Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Firewall di Azure è un servizio di sicurezza di rete gestito basato sul cloud che protegge le risorse della rete virtuale di Azure. È un firewall con stato completo distribuito come servizio con disponibilità elevata e scalabilità cloud senza limiti.
Quando si usa Azure, l'affidabilità è una responsabilità condivisa. Microsoft offre una gamma di funzionalità per supportare la resilienza e il ripristino. L'utente è responsabile della comprensione del funzionamento di tali funzionalità all'interno di tutti i servizi usati e della selezione delle funzionalità necessarie per soddisfare gli obiettivi aziendali e gli obiettivi di tempo di attività.
Questo articolo descrive come rendere resiliente Firewall di Azure a un'ampia gamma di potenziali interruzioni e problemi, tra cui errori temporanei, interruzioni della zona di disponibilità e interruzioni dell'area. Descrive anche la resilienza durante la manutenzione del servizio ed evidenzia alcune informazioni chiave sul contratto di servizio firewall.
Raccomandazioni per la distribuzione di produzione
Per informazioni su come distribuire Firewall di Azure per supportare i requisiti di affidabilità della soluzione e su come l'affidabilità influisce su altri aspetti dell'architettura, vedere Procedure consigliate per l'architettura per Firewall di Azure in Well-Architected Framework di Azure.
Panoramica dell'architettura di affidabilità
Un'istanza fa riferimento a un'unità a livello di macchina virtuale del firewall. Ogni istanza rappresenta l'infrastruttura che gestisce il traffico ed esegue controlli del firewall.
Per ottenere una disponibilità elevata di un firewall, Firewall di Azure fornisce automaticamente almeno due istanze, senza richiedere l'intervento o la configurazione. Il firewall aumenta automaticamente il numero di istanze quando la velocità effettiva media, il consumo della CPU e l'utilizzo della connessione raggiungono soglie predefinite. Per altre informazioni, vedere Prestazioni di Firewall di Azure. La piattaforma gestisce automaticamente la creazione dell'istanza, il monitoraggio dell'integrità e la sostituzione di istanze non integre.
Per proteggersi da errori del server e del rack del server, Firewall di Azure distribuisce automaticamente le istanze tra più domini di errore all'interno di un'area.
Il diagramma seguente illustra un firewall con due istanze:
Per aumentare la ridondanza e la disponibilità durante gli errori del data center, Firewall di Azure abilita automaticamente la ridondanza della zona nelle aree che supportano più zone di disponibilità, distribuendo istanze in almeno due zone di disponibilità.
Resilienza a errori temporanei
Gli errori temporanei sono errori brevi e intermittenti nei componenti. Si verificano spesso in un ambiente distribuito come il cloud e fanno parte delle normali operazioni. Gli errori temporanei si correggono dopo un breve periodo di tempo. È importante che le applicazioni possano gestire gli errori temporanei, in genere ritentando le richieste interessate.
Tutte le applicazioni ospitate nel cloud devono seguire le indicazioni sulla gestione degli errori temporanei di Azure quando comunicano con qualsiasi API, database e altri componenti ospitati nel cloud. Per altre informazioni, vedere Raccomandazioni per la gestione degli errori temporanei.
Per le applicazioni che si connettono tramite Firewall di Azure, implementare la logica di ripetizione dei tentativi con backoff esponenziale per gestire potenziali problemi di connessione temporanei. La natura con stato di Firewall di Azure garantisce che le connessioni legittime rimangano attive durante brevi interruzioni di rete.
Durante le operazioni di ridimensionamento, che richiedono da cinque a sette minuti, il firewall mantiene le connessioni esistenti mentre aggiunge nuove istanze del firewall per gestire un carico maggiore.
Resilienza ai guasti delle zone di disponibilità
Le zone di disponibilità sono gruppi di data center separati fisicamente all'interno di un'area di Azure. In caso di guasto in una zona, i servizi possono passare a una delle zone restanti.
Firewall di Azure viene distribuito automaticamente con ridondanza di zona nelle aree che supportano più zone di disponibilità. Un firewall è a ridondanza zonale quando viene distribuito in almeno due zone di disponibilità.
