Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Azure Firewall egy felügyelt, felhőalapú hálózati biztonsági szolgáltatás, amely Azure Virtual Network erőforrásokat véd. Ez egy teljesen állapotalapú tűzfalszolgáltatás, amely beépített magas rendelkezésre állást és korlátlan felhőalapú méretezhetőséget tartalmaz.
Az Azure használatakor a megbízhatóság közös felelősség. A Microsoft számos lehetőséget kínál a rugalmasság és a helyreállítás támogatására. Ön a felelős azért, hogy megértse, hogyan működnek ezek a képességek az összes használt szolgáltatáson belül, és válassza ki azokat a képességeket, amelyekre szüksége van az üzleti célok és az üzemidő céljainak eléréséhez.
Ez a cikk azt ismerteti, hogyan teheti rugalmassá Azure Firewall számos lehetséges kimaradás és probléma esetén, beleértve az átmeneti hibákat, a rendelkezésre állási zónák kimaradásait és a régiókimaradásokat. Emellett ismerteti a szolgáltatáskarbantartás során felmerülő rugalmasságot, és kiemel néhány fontos információt a tűzfal szolgáltatásiszint-szerződéséről (SLA).
Termelési üzembe helyezési javaslatok
Ha tudni szeretné, hogyan helyezhet üzembe Azure Firewall a megoldás megbízhatósági követelményeinek támogatásához, és hogyan befolyásolja a megbízhatóság az architektúra más aspektusait, tekintse meg A Azure Firewall ajánlott eljárásait a Azure Well-Architected keretrendszerben.
A megbízhatósági architektúra áttekintése
A példány a tűzfal virtuális gép (VM) szintű egysége. Minden példány a forgalmat kezelő és tűzfal-ellenőrzéseket végző infrastruktúrát jelöli.
A tűzfal magas rendelkezésre állásának elérése érdekében a Azure Firewall automatikusan biztosít legalább két példányt anélkül, hogy beavatkozást vagy konfigurációt igényel. A tűzfal automatikusan felskálázódik, ha az átlagos átviteli sebesség, a processzorhasználat és a kapcsolathasználat eléri az előre meghatározott küszöbértékeket. További információ: Azure Firewall teljesítmény. A platform automatikusan kezeli a példánylétrehozást, az állapotfigyelést és a nem megfelelő példányok cseréjét.
A kiszolgáló- és kiszolgálóállványhibák elleni védelem érdekében az Azure Firewall automatikusan elosztja a példányokat egy régión belül több meghibásodási tartományra.
Az alábbi ábrán egy tűzfal látható két példánnyal:
A redundancia és a rendelkezésre állás növelése az adatközpontok meghibásodása esetén, Azure Firewall automatikusan engedélyezi a zónaredundanciát olyan régiókban, amelyek több rendelkezésre állási zónát támogatnak, és a példányokat legalább két rendelkezésre állási zónában osztják el.
Rugalmasság átmeneti hibákhoz
Az átmeneti hibák rövid, időszakos meghibásodások a komponensekben. Gyakran előfordulnak elosztott környezetben, például a felhőben, és ezek a műveletek szokásos részei. Az átmeneti hibák rövid idő elteltével kijavítják magukat. Fontos, hogy az alkalmazások kezelni tudják az átmeneti hibákat, általában az érintett kérések újrapróbálásával.
Minden felhőalapú alkalmazásnak követnie kell az Azure átmeneti hibakezelési útmutatást, amikor a felhőben üzemeltetett API-kkal, adatbázisokkal és más összetevőkkel kommunikálnak. További információ: Átmeneti hibák kezelésére vonatkozó javaslatok.
A Azure Firewall keresztül csatlakozó alkalmazások esetében az újrapróbálkozási logikát exponenciális visszakapcsolással kell implementálni a lehetséges átmeneti kapcsolati problémák kezeléséhez. Azure Firewall állapotalapú jellege biztosítja, hogy a megbízható kapcsolatok aktívak maradjanak a rövid hálózati megszakítások során.
