Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Apa itu zona ketersediaan
Zona ketersediaan (AZ) adalah pusat data yang terpisah secara fisik dalam wilayah Azure, masing-masing dengan daya, pendinginan, dan jaringan independen. Zona ketersediaan mengisolasi kegagalan infrastruktur dan meningkatkan ketahanan dan ketersediaan aplikasi.
Wilayah yang mendukung zona ketersediaan biasanya memiliki tiga zona berbeda (misalnya, Zona 1, Zona 2, dan Zona 3). Tidak semua wilayah Azure mendukung zona ketersediaan. Untuk Azure Firewall, zona ketersediaan menentukan bagaimana instans firewall ditempatkan dalam suatu wilayah dan seberapa tangguh firewall terhadap kegagalan zona.
Zona redundansi
Azure Firewall menggunakan model penyebaran Zona-redundan secara default untuk meningkatkan ketahanan, ketersediaan, dan perlindungan terhadap kegagalan zonal.
Perilaku saat ini:
- Semua penyebaran Azure Firewall baru yang tidak secara eksplisit menentukan zona (yaitu, diatur ke Tidak Ada) adalah zona redundan secara default di wilayah yang mendukung zona ketersediaan.
- Semua firewall yang ada tanpa zona tertentu (yaitu, diatur ke Tidak Ada) sedang dimigrasikan platform untuk menjadi zona redundan (ZR).
- Semua firewall yang ada yang disebarkan dalam satu zona tidak dimigrasikan saat ini.
- Anda tidak perlu mengambil tindakan administrator apa pun untuk bermigrasi.
Definisi
Opsi penyebaran Azure Firewall termasuk dalam kategori berikut.
| Jenis penyebaran | Description |
|---|---|
| Zona Redundan (ZR) | Firewall diimplementasikan di beberapa zona ketersediaan (dua atau lebih). |
| Zonal (zona tunggal) | Firewall disebarkan ke dalam satu zona (misalnya, hanya Zona 1). |
| Regional (tanpa zona) | Firewall tidak di-deploy ke zona manapun. Platform secara otomatis memigrasikan firewall ini ke zona redundan. |
Beberapa wilayah tidak mendukung zona ketersediaan. Di wilayah tersebut, Azure Firewall terus diterapkan sebagai sumber daya regional.
Migrasi platform firewall yang ada
Azure Firewall secara aktif memigrasikan firewall non-ZR yang ada untuk menjadi zona redundan:
- Migrasi bersifat otomatis dan transparan.
- Tidak diperlukan waktu henti atau tindakan administrator.
Memahami properti zona setelah migrasi
Setelah migrasi:
- Untuk kompatibilitas mundur, status migrasi (yaitu, konfigurasi zona yang diperbarui) tidak segera muncul di properti templat ARM, JSON, atau Azure Resource Group (ARG).
- Firewall masih redundan di zona bagian belakang.
- Infrastruktur platform mengelola redundansi zona secara independen dari properti templat ARM.
Mengonfigurasi zona ketersediaan di Azure Firewall
Anda dapat mengonfigurasi Azure Firewall untuk menggunakan zona ketersediaan selama penyebaran untuk meningkatkan ketersediaan dan keandalan. Gunakan portal Microsoft Azure, Azure PowerShell, atau metode penyebaran lainnya untuk mengatur konfigurasi ini.
Menggunakan portal Microsoft Azure
- Secara default, portal Microsoft Azure tidak menyediakan opsi untuk memilih Zona Ketersediaan tertentu saat membuat Azure Firewall baru. Azure Firewall disebarkan sebagai Zona Redundan secara default, mematuhi persyaratan redundansi zona.
Menggunakan API
- Jangan tentukan zona apa pun selama penyebaran. Backend secara otomatis mengonfigurasi firewall sebagai Zona Redundan secara default.
- Jika Anda menyediakan zona tertentu selama penyebaran melalui API, zona yang ditentukan akan dihormati.
Menggunakan Azure PowerShell
Anda dapat mengonfigurasi Zona Ketersediaan dengan menggunakan Azure PowerShell. Contoh berikut menunjukkan cara membuat firewall di zona 1, 2, dan 3.
Saat Anda membuat alamat IP publik standar tanpa menentukan zona, alamat IP publik tersebut dikonfigurasi sebagai zona redundan secara default. Alamat IP publik standar dapat dikaitkan dengan semua zona atau satu zona.
Firewall tidak dapat disebarkan di satu zona saat alamat IP publiknya berada di zona lain. Namun, Anda dapat menyebarkan firewall di zona tertentu dan mengaitkannya dengan alamat IP publik zona-redundan, atau menyebarkan firewall dan alamat IP publik di zona yang sama untuk tujuan kedekatan.
$rgName = "Test-FW-RG"
$vnet = Get-AzVirtualNetwork `
-Name "Test-FW-VN" `
-ResourceGroupName $rgName
$pip1 = New-AzPublicIpAddress `
-Name "AzFwPublicIp1" `
-ResourceGroupName "Test-FW-RG" `
-Sku "Standard" `
-Location "eastus" `
-AllocationMethod Static `
-Zone 1,2,3
New-AzFirewall `
-Name "azFw" `
-ResourceGroupName $rgName `
-Location "eastus" `
-VirtualNetwork $vnet `
-PublicIpAddress @($pip1) `
-Zone 1,2,3
Keterbatasan
- Azure Firewall dengan Zona Ketersediaan hanya didukung di wilayah yang menawarkan Zona Ketersediaan.
- Di wilayah dengan pembatasan zona karena kendala kapasitas, penerapan Firewall Zona Redundan gagal dilakukan. Dalam kasus seperti itu, Anda dapat menyebarkan firewall di satu zona atau di zona yang tersedia untuk melanjutkan penyebaran.
- Pembatasan Zona didokumenkan di halaman Masalah umum Azure Firewall .
Dengan mengonfigurasi Zona Ketersediaan, Anda dapat mencapai ketersediaan yang lebih tinggi dan memastikan infrastruktur keamanan jaringan Anda lebih tangguh.
Perjanjian tingkat layanan (SLA)
- Saat Anda menyebarkan Azure Firewall sebagai zona redundan (dua atau beberapa Zona Ketersediaan), Anda mendapatkan SLA waktu aktif 99,99% .
- SLA waktu aktif 99,95% berlaku untuk penyebaran regional di wilayah yang tidak mendukung Zona Ketersediaan.
Untuk informasi selengkapnya, lihat fitur Azure Firewall Service Level Agreement (SLA) dan Azure Firewall oleh SKU.