Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il servizio Collegamento privato di Azure consente di esporre privatamente le proprie applicazioni, ad esempio quelle in esecuzione nelle macchine virtuali, all'interno di una rete virtuale di Azure. Il servizio Collegamento privato consente ad altri clienti o client di Azure nelle proprie reti di connettersi in modo sicuro senza usare indirizzi IP pubblici, assicurandosi che il traffico rimanga all'interno della rete di Azure.
Quando si usa Azure, l'affidabilità è una responsabilità condivisa. Microsoft offre una gamma di funzionalità per supportare la resilienza e il ripristino. L'utente è responsabile della comprensione del funzionamento di tali funzionalità all'interno di tutti i servizi usati e della selezione delle funzionalità necessarie per soddisfare gli obiettivi aziendali e gli obiettivi di tempo di attività.
Questo articolo è incentrato sul servizio Collegamento privato di Azure e sugli endpoint privati associati come meccanismo di connettività. Descrive il comportamento del piano di controllo e a livello di piattaforma durante errori temporanei, interruzioni della zona di disponibilità e interruzioni a livello di area.
Annotazioni
Questo articolo è incentrato sul servizio Collegamento privato di Azure, che consente la connettività privata alle applicazioni eseguite nelle proprie macchine virtuali. Se si usano endpoint privati con altri servizi di Azure, ad esempio Archiviazione di Azure o database SQL di Azure, è consigliabile esaminare le guide all'affidabilità dei servizi per ottenere informazioni specifiche sull'affidabilità sugli endpoint privati.
Importante
L'affidabilità della soluzione complessiva dipende dalla configurazione dei server back-end a cui si connette il servizio Collegamento privato. A seconda della soluzione, queste potrebbero essere macchine virtuali di Azure, set di scalabilità di macchine virtuali di Azure o endpoint esterni. Include anche servizi di bilanciamento del carico e altri componenti di rete.
I server back-end non rientrano nell'ambito di questo articolo, ma le configurazioni di disponibilità influiscono direttamente sulla resilienza dell'applicazione. Esaminare le guide all'affidabilità per tutti i servizi di Azure nella soluzione per comprendere in che modo ogni servizio supporta i requisiti di affidabilità. Assicurandosi che i server back-end siano configurati anche per la disponibilità elevata e la ridondanza della zona, è possibile ottenere l'affidabilità end-to-end per l'applicazione.
Panoramica dell'architettura di affidabilità
Il servizio Collegamento privato consente ai clienti di connettersi privatamente ai carichi di lavoro in Azure. In qualità di provider di servizi, distribuisci una risorsa del servizio Collegamento Privato. I consumatori di servizi creano endpoint privati nelle proprie reti virtuali di Azure. Questi endpoint si connettono in modo sicuro e privato tramite collegamento privato alle applicazioni. Questa configurazione non espone indirizzi IP pubblici, anche quando un consumer usa l'endpoint privato da un ambiente locale tramite Azure ExpressRoute o un altro metodo di connettività privata.
Un servizio collegamento privato viene in genere collegato a un servizio di bilanciamento del carico di Azure che fa fronte alle risorse back-end (macchine virtuali o set di scalabilità di macchine virtuali). È anche possibile usare il servizio Collegamento privato Direct Connect (anteprima) che consente la connettività a qualsiasi indirizzo IP instradabile privatamente all'interno della rete virtuale. Se si usa il servizio Collegamento privato Direct Connect, esaminare attentamente la documentazione per comprendere i requisiti, la disponibilità dell'area e le limitazioni.
Importante
Il servizio Collegamento privato Direct Connect è attualmente disponibile in ANTEPRIMA.
Vedere le condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale.
Resilienza a errori temporanei
Gli errori temporanei sono errori brevi e intermittenti nei componenti. Si verificano spesso in un ambiente distribuito come il cloud e fanno parte delle normali operazioni. Gli errori temporanei si correggono dopo un breve periodo di tempo. È importante che le applicazioni possano gestire gli errori temporanei, in genere ritentando le richieste interessate.
Tutte le applicazioni ospitate nel cloud devono seguire le indicazioni sulla gestione degli errori temporanei di Azure quando comunicano con qualsiasi API, database e altri componenti ospitati nel cloud. Per altre informazioni, vedere Raccomandazioni per la gestione degli errori temporanei.
Inoltre, quando si distribuisce un servizio collegamento privato con load Balancer Standard, esaminare le raccomandazioni per la gestione degli errori temporanei per Azure Load Balancer e assicurarsi che il servizio di bilanciamento del carico sia configurato correttamente per gestire gli errori temporanei.
Resilienza ai guasti delle zone di disponibilità
Il servizio collegamento privato è automaticamente resiliente agli errori della zona di disponibilità quando viene distribuito in un'area che supporta le zone di disponibilità. I provider di servizi non devono configurare alcun elemento per abilitare questo comportamento.
Gli endpoint privati vengono distribuiti automaticamente tra le zone di disponibilità nell'area. I consumer di servizi non devono creare endpoint privati separati in zone diverse.
Requisiti
Supporto per l'area: È possibile distribuire servizi collegamento privato con ridondanza della zona in qualsiasi area che supporta le zone di disponibilità.