Az 5–7 percig tartó skálázási műveletek során a tűzfal megőrzi a meglévő kapcsolatokat, miközben új tűzfalpéldányokat ad hozzá a megnövekedett terhelés kezeléséhez.
Rugalmasság a rendelkezésre állási zóna hibáival szemben
A rendelkezésre állási zónák fizikailag különálló adatközpont-csoportok egy Azure régión belül. Ha egy zóna meghibásodik, a szolgáltatások a fennmaradó zónák egyikére is át tudnak adni feladatokat.
Azure Firewall automatikusan zónaredundánsként lesz üzembe helyezve több rendelkezésre állási zónát támogató régiókban. A tűzfal zónaredundáns, ha legalább két rendelkezésre állási zónában helyezi üzembe.
Azure Firewall zónaredundáns és zónaalapú üzemi modelleket is támogat:
Zone-redundáns: A rendelkezésre állási zónákat támogató régiókban Azure automatikusan elosztja a tűzfalpéldányokat több rendelkezésre állási zónában (legalább kettő). Azure automatikusan kezeli a zónák közötti terheléselosztást és feladatátvételt. Ez az üzembe helyezési modell az alapértelmezett az összes új tűzfal esetében.
A zónaredundáns tűzfalak a legmagasabb rendelkezésre állási szolgáltatási szintű szerződést (SLA) érik el. Használja őket olyan éles számítási feladatokhoz, amelyek maximális rendelkezésre állást igényelnek.
Az alábbi ábra egy zónaredundáns tűzfalat mutat be három olyan példánnyal, amelyek három rendelkezésre állási zónában vannak elosztva:
Megjegyzés:
A több rendelkezésre állási zónával rendelkező régiókban lévő összes tűzfaltelepítés automatikusan zónaredundáns. Ez a szabály a Azure portálon és API-alapú üzemelő példányokon (Azure CLI, PowerShellen, Bicep, ARM-sablonokon, Terraformon) keresztüli üzembe helyezésekre vonatkozik.
Zonal: Adott helyzetekben, ahol a kapacitáskorlátozások fennállnak, vagy a késési követelmények kritikusak, Azure Firewall-t az API-alapú eszközökkel (Azure CLI, PowerShell, Bicep, ARM-sablonok, Terraform) telepíthet egy adott rendelkezésre állási zónába. A zónán belül egy zonális tűzfal összes példányát üzembe kell helyeznie.
Az alábbi ábra egy három példányt tartalmazó zonális tűzfalat mutat be, amelyek ugyanabban a rendelkezésre állási zónában vannak üzembe helyezve:
Fontos
Zonális üzembe helyezéseket csak API-alapú eszközökkel hozhat létre. A Azure portálon keresztül nem konfigurálhatja őket. A meglévő zónaszintű tűzfal-kiosztások a jövőben zónaredundáns telepítésekre lesznek átalakítva. Ha lehetséges, használjon zónaredundáns üzembe helyezéseket a legmagasabb rendelkezésre állású SLA eléréséhez. A zónaszintű tűzfal önmagában nem biztosít rugalmasságot a rendelkezésre állási zónák kimaradása esetén.
Meglévő telepítések migrálása
Korábban, azok az Azure Firewall telepítések, amelyek nincsenek zónaredundánsan vagy zónásan konfigurálva, nonzonálisak vagy regionálisak. A 2026-os naptári év folyamán az Azure minden meglévő nem zónás tűzfal-telepítést zónaredundáns telepítésre migrál azokban a régiókban, amelyek több rendelkezésre állási zónát támogatnak.
Requirements
- Region support: Azure Firewall támogatja a rendelkezésre állási zónákat minden olyan régióban, amely támogatja a rendelkezésre állási zónákat, ahol a Azure Firewall szolgáltatás elérhető.
