Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Co to są strefy dostępności
Strefy dostępności (AZ) są fizycznie oddzielnymi centrami danych w regionie świadczenia usługi Azure, z których każda ma niezależne zasilanie, chłodzenie i sieć. Strefy dostępności izolują awarie infrastruktury oraz poprawiają odporność i dostępność aplikacji.
Region obsługujący strefy dostępności zazwyczaj ma trzy odrębne strefy (na przykład Strefy 1, Strefy 2 i Strefy 3). Nie wszystkie regiony świadczenia usługi Azure obsługują strefy dostępności. W przypadku usługi Azure Firewall strefy dostępności określają sposób umieszczania wystąpień zapory w regionie oraz całkowitą odporność zapory na awarie strefowe.
Redundancja strefowa
Usługa Azure Firewall używa domyślnego strefowo nadmiarowego modelu wdrażania, aby zwiększyć odporność, dostępność i ochronę przed awariami strefowymi.
Bieżące zachowanie:
- Wszystkie nowe wdrożenia usługi Azure Firewall, które nie określają jawnie stref (czyli są ustawione na brak), z założenia mają nadmiar strefowy w regionach obsługujących strefy dostępności.
- Wszystkie istniejące zapory bez określonej strefy (czyli ustawione na Wartość Brak) są migrowane na platformę, aby stać się strefowo nadmiarowe (ZR).
- Wszystkie istniejące zapory wdrożone w jednej strefie nie są obecnie migrowane.
- Nie musisz podejmować żadnych działań administratora w celu przeprowadzenia migracji.
Definicje
Opcje wdrażania usługi Azure Firewall można podzielić na następujące kategorie.
| Typ wdrożenia | Description |
|---|---|
| Nadmiarowość strefowa (ZR) | Zapora jest wdrażana w wielu strefach dostępności (co najmniej dwóch). |
| Strefa strefowa (pojedyncza strefa) | Zapora wdrożona w jednej strefie (na przykład tylko strefa 1). |
| Regionalne (bez stref) | Zapora wdrożona do żadnej strefy. Platforma automatycznie migruje te zapory do strefowo nadmiarowych. |
Niektóre regiony nie obsługują stref dostępności. W tych regionach usługa Azure Firewall będzie nadal wdrażana jako zasób regionalny.
Migracja istniejących zaporów sieciowych na nową platformę
Usługa Azure Firewall aktywnie migruje istniejące zapory niebędące strefowo redundantnymi, aby stać się strefowo redundantnymi.
- Migracja jest automatyczna i przezroczysta.
- Nie jest wymagany żaden przestój ani działanie administratora.
Informacje o właściwościach strefy po migracji
Po migracji:
- W celu zachowania zgodności z wcześniejszymi wersjami, stan migracji (tj. zaktualizowana konfiguracja strefy) nie pojawia się natychmiast we właściwościach szablonu ARM, formatu JSON ani grupy zasobów Azure (ARG).
- Zapora nadal ma redundancję strefową w zapleczu.
- Infrastruktura platformy zarządza redundancją stref niezależnie od właściwości szablonu ARM.
Konfigurowanie stref dostępności w usłudze Azure Firewall
Usługę Azure Firewall można skonfigurować tak, aby używała stref dostępności podczas wdrażania w celu zwiększenia dostępności i niezawodności. Użyj witryny Azure Portal, programu Azure PowerShell lub innych metod wdrażania, aby ustawić tę konfigurację.
Korzystanie z witryny Azure Portal
- Domyślnie witryna Azure Portal nie udostępnia opcji wybierania określonych stref dostępności podczas tworzenia nowej usługi Azure Firewall. Usługa Azure Firewall jest domyślnie wdrażana jako nadmiarowa w strefach, zgodnie z wymaganiami dotyczącymi nadmiarowości strefowej.
Korzystanie z interfejsów API
- Nie określaj żadnych stref podczas wdrażania. Zaplecze systemowe automatycznie konfiguruje zaporę jako odporną na awarie w różnych strefach domyślnie.
- W przypadku podawania określonych stref podczas wdrażania za pośrednictwem interfejsu API określone strefy są honorowane.
Korzystanie z programu Azure PowerShell
Strefy dostępności można skonfigurować przy użyciu programu Azure PowerShell. W poniższym przykładzie pokazano, jak utworzyć zaporę w strefach 1, 2 i 3.
Podczas tworzenia standardowego publicznego adresu IP bez określania strefy jest on domyślnie skonfigurowany jako strefowo nadmiarowy. Standardowe publiczne adresy IP mogą być skojarzone ze wszystkimi strefami lub pojedynczą strefą.
Nie można wdrożyć zapory w jednej strefie, gdy jej publiczny adres IP znajduje się w innej strefie. Można jednak wdrożyć zaporę w określonej strefie i skojarzyć ją ze strefowo nadmiarowym publicznym adresem IP lub wdrożyć zarówno zaporę, jak i publiczny adres IP w tej samej strefie na potrzeby zbliżenia.
$rgName = "Test-FW-RG"
$vnet = Get-AzVirtualNetwork `
-Name "Test-FW-VN" `
-ResourceGroupName $rgName
$pip1 = New-AzPublicIpAddress `
-Name "AzFwPublicIp1" `
-ResourceGroupName "Test-FW-RG" `
-Sku "Standard" `
-Location "eastus" `
-AllocationMethod Static `
-Zone 1,2,3
New-AzFirewall `
-Name "azFw" `
-ResourceGroupName $rgName `
-Location "eastus" `
-VirtualNetwork $vnet `
-PublicIpAddress @($pip1) `
-Zone 1,2,3
Ograniczenia
- Usługa Azure Firewall ze strefami dostępności jest obsługiwana tylko w regionach, które oferują strefy dostępności.
- W regionach z ograniczeniami strefowymi z powodu ograniczeń pojemności wdrażanie zapory strefowo nadmiarowej kończy się niepowodzeniem. W takich przypadkach można wdrożyć zaporę w jednej strefie lub w dostępnych strefach, aby kontynuować wdrażanie.
- Ograniczenia strefowe są udokumentowane na stronie znanych problemów z usługą Azure Firewall .
Konfigurując strefy dostępności, można uzyskać większą dostępność i zapewnić, że infrastruktura zabezpieczeń sieci jest bardziej odporna.
Umowy dotyczące poziomu usług (SLA)
- W przypadku wdrażania usługi Azure Firewall jako strefowo redundantną (co najmniej dwóch stref dostępności) otrzymasz umowę SLA gwarantującą dostępność na poziomie 99,99%.
- Umowa SLA o gwarantowanym czasie działania 99,95% dotyczy wdrożeń regionalnych w regionach, które nie wspierają Stref Dostępności.
Aby uzyskać więcej