Dipendenza del bilanciamento del carico: Se si utilizza il servizio Private Link con un bilanciamento del carico back-end, deve essere configurato come ridondante di zona per garantire la resilienza end-to-end della zona. Per altre informazioni, vedere Affidabilità in Azure Load Balancer.
Costo
Non sono previsti costi aggiuntivi associati al supporto della zona di disponibilità per il servizio Collegamento privato.
Configurare il supporto delle zone di disponibilità
Il supporto della zona di disponibilità viene abilitato automaticamente quando si distribuisce il servizio Collegamento privato in un'area che supporta le zone di disponibilità.
Comportamento quando tutte le zone sono integre
Questa sezione descrive cosa aspettarsi quando i servizi di collegamento privato e gli endpoint privati sono configurati per il supporto della zona di disponibilità e tutte le zone di disponibilità sono operative.
Operazione tra zone: Il traffico attraverso un endpoint privato e un servizio collegamento privato potrebbe essere instradato attraverso qualsiasi zona di disponibilità.
Replica dei dati tra zone: Azure Private Link non esegue la replica dei dati tra le zone in quanto è un servizio senza stato per la connettività.
Comportamento durante un errore di zona
Questa sezione descrive cosa aspettarsi quando i servizi di collegamento privato e gli endpoint privati sono configurati per il supporto della zona di disponibilità e si verifica un'interruzione della zona di disponibilità.
- Rilevamento e risposta: Microsoft è responsabile del rilevamento degli errori della zona di disponibilità e della gestione della risposta al servizio.
- Notifica: Microsoft non invia automaticamente una notifica quando una zona è inattiva. È tuttavia possibile usare Integrità dei servizi di Azure per comprendere l'integrità complessiva del servizio, inclusi eventuali errori di zona, ed è possibile configurare gli avvisi di integrità dei servizi per notificare eventuali problemi.
Richieste attive: Le richieste attive potrebbero essere terminate durante un errore della zona di disponibilità. I consumer di servizi devono ritentare le richieste non riuscite dopo interruzioni temporanee, analogamente ad altri errori temporanei.
Perdita di dati prevista: Non si verifica alcuna perdita di dati perché il collegamento privato di Azure è un servizio senza stato per la connettività.
Tempo di inattività previsto: Le connessioni esistenti che si connettono tramite la zona non riuscita potrebbero andare inattive. Purché i componenti back-end, come il servizio di bilanciamento del carico e i server applicazioni, siano ancora disponibili, i consumer di servizi possono ripetere immediatamente le connessioni e le richieste verranno instradate tramite l'infrastruttura in un'altra zona.
Ridistribuzione: Quando una singola zona di disponibilità ha esito negativo, il servizio continua a funzionare instradando il nuovo traffico attraverso zone integre.
È improbabile che le macchine virtuali nella zona di disponibilità interessata funzionino ancora. Tuttavia, in caso di errore parziale della zona che causa l'indisponibilità del collegamento privato di Azure nella zona interessata mentre le macchine virtuali nella zona continuano a funzionare, tutte le connessioni in uscita alle macchine virtuali nella zona interessata vengono instradate tramite l'infrastruttura collegamento privato in un'altra zona.
Il tempo di inattività dell'applicazione può verificarsi anche se i componenti dipendenti, ad esempio i servizi di bilanciamento del carico o le macchine virtuali back-end, non sono resilienti alla zona.
Ripristino della zona
Quando la zona di disponibilità interessata viene ripristinata, Microsoft gestisce automaticamente il processo di failback. Non è richiesto alcun intervento da parte del cliente.
Verifica dei guasti di zona
La piattaforma Private Link gestisce il routing del traffico, il failover e il failback per i servizi di collegamento privato e gli endpoint privati tra le zone di disponibilità. Poiché questa funzionalità è completamente gestita, non è necessario convalidare i processi di errore della zona di disponibilità.
Resilienza agli errori a livello di area
Il servizio Collegamento privato è un servizio a singola area. Il servizio non offre funzionalità native multiregione o failover automatico tra regioni. Se un'area di Azure non è più disponibile, anche i servizi collegamento privato in tale area non sono disponibili.
Soluzioni personalizzate in più aree per la resilienza
Se si progetta un approccio di rete con più aree, il provider di servizi deve distribuire servizi di collegamento privato indipendenti in ogni area. Sei responsabile dell'implementazione e della gestione di ogni servizio Private Link. I consumatori di servizi sono responsabili della configurazione degli endpoint privati su ogni servizio Private Link in base alle esigenze e del routing del traffico verso il servizio Private Link appropriato.
Backup e ripristino
Il servizio Collegamento privato non archivia i dati dei clienti e non richiede il backup o il ripristino. Per ricreare le configurazioni, è consigliabile gestire modelli di infrastruttura come codice per le risorse di rete. Poiché i servizi di collegamento privato sono solo di configurazione e non archiviano dati dei clienti, le attività di backup devono concentrarsi sui modelli di infrastruttura come codice per ridistribuire rapidamente.
Contratto di servizio
Il contratto di servizio per i servizi di Azure descrive la disponibilità prevista di ogni servizio e le condizioni che la soluzione deve soddisfare per raggiungere tale aspettativa di disponibilità. Per altre informazioni, vedere Contratti di servizio per Servizi online.