- A Azure Firewall minden szintje támogatja a rendelkezésre állási zónákat.
- A zónaredundáns tűzfalakhoz zónaredundánsként konfigurált szabványos nyilvános IP-címek szükségesek.
- A (API-alapú eszközökkel üzembe helyezett) zonális tűzfalakhoz szabványos nyilvános IP-címek szükségesek, és úgy konfigurálhatók, hogy zónaredundánsak vagy zónaszintűek legyenek a tűzfallal azonos zónában.
Költség
A zónaredundáns tűzfaltelepítések nem járnak többletköltséggel.
A rendelkezésre állási zóna támogatásának konfigurálása
Ez a szakasz a tűzfalak rendelkezésre állási zónájának konfigurációját ismerteti.
Új tűzfal létrehozása: A több rendelkezésre állási zónával rendelkező régiók összes új Azure Firewall üzemelő példánya alapértelmezés szerint automatikusan zónaredundáns. Ez a szabály mind a portálalapú, mind az API-alapú üzembe helyezésekre vonatkozik.
Zone-redundáns (alapértelmezett): Ha több rendelkezésre állási zónával rendelkező régióban helyez üzembe új tűzfalat, Azure automatikusan elosztja a példányokat legalább két rendelkezésre állási zónában. Nincs szükség további konfigurációra. További információ: A Azure Firewall üzembe helyezése a Azure portálon.
- Azure portál: Automatikusan telepíti a zónaredundáns tűzfalakat. A portálon keresztül nem választhat ki egy adott rendelkezésre állási zónát.
- API-alapú eszközök (Azure CLI, PowerShell, Bicep, ARM-sablonok, Terraform): Zónaredundáns tűzfalak üzembe helyezése alapértelmezés szerint. Igény szerint zónákat is megadhat az üzembe helyezéshez.
A zónaredundáns tűzfal üzembe helyezésével kapcsolatos további információkért lásd: Az Azure Firewall üzembe helyezése rendelkezésre állási zónákkal.
Zonal (csak API-alapú eszközök): Ha tűzfalat szeretne üzembe helyezni egy adott rendelkezésre állási zónában (például egy régió kapacitáskorlátozásai miatt), használjon API-alapú eszközöket, például Azure CLI, PowerShellt, Bicep, ARM-sablonokat vagy Terraformot. Adjon meg egyetlen zónát az üzembe helyezési konfigurációban. Ez a lehetőség nem érhető el a Azure portálon keresztül.
Megjegyzés:
Amikor kiválasztja a használni kívánt rendelkezésre állási zónákat, valójában a logikai rendelkezésre állási zónát választja ki. Ha más számítási feladatok összetevőit egy másik Azure-előfizetésben helyezi üzembe, előfordulhat, hogy egy másik logikai rendelkezésre állási zónaszámmal férnek hozzá ugyanahhoz a fizikai rendelkezésre állási zónához. További információ: Fizikai és logikai rendelkezésre állási zónák.
Meglévő tűzfalak: A rendszer automatikusan telepíti át az összes meglévő nem zónán kívüli (regionális) tűzfaltelepítést a zónaredundáns üzemelő példányokra olyan régiókban, amelyek több rendelkezésre állási zónát támogatnak. A meglévő, egy adott zónába rögzített zóna tűzfal telepítéseket a rendszer egy későbbi időpontban zónaredundáns telepítésekre migrálja.
Kapacitáskorlátozások: Ha egy régió nem rendelkezik zónaredundáns üzembe helyezési kapacitással (legalább két rendelkezésre állási zónát igényel), az üzembe helyezés meghiúsul. Ebben a forgatókönyvben egy zonális tűzfalat helyezhet üzembe egy adott rendelkezésre állási zónában API-alapú eszközökkel.