Firewall di Azure supporta modelli di distribuzione con ridondanza della zona e a livello di zona:
Ridondanza della zona: Nelle aree che supportano le zone di disponibilità, Azure distribuisce automaticamente le istanze del firewall tra più zone di disponibilità (almeno due). Azure gestisce automaticamente il bilanciamento del carico e il failover tra le zone. Questo modello di distribuzione è l'impostazione predefinita per tutti i nuovi firewall.
I firewall con ridondanza della zona raggiungono il contratto di servizio con tempo di attività più elevato. Usarli per i carichi di lavoro di produzione che richiedono la massima disponibilità.
Il diagramma seguente mostra un firewall con ridondanza della zona con tre istanze distribuite tra tre zone di disponibilità:
Annotazioni
Tutte le distribuzioni del firewall nelle regioni con più zone di disponibilità sono automaticamente ridondanti tra zone. Questa regola si applica alle distribuzioni tramite il portale di Azure e le distribuzioni basate su API (interfaccia della riga di comando di Azure, PowerShell, Bicep, modelli arm, Terraform).
Zonale: In scenari specifici in cui esistono vincoli di capacità o requisiti di latenza sono critici, è possibile distribuire Firewall di Azure in una zona di disponibilità specifica usando gli strumenti basati su API (interfaccia della riga di comando di Azure, PowerShell, Bicep, modelli arm, Terraform). Tutte le istanze di un firewall di zona all'interno di tale zona vengono implementate.
Il diagramma seguente mostra un firewall di zona con tre istanze distribuite nella stessa zona di disponibilità:
Importante
È possibile creare distribuzioni di zona solo tramite strumenti basati su API. Non è possibile configurarli tramite il portale di Azure. Le distribuzioni del firewall zonali esistenti verranno migrate alle distribuzioni con ridondanza zonale in futuro. Usare le distribuzioni a ridondanza zonale quando possibile per ottenere il contratto di servizio (SLA) con disponibilità più elevata. Un firewall a livello di zona da solo non fornisce resilienza a un'interruzione della zona di disponibilità.
Migrazione delle distribuzioni esistenti
In precedenza, le distribuzioni di Azure Firewall che non sono configurate per essere con ridondanza di zona o zonali sono non zonali o regionali. Nel corso dell'anno di calendario 2026, Azure esegue la migrazione di tutte le distribuzioni firewall non di zona esistenti alle distribuzioni con ridondanza della zona nelle aree che supportano più zone di disponibilità.
Supporto di area
Firewall di Azure supporta le zone di disponibilità in tutte le aree che supportano le zone di disponibilità, in cui è disponibile il servizio Firewall di Azure.
Requisiti
- Tutti i livelli di Firewall di Azure supportano le zone di disponibilità.
- I firewall a ridondanza di zona richiedono indirizzi IP pubblici standard configurati per essere a ridondanza di zona.
- I firewall di zona (distribuiti tramite strumenti basati su API) richiedono indirizzi IP pubblici standardizzati e possono essere configurati per avere ridondanza nella zona o per essere confinati nella stessa zona del firewall.
Costo
Non sono previsti costi aggiuntivi per le distribuzioni del firewall con ridondanza tra zone.
Configurare il supporto delle zone di disponibilità
Questa sezione illustra la configurazione della zona di disponibilità per i firewall.
Creare un nuovo firewall: Tutte le nuove distribuzioni di Firewall di Azure nelle aree con più zone di disponibilità sono a ridondanza di zona per impostazione predefinita. Questa regola si applica sia alle distribuzioni basate sul portale che alle distribuzioni basate su API.
Ridondanza della zona (impostazione predefinita): Quando si distribuisce un nuovo firewall in un'area con più zone di disponibilità, Azure distribuisce automaticamente le istanze in almeno due zone di disponibilità. Non è necessaria alcuna configurazione aggiuntiva. Per altre informazioni, vedere Distribuire Firewall di Azure usando il portale di Azure.
- Portale di Azure: Distribuisce automaticamente firewall con ridondanza della zona. Non è possibile selezionare una zona di disponibilità specifica tramite il portale.
- Strumenti basati su API (interfaccia della riga di comando di Azure, PowerShell, Bicep, modelli ARM, Terraform): Distribuiscono firewall con ridondanza di zona per impostazione predefinita. Facoltativamente, è possibile specificare le zone per la distribuzione.
