Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Che cosa sono le zone di disponibilità
Le zone di disponibilità (AZ) sono data center fisicamente separati all'interno di un'area di Azure, ognuno con alimentazione, raffreddamento e rete indipendenti. Le zone di disponibilità isolano gli errori dell'infrastruttura e migliorano la resilienza e la disponibilità delle applicazioni.
Un'area che supporta le zone di disponibilità ha in genere tre zone distinte, ad esempio Zona 1, Zona 2 e Zona 3. Non tutte le aree di Azure supportano le zone di disponibilità. Per Firewall di Azure, le zone di disponibilità determinano il modo in cui le istanze del firewall vengono inserite all'interno di un'area e il modo in cui il firewall è resiliente agli errori di zona.
Ridondanza della zona
Firewall di Azure usa un modello di distribuzione con ridondanza della zona per impostazione predefinita per migliorare la resilienza, la disponibilità e la protezione da errori di zona.
Comportamento corrente:
- Tutte le nuove distribuzioni di Firewall di Azure che non specificano in modo esplicito le zone (ovvero impostate su Nessuno) sono ridondanti per impostazione predefinita nelle aree che supportano le zone di disponibilità.
- Tutti i firewall esistenti senza una zona specificata ( ovvero impostata su Nessuno) vengono migrati dalla piattaforma per diventare ridondanti della zona (ZR).
- Al momento non viene eseguita la migrazione di tutti i firewall esistenti distribuiti in un'unica zona.
- Non è necessario eseguire alcuna azione di amministratore per eseguire la migrazione.
Definizioni
Le opzioni di distribuzione di Firewall di Azure rientrano nelle categorie seguenti.
| Tipo di distribuzione | Description |
|---|---|
| Zona Ridondante (ZR) | Il firewall viene distribuito in più zone di disponibilità (due o più). |
| Singola zona | Firewall distribuito in una singola zona(ad esempio, solo zona 1). |
| Regionale (senza zone) | Firewall distribuito in nessuna zona. La piattaforma esegue automaticamente la migrazione di questi firewall a una modalità con ridondanza della zona. |
Alcune aree non supportano le zone di disponibilità. In queste aree Firewall di Azure continua a essere distribuito come risorsa a livello di area.
Migrazione della piattaforma dei firewall esistenti
Firewall di Azure esegue attivamente la migrazione di firewall senza ridondanza della zona per attivarne la ridondanza della zona.
- La migrazione è automatica e trasparente.
- Non sono necessari tempi di inattività o azioni di amministratore.
Informazioni sulle proprietà della zona dopo la migrazione
Dopo la migrazione:
- Per garantire la compatibilità con le versioni precedenti, lo stato della migrazione (ovvero la configurazione della zona aggiornata) non viene visualizzato immediatamente nel modello di Azure Resource Manager (ARM), nelle proprietà JSON o nel gruppo di risorse di Azure.
- La ridondanza della zona è ancora presente per il firewall nel back-end.
- L'infrastruttura della piattaforma gestisce la ridondanza della zona indipendentemente dalle proprietà del modello ARM.
Configurare le zone di disponibilità in Firewall di Azure
È possibile configurare Firewall di Azure per l'uso delle zone di disponibilità durante la distribuzione per migliorare la disponibilità e l'affidabilità. Usare il portale di Azure, Azure PowerShell o altri metodi di distribuzione per impostare questa configurazione.
Uso del portale di Azure
- Per impostazione predefinita, il portale di Azure non offre un'opzione per selezionare zone di disponibilità specifiche durante la creazione di un nuovo Firewall di Azure. Firewall di Azure viene distribuito come ridondante a livello di zona per impostazione predefinita, rispettando i requisiti di ridondanza della zona.
Uso delle API
- Non specificare zone durante la distribuzione. Il back-end configura automaticamente il firewall come Zona Ridondante per impostazione predefinita.
- Se si specificano zone specifiche durante la distribuzione tramite API, le zone specificate vengono rispettate.
Uso di Azure PowerShell
È possibile configurare le zone di disponibilità usando Azure PowerShell. Nell'esempio seguente viene illustrato come creare un firewall nelle zone 1, 2 e 3.
Quando si crea un indirizzo IP pubblico standard senza specificare una zona, viene configurato come ridondante della zona per impostazione predefinita. Gli indirizzi IP pubblici standard possono essere associati a tutte le zone o a una singola zona.
Non è possibile distribuire un firewall in una zona mentre l'indirizzo IP pubblico si trova in un'altra zona. Tuttavia, è possibile distribuire un firewall in una zona specifica e associarlo a un indirizzo IP pubblico con ridondanza della zona oppure distribuire sia il firewall che l'indirizzo IP pubblico nella stessa zona a scopo di prossimità.
$rgName = "Test-FW-RG"
$vnet = Get-AzVirtualNetwork `
-Name "Test-FW-VN" `
-ResourceGroupName $rgName
$pip1 = New-AzPublicIpAddress `
-Name "AzFwPublicIp1" `
-ResourceGroupName "Test-FW-RG" `
-Sku "Standard" `
-Location "eastus" `
-AllocationMethod Static `
-Zone 1,2,3
New-AzFirewall `
-Name "azFw" `
-ResourceGroupName $rgName `
-Location "eastus" `
-VirtualNetwork $vnet `
-PublicIpAddress @($pip1) `
-Zone 1,2,3
Limitazioni
- Firewall di Azure con zone di disponibilità è supportato solo nelle aree che offrono zone di disponibilità.
- Nelle aree con restrizioni di zona a causa di vincoli di capacità, la distribuzione di un firewall con ridondanza della zona ha esito negativo. In questi casi, è possibile distribuire il firewall in una singola zona o nelle zone disponibili per procedere con la distribuzione.
- Le restrizioni di zona sono documentate nella pagina Problemi noti di Firewall di Azure .
Configurando le zone di disponibilità, è possibile ottenere una disponibilità più elevata e garantire che l'infrastruttura di sicurezza di rete sia più resiliente.
Contratti di servizio
- Quando si distribuisce Azure Firewall come ridondante su zona (due o più zone di disponibilità), si ottiene un SLA di disponibilità del 99,99%.
- Un SLA con uptime di 99.95% si applica alle distribuzioni a livello regionale nelle regioni che non supportano le zone di disponibilità.
Per ulteriori informazioni, vedere il Contratto di servizio (SLA) di Azure Firewall e le funzionalità di Azure Firewall per SKU.