Viselkedés, ha minden zóna kifogástalan
Ez a szakasz azt ismerteti, hogy mire számíthat, ha Azure Firewall a rendelkezésre állási zóna támogatásával van konfigurálva, és az összes rendelkezésre állási zóna működőképes.
Forgalomirányítás zónák között: A forgalomirányítás viselkedése a tűzfal által használt rendelkezésre állási zóna konfigurációjától függ.
Zone-redundáns: Az Azure Firewall automatikusan elosztja a bejövő kéréseket az összes zónában lévő példány között, amelyeket a tűzfal használ. Ez az aktív-aktív konfiguráció optimális teljesítményt és terheléselosztást biztosít normál üzemeltetési körülmények között.
Zonal: Ha több zónapéldányt helyez üzembe különböző zónákban, a forgalomirányítást külső terheléselosztási megoldások, például Azure Load Balancer vagy Azure Traffic Manager használatával kell konfigurálnia.
Példánykezelés: A platform automatikusan kezeli a példányok elhelyezését a tűzfal által használt zónák között. Lecseréli a sikertelen példányokat, és fenntartja a konfigurált példányok számát. Az állapotmonitorozás biztosítja, hogy csak az kifogástalan állapotú példányok fogadják a forgalmat.
Adatreplikálás zónák között: Azure Firewall nem kell szinkronizálnia a kapcsolat állapotát a rendelkezésre állási zónák között. A kérést feldolgozó példány fenntartja az egyes kapcsolatok állapotát.
Viselkedés zónahiba esetén
Ez a szakasz azt ismerteti, hogy mire számíthat, ha Azure Firewall a rendelkezésre állási zóna támogatásával van konfigurálva, és egy vagy több rendelkezésre állási zóna nem érhető el.
Észlelés és válasz: Az észlelés és a reagálás felelőssége a tűzfal által használt rendelkezésre állási zóna konfigurációjától függ.
Zone-redundáns: A zónaredundancia használatára konfigurált példányok esetében a Azure Firewall platform észleli és válaszol egy rendelkezésre állási zónában bekövetkező hibára. Nem kell zóna vészátkapcsolását kezdeményeznie.
Zonal: A zónaszintű tűzfalak esetében észlelnie kell egy rendelkezésre állási zóna elvesztését, és feladatátvételt kell kezdeményeznie egy másik rendelkezésre állási zónában létrehozott másodlagos tűzfalra.
- Értesítés: A Microsoft nem értesíti automatikusan, ha egy zóna le van omlva. A Azure Service Health használatával azonban megismerheti a szolgáltatás általános állapotát, beleértve a zónahibákat is, és beállíthat Service Health-riasztásokat a problémák értesítésére.
Aktív kapcsolatok: Ha egy rendelkezésre állási zóna nem érhető el, a hibás rendelkezésre állási zónában lévő tűzfalpéldányhoz csatlakozó folyamatban lévő kérelmek leállhatnak, és újrapróbálkozást igényelhetnek.
Várható adatvesztés: A zóna feladatátvétele során nem várható adatvesztés, mert az Azure Firewall nem tárol állandó ügyféladatokat.
Várható állásidő: Az állásidő a tűzfal által használt rendelkezésre állási zóna konfigurációjától függ.
Zónaredundáns: Minimális állásidőre (általában néhány másodpercre) számíthat a rendelkezésre állási zónák leállása során. Az ügyfélalkalmazásoknak követnie kell az átmeneti hibakezelés gyakorlatát, beleértve az újrapróbálkozási szabályzatok exponenciális visszalépéssel történő implementálását is.
Zonal: Ha egy zóna nem érhető el, a tűzfal mindaddig nem lesz elérhető, amíg a rendelkezésre állási zóna helyre nem áll.
Forgalom átirányítása: A forgalom átirányítási viselkedése a tűzfal által használt rendelkezésre állási zóna konfigurációjától függ.