Per altre informazioni sulla distribuzione di un firewall con ridondanza della zona, vedere Distribuire un firewall di Azure con zone di disponibilità.
Zonal (solo strumenti basati su API): Per distribuire un firewall in una zona di disponibilità specifica (ad esempio, a causa di vincoli di capacità in un'area), usare strumenti basati su API come l'interfaccia della riga di comando di Azure, PowerShell, Bicep, modelli arm o Terraform. Specificare una singola zona nella configurazione della distribuzione. Questa opzione non è disponibile tramite il portale di Azure.
Annotazioni
Quando si selezionano le zone di disponibilità da usare, si seleziona effettivamente la zona di disponibilità logica. Se si distribuiscono altri componenti del carico di lavoro in una sottoscrizione di Azure diversa, è possibile usare un numero di zona di disponibilità logico diverso per accedere alla stessa zona di disponibilità fisica. Per altre informazioni, vedere Zone di disponibilità fisiche e logiche.
Firewall esistenti: Tutte le distribuzioni firewall non locali esistenti vengono automaticamente migrate alle distribuzioni con ridondanza della zona nelle aree che supportano più zone di disponibilità. Le distribuzioni esistenti di firewall a livello di zona (associati a una zona specifica) vengono migrate a distribuzioni con ridondanza zonale in futuro.
Vincoli di capacità: Se un'area non ha capacità per una distribuzione con ridondanza zonale (che richiede almeno due zone di disponibilità), la distribuzione fallisce. In questo scenario è possibile distribuire un firewall di zona in una zona di disponibilità specifica usando gli strumenti basati sull'API.
Comportamento quando tutte le zone sono integre
Questa sezione descrive cosa aspettarsi quando Firewall di Azure è configurato con il supporto della zona di disponibilità e tutte le zone di disponibilità sono operative.
Routing del traffico tra zone: il comportamento del routing del traffico dipende dalla configurazione della zona di disponibilità usata dal firewall.
Ridondanza della zona: Firewall di Azure distribuisce automaticamente le richieste in ingresso tra istanze in tutte le zone usate dal firewall. Questa configurazione active-active garantisce prestazioni ottimali e distribuzione del carico in condizioni operative normali.
A livello di zona: se si distribuiscono più istanze di zona in zone diverse, è necessario configurare il routing del traffico usando soluzioni di bilanciamento del carico esterne come Azure Load Balancer o Gestione traffico di Azure.
Gestione delle istanze: La piattaforma gestisce automaticamente il posizionamento delle istanze nelle zone usate dal firewall. Sostituisce le istanze non riuscite e gestisce il numero di istanze configurato. Il monitoraggio dello stato garantisce che solo le istanze integre ricevano traffico.
Replica dei dati tra zone: Firewall di Azure non deve sincronizzare lo stato della connessione tra le zone di disponibilità. L'istanza che elabora la richiesta mantiene lo stato di ogni connessione.
Comportamento durante un errore di zona
Questa sezione descrive cosa aspettarsi quando Firewall di Azure è configurato con il supporto della zona di disponibilità e una o più zone di disponibilità non sono disponibili.
Rilevamento e risposta: la responsabilità del rilevamento e della risposta dipende dalla configurazione della zona di disponibilità usata dal firewall.
Ridondanza della zona: per le istanze configurate per l'uso della ridondanza della zona, la piattaforma Firewall di Azure rileva e risponde a un errore in una zona di disponibilità. Non è necessario avviare un failover di zona.
A livello di zona: Per i firewall configurati come a livello di zona, è necessario rilevare la perdita di una zona di disponibilità e avviare un failover in un firewall secondario creato in un'altra zona di disponibilità.
- Notifica: Microsoft non invia automaticamente una notifica quando una zona è inattiva. È tuttavia possibile usare Integrità dei servizi di Azure per comprendere l'integrità complessiva del servizio, inclusi eventuali errori di zona, ed è possibile configurare gli avvisi di integrità dei servizi per notificare eventuali problemi.
Connessioni attive: Quando una zona di disponibilità non è disponibile, le richieste in corso che si connettono a un'istanza del firewall nella zona di disponibilità difettosa potrebbero terminare e richiedere nuovi tentativi.
