Affidabilità in Azure Bastion
Questo articolo descrive il supporto per l'affidabilità in Azure Bastion. Copre la resilienza all'interno dell'area tramite le zone di disponibilità. Vengono inoltre illustrate le distribuzioni in più aree.
Poiché la resilienza è una responsabilità condivisa tra l'utente e Microsoft, questo articolo illustra anche i modi per creare una soluzione resiliente che soddisfi le proprie esigenze.
Importante
Le funzionalità di ridondanza della zona per le risorse di Azure Bastion sono attualmente in anteprima. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per le condizioni legali applicabili alle funzionalità di Azure in versione beta, in anteprima o altrimenti non ancora rilasciate nella disponibilità generale.
Azure Bastion è una piattaforma distribuita come servizio (PaaS) completamente gestita di cui si effettua il provisioning per fornire connessioni a sicurezza elevata alle macchine virtuali tramite un indirizzo IP privato. Offre connettività RDP/SSH senza problemi alle macchine virtuali direttamente tramite TLS dal portale di Azure o tramite il client SSH o RDP nativo già installato nel computer locale. Quando ci si connette tramite Azure Bastion, le macchine virtuali non richiedono un indirizzo IP pubblico, un agente o un software client speciale.
Raccomandazioni per la distribuzione di produzione
Per le distribuzioni di produzione, è necessario abilitare la ridondanza della zona se le risorse di Azure Bastion si trovano in un'area supportata.
Errori temporanei
Gli errori temporanei sono brevi errori intermittenti nei componenti. Si verificano spesso in un ambiente distribuito come il cloud e fanno parte delle normali operazioni. Si correggono dopo un breve periodo di tempo. È importante che le applicazioni gestisca gli errori temporanei, in genere ritentando le richieste interessate.
Se gli errori temporanei influiscono sulla macchina virtuale o sull'host Azure Bastion, i client che usano i protocolli SSH (Secure Sockets Host) e Remote Desktop Protocol (RDP) in genere riprovano automaticamente.
Supporto della zona di disponibilità
È possibile configurare Azure Bastion come ridondante della zona in modo che le risorse vengano distribuite in più zone di disponibilità. Quando si distribuiscono risorse tra zone di disponibilità, è possibile ottenere resilienza e affidabilità per i carichi di lavoro di produzione.
È possibile specificare la zona di disponibilità o le zone in cui distribuire una risorsa Azure Bastion. Azure Bastion distribuisce le istanze tra queste zone. Il diagramma seguente illustra le istanze di Azure Bastion distribuite in tre zone:
Nota
Se si specificano più zone di disponibilità rispetto alle istanze, Azure Bastion distribuisce le istanze tra tutte le zone che possono. Se una zona di disponibilità non è disponibile, l'istanza nella zona difettosa viene sostituita con un'altra istanza in una zona integra.
Requisiti
Per configurare le risorse di Azure Bastion con ridondanza della zona, è necessario eseguire la distribuzione con gli SKU Basic, Standard o Premium.
Bastion richiede un indirizzo IP pubblico con ridondanza della zona CON SKU Standard.
Aree supportate
Le risorse di Azure Bastion con ridondanza della zona possono essere distribuite nelle aree seguenti:
| Americhe | Europa | Medio Oriente | Africa | Asia/Pacifico |
|---|---|---|---|---|
| Canada centrale | Europa settentrionale | Qatar centrale | Sudafrica settentrionale | Australia orientale |
| Stati Uniti centrali | Svezia centrale | Israele centrale | Corea centrale | |
| Stati Uniti orientali | Regno Unito meridionale | |||
| Stati Uniti orientali 2 | Europa occidentale | |||
| West US 2 | Norvegia orientale | |||
| Stati Uniti orientali 2 EUAP | Italia settentrionale | |||
| Messico centrale | Spagna centrale |
Costo
Non sono previsti costi aggiuntivi per l'uso della ridondanza della zona per Azure Bastion.
Configurare il supporto della zona di disponibilità
Nuove risorse: quando si distribuisce una nuova risorsa Azure Bastion in un'area che supporta le zone di disponibilità, selezionare le zone specifiche in cui si vuole eseguire la distribuzione. Per la ridondanza della zona, è necessario selezionare più zone.