Zónaredundáns: A forgalmat automatikusan átirányítják az működőképes rendelkezésre állási zónákba. Szükség esetén a platform új tűzfalpéldányokat hoz létre kifogástalan állapotú zónákban.
Zonal: Ha egy zóna nem érhető el, a zóna tűzfala is elérhetetlen. Ha van egy másodlagos tűzfal egy másik rendelkezésre állási zónában, akkor Ön felelős azért, hogy a forgalmat átirányítsa arra a tűzfalra.
Failback
A visszaállási viselkedés a tűzfal által használt rendelkezésre állási zóna konfigurációjától függ.
Zone-redundáns: Miután a rendelkezésre állási zóna helyreáll, az Azure Firewall automatikusan újraelosztja a példányokat a tűzfal által használt összes zónában, és visszaállítja a normál terheléselosztást a zónák között.
Zonal: A rendelkezésre állási zóna helyreállítása után Ön lesz a felelős az eredeti rendelkezésre állási zónában lévő tűzfal felé irányuló forgalom átirányításáért.
Zónahibák tesztelése
A zónahibák tesztelésének lehetőségei a tűzfal rendelkezésre állási zónájának konfigurációjától függenek.
Zone-redundáns: Az Azure Firewall platform kezeli a zónaredundáns tűzfalerőforrások forgalomirányítását, feladatátvételét és visszaállítását. Ez a funkció teljes mértékben felügyelt, így nem kell kezdeményeznie vagy ellenőriznie a rendelkezésre állási zónák meghibásodási folyamatait.
Zonal: A rendelkezésre állási zónák meghibásodásának szempontjait egy tűzfal leállításával szimulálhatja. Ezzel a módszerrel tesztelhető, hogy más rendszerek és terheléselosztók hogyan kezelik a tűzfal kimaradását. További információért lásd: Azure Firewall leállítása és indítása.
Rugalmasság régiószintű hibákhoz
Azure Firewall egy régiós szolgáltatás. Ha a régió nem érhető el, a tűzfalerőforrás szintén nem érhető el.
Egyéni többrégiós megoldások a rugalmasság érdekében
Többrégiós architektúra implementálásához használjon külön tűzfalakat. Ehhez a megközelítéshez minden régióban üzembe kell helyeznie egy független tűzfalat, a forgalmat a megfelelő regionális tűzfalhoz kell irányítania, és egyéni feladatátvételi logikát kell implementálnia. Vegye figyelembe a következő szempontokat:
Az Azure Firewall Manager használata több tűzfalon keresztüli központosított szabályzatkezeléshez. A Tűzfalszabályzat metódussal központosított szabálykezelést használhat több tűzfalpéldányon.
Forgalom útválasztása a Traffic Manager vagy az Azure Front Door használatával.
A több régióra kiterjedő hálózati biztonsági architektúrákat bemutató példaarchitektúrához lásd: Multi-region load balancing by using Traffic Manager, Azure Firewall, and Application Gateway.
A szolgáltatás karbantartásával szembeni rugalmasság
Azure Firewall rendszeresen elvégzi a szolgáltatásfrissítéseket és a karbantartás egyéb formáit.
A napi karbantartási időszakokat úgy konfigurálhatja, hogy a frissítési ütemezések igazodjanak a működési igényeihez. További információért lásd: Ügyfél által ellenőrzött karbantartás konfigurálása az Azure Firewall számára.
Szolgáltatásiszint-szerződés
A Azure szolgáltatások szolgáltatásiszint-szerződése (SLA) leírja az egyes szolgáltatások várható elérhetőségét, valamint azokat a feltételeket, amelyeket a megoldásnak teljesítenie kell az adott rendelkezésre állási elvárás eléréséhez. További információ: SLAs for online szolgáltatások.
Azure Firewall magasabb rendelkezésre állási SLA-t biztosít a két vagy több rendelkezésre állási zónában üzembe helyezett zónaredundáns tűzfalakhoz.