a implementaciones con redundancia de zona en regiones que admiten varias zonas de disponibilidad. Las implementaciones de firewall zonales existentes (ancladas a una zona específica) se migran a implementaciones con redundancia de zona en una fecha futura.
Restricciones de capacidad: Si una región no tiene capacidad para una implementación con redundancia de zona (que requiere al menos dos zonas de disponibilidad), se produce un error en la implementación. En este escenario, puede implementar un firewall zonal en una zona de disponibilidad específica mediante herramientas basadas en API.
Comportamiento cuando todas las zonas están en buen estado
En esta sección se describe qué esperar cuando Azure Firewall está configurado con compatibilidad con la zona de disponibilidad y todas las zonas de disponibilidad están operativas.
Enrutamiento de tráfico entre zonas: El comportamiento de enrutamiento del tráfico depende de la configuración de zona de disponibilidad que usa el firewall.
Con redundancia de zona: Azure Firewall distribuye automáticamente las solicitudes entrantes entre instancias de todas las zonas que usa el firewall. Esta configuración activa-activa garantiza un rendimiento y una distribución de carga óptimos en condiciones de funcionamiento normales.
Zonal: Si implementa varias instancias zonales en distintas zonas, debe configurar el enrutamiento de tráfico mediante soluciones de equilibrio de carga externas, como Azure Load Balancer o Azure Traffic Manager.
Administración de instancias: La plataforma administra automáticamente la ubicación de la instancia en las zonas que usa el firewall. Reemplaza las instancias con errores y mantiene el recuento de instancias configurados. El seguimiento de estado garantiza que solo las instancias correctas reciban tráfico.
Replicación de datos entre zonas: Azure Firewall no necesita sincronizar el estado de conexión entre zonas de disponibilidad. La instancia que procesa la solicitud mantiene el estado de cada conexión.
Comportamiento durante un fallo de zona
En esta sección se describe qué esperar cuando Azure Firewall está configurado con compatibilidad con la zona de disponibilidad y una o varias zonas de disponibilidad no están disponibles.
Detección y respuesta: La responsabilidad de la detección y la respuesta depende de la configuración de la zona de disponibilidad que usa el firewall.
Con redundancia de zona: En el caso de las instancias configuradas para usar la redundancia de zona, la plataforma Azure Firewall detecta y responde a un error en una zona de disponibilidad. No es necesario iniciar una conmutación por error de zona.
Zonal: Para que los firewalls configurados sean zonales, debe detectar la pérdida de una zona de disponibilidad e iniciar una conmutación por error a un firewall secundario que cree en otra zona de disponibilidad.
- Notificación: Microsoft no le notifica automáticamente cuando una zona está inactiva. Sin embargo, puede usar Azure Service Health para comprender el estado general del servicio, incluidos los errores de zona, y puede configurar alertas de Service Health para notificarle problemas.
Conexiones activas: Cuando una zona de disponibilidad no está disponible, las solicitudes en curso que se conectan a una instancia de firewall en la zona de disponibilidad errónea pueden finalizar y requerir reintentos.
Pérdida de datos esperada: No se espera ninguna pérdida de datos durante la conmutación por error de zona porque Azure Firewall no almacena datos persistentes del cliente.
Tiempo de inactividad esperado: El tiempo de inactividad depende de la configuración de zona de disponibilidad que use el firewall.
Con redundancia de zona: Espere un tiempo de inactividad mínimo (normalmente unos segundos) durante una interrupción de la zona de disponibilidad. Las aplicaciones cliente deben seguir los procedimientos para el control de errores transitorios, incluida la implementación de directivas de reintento con retroceso exponencial.
Zonal: Cuando una zona no está disponible, el firewall sigue sin estar disponible hasta que se recupere la zona de disponibilidad.
Redireccionamiento del tráfico: El comportamiento de redireccionar el tráfico depende de la configuración de zona de disponibilidad que usa el firewall.
Con redundancia de zona: El tráfico se vuelve a enrutar automáticamente a zonas de disponibilidad correctas. Si es necesario, la plataforma crea nuevas instancias de firewall en zonas correctas.
Zonal: Cuando una zona no está disponible, el firewall zonal tampoco está disponible. Si tiene un firewall secundario en otra zona de disponibilidad, es responsable de redirigir el tráfico a ese firewall.
Failback
El comportamiento de la conmutación por recuperación depende de la configuración de zona de disponibilidad que usa el firewall.
Con redundancia de zona: Una vez recuperada la zona de disponibilidad, Azure Firewall redistribuye automáticamente las instancias de todas las zonas que usa el firewall y restaura el equilibrio de carga normal entre zonas.
Zonal: Una vez recuperada la zona de disponibilidad, es responsable de redirigir el tráfico al firewall en la zona de disponibilidad original.
Prueba de fallos de zona
Las opciones para las pruebas de errores de zona dependen de la configuración de la zona de disponibilidad del firewall.
Con redundancia de zona: La plataforma Azure Firewall administra el enrutamiento del tráfico, la conmutación por error y la conmutación por recuperación para los recursos de firewall con redundancia de zona. Esta característica está totalmente administrada, por lo que no es necesario iniciar ni validar los procesos de error de zona de disponibilidad.
Zonal: Puede simular aspectos del error de una zona de disponibilidad deteniendo un firewall. Use este enfoque para probar cómo otros sistemas y equilibradores de carga controlan una interrupción en el firewall. Para más información, consulte Detener e iniciar Azure Firewall.
Resistencia a errores en toda la región
Azure Firewall es un servicio de una sola región. Si la región no está disponible, el recurso firewall tampoco está disponible.
Soluciones personalizadas de varias regiones para la resistencia
Para implementar una arquitectura de varias regiones, use firewalls independientes. Este enfoque requiere implementar un firewall independiente en cada región, enrutar el tráfico al firewall regional adecuado e implementar la lógica de conmutación por error personalizada. Considere los siguientes puntos:
Use Azure Firewall Manager para la administración centralizada de directivas en varios firewalls. Use el método de Directiva de firewall para la administración centralizada de reglas en varias instancias de firewall.
Implemente el enrutamiento de tráfico mediante Traffic Manager o Azure Front Door.
Para obtener una arquitectura de ejemplo que muestra arquitecturas de seguridad de red de varias regiones, consulte Equilibrio de carga de varias regiones mediante Traffic Manager, Azure Firewall y Application Gateway.
Resistencia al mantenimiento del servicio
Azure Firewall realiza periódicamente actualizaciones de servicio y otras formas de mantenimiento.
Puede configurar ventanas de mantenimiento diarias para alinear las programaciones de actualización con sus necesidades operativas. Para más información, consulte Configuración del mantenimiento controlado por el cliente para Azure Firewall.
Acuerdo de nivel de servicio
El contrato de nivel de servicio (SLA) para los servicios de Azure describe la disponibilidad esperada de cada servicio y las condiciones que la solución deberá cumplir para lograr esa expectativa de disponibilidad. Para obtener más información, consulte Acuerdos de Nivel de Servicio para servicios en línea.
Azure Firewall proporciona un Acuerdo de Nivel de Servicio de mayor disponibilidad para firewalls con redundancia de zona implementados en dos o más zonas de disponibilidad.