Perdita di dati prevista: non è prevista alcuna perdita di dati durante il failover della zona perché Firewall di Azure non archivia i dati dei clienti persistenti.
Tempo di inattività previsto: il tempo di inattività dipende dalla configurazione della zona di disponibilità usata dal firewall.
Ridondanza della zona: attendere tempi di inattività minimi (in genere alcuni secondi) durante un'interruzione della zona di disponibilità. Le applicazioni client devono seguire le procedure per la gestione degli errori temporanei, inclusa l'implementazione di criteri di ripetizione dei tentativi con backoff esponenziale.
A livello di zona: quando una zona non è disponibile, il firewall rimane non disponibile fino al ripristino della zona di disponibilità.
Reindirizzamento del traffico: il comportamento di reindirizzamento del traffico dipende dalla configurazione della zona di disponibilità usata dal firewall.
Ridondanza della zona: il traffico reindirizza automaticamente alle zone di disponibilità integre. Se necessario, la piattaforma crea nuove istanze del firewall nelle zone integre.
A livello di zona: quando una zona non è disponibile, anche il firewall di zona non è disponibile. Se si dispone di un firewall secondario in un'altra zona di disponibilità, si è responsabili del reindirizzamento del traffico a tale firewall.
Failback
Il comportamento di failback dipende dalla configurazione della zona di disponibilità usata dal firewall.
Ridondanza della zona: dopo il ripristino della zona di disponibilità, Firewall di Azure ridistribuisce automaticamente le istanze in tutte le zone usate dal firewall e ripristina il bilanciamento del carico normale tra le zone.
A livello di zona: Dopo il ripristino della zona di disponibilità, è necessario reindirizzare il traffico al firewall nella zona di disponibilità originale.
Verifica dei guasti di zona
Le opzioni per il test degli errori di zona dipendono dalla configurazione della zona di disponibilità del firewall.
Ridondanza della zona: la piattaforma Firewall di Azure gestisce il routing del traffico, il failover e il failback per le risorse del firewall con ridondanza della zona. Questa funzionalità è completamente gestita, quindi non è necessario avviare o convalidare i processi di errore della zona di disponibilità.
A livello di zona: è possibile simulare aspetti dell'errore di una zona di disponibilità arrestando un firewall. Usare questo approccio per testare il modo in cui altri sistemi e servizi di bilanciamento del carico gestiscono un'interruzione nel firewall. Per altre informazioni, vedere Arrestare e avviare Firewall di Azure.
Resilienza agli errori a livello di area
Firewall di Azure è un servizio ad area singola. Se l'area non è disponibile, anche la risorsa firewall non è disponibile.
Soluzioni personalizzate in più aree per la resilienza
Per implementare un'architettura in più aree, usare firewall separati. Questo approccio richiede di distribuire un firewall indipendente in ogni area, instradare il traffico al firewall a livello di area appropriato e implementare la logica di failover personalizzata. Considerare i punti seguenti:
Usare Gestione firewall di Azure per la gestione centralizzata dei criteri tra più firewall. Usare il metodo Criteri firewall per la gestione centralizzata delle regole in più istanze del firewall.
Implementare il routing del traffico usando Gestione traffico o Frontdoor di Azure.
Per un'architettura di esempio che illustra le architetture di sicurezza di rete in più aree, vedere Bilanciamento del carico in più aree usando Gestione traffico, Firewall di Azure e gateway applicazione.
Resilienza alla manutenzione del servizio
Firewall di Azure esegue regolarmente aggiornamenti del servizio e altre forme di manutenzione.
È possibile configurare finestre di manutenzione giornaliere per allineare le pianificazioni degli aggiornamenti alle esigenze operative. Per altre informazioni, vedere Configurare la manutenzione controllata dal cliente per Firewall di Azure.
Contratto di servizio
Il contratto di servizio per i servizi di Azure descrive la disponibilità prevista di ogni servizio e le condizioni che la soluzione deve soddisfare per raggiungere tale aspettativa di disponibilità. Per altre informazioni, vedere Contratti di servizio per Servizi online.
Firewall di Azure offre un contratto di servizio con disponibilità più elevata per i firewall con ridondanza della zona distribuiti in due o più zone di disponibilità.