Importante
Non è possibile modificare l'impostazione della zona di disponibilità dopo la distribuzione della risorsa Azure Bastion.
Quando si selezionano le zone di disponibilità da usare, si seleziona effettivamente la zona di disponibilità logica. Se si distribuiscono altri componenti del carico di lavoro in una sottoscrizione di Azure diversa, è possibile usare un numero di zona di disponibilità logico diverso per accedere alla stessa zona di disponibilità fisica. Per altre informazioni, vedere Zone di disponibilità fisiche e logiche.
Migrazione: non è possibile aggiungere il supporto della zona di disponibilità a una risorsa esistente che non lo ha. È invece necessario creare una risorsa Azure Bastion nella nuova area ed eliminare quella precedente.
Routing del traffico tra zone
Quando si avvia una sessione SSH o RDP, può essere instradata a un'istanza di Azure Bastion in una delle zone di disponibilità selezionate.
Una sessione potrebbe essere inviata a un'istanza di Azure Bastion in una zona di disponibilità diversa dalla macchina virtuale a cui ci si connette. Nel diagramma seguente viene inviata una richiesta dall'utente a un'istanza di Azure Bastion nella zona 2, anche se la macchina virtuale si trova nella zona 1:
Nella maggior parte degli scenari, la piccola quantità di latenza tra zone non è significativa. Tuttavia, se si hanno requisiti di latenza insolitamente rigorosi per i carichi di lavoro di Azure Bastion, è consigliabile distribuire un'istanza dedicata di Azure Bastion a zona singola nella zona di disponibilità della macchina virtuale. Questa configurazione non offre ridondanza della zona e non è consigliabile per la maggior parte dei clienti.
Esperienza di zona inattiva
Rilevamento e risposta: Azure Bastion rileva e risponde agli errori in una zona di disponibilità. Non è necessario eseguire alcuna operazione per avviare un failover della zona di disponibilità.
Richieste attive: quando una zona di disponibilità non è disponibile, tutte le connessioni RDP o SSH in corso che usano un'istanza di Azure Bastion nella zona di disponibilità difettosa vengono terminate e devono essere ritentate.
Se la macchina virtuale a cui ci si connette non si trova nella zona di disponibilità interessata, la macchina virtuale continua ad essere accessibile. Per altre informazioni sull'esperienza di arresto della zona nella zona inattiva, vedere Affidabilità nelle macchine virtuali.
Reindirizzamento del traffico: le nuove connessioni usano le istanze di Azure Bastion nelle zone di disponibilità rimanenti. In generale, Azure Bastion rimane operativo.
Failback
Quando la zona di disponibilità viene ripristinata, Azure Bastion:
- Ripristina automaticamente le istanze nella zona di disponibilità.
- Rimuove tutte le istanze temporanee create nelle altre zone di disponibilità.
- Reindirizza il traffico tra le istanze come di consueto.
Test per gli errori di zona
La piattaforma Azure Bastion gestisce il routing del traffico, il failover e il failback per le risorse di Azure Bastion con ridondanza della zona. Poiché questa funzionalità è completamente gestita, non è necessario avviare alcun processo o convalidare i processi di errore della zona di disponibilità.
Supporto multi-area
Azure Bastion viene distribuito all'interno di reti virtuali o reti virtuali con peering ed è associato a un'area di Azure. Azure Bastion è un servizio a singola area. Se l'area non è più disponibile, anche la risorsa Azure Bastion non è disponibile.
Azure Bastion supporta il raggiungimento di macchine virtuali in reti virtuali con peering globale, ma se l'area che ospita la risorsa Azure Bastion non è disponibile, non sarà possibile usare la risorsa Azure Bastion. Per una maggiore resilienza, se si distribuisce la soluzione complessiva in più aree con reti virtuali separate in ogni area, è necessario distribuire Azure Bastion in ogni area.
Se si dispone di un sito di ripristino di emergenza in un'altra area di Azure, assicurarsi di distribuire Azure Bastion nella rete virtuale in tale area.
Contratto di servizio
Il contratto di servizio per Azure Bastion descrive la disponibilità prevista del servizio e le condizioni che devono essere soddisfatte per ottenere tale aspettativa di disponibilità. Per comprendere queste condizioni, è importante esaminare il contratto di servizio per i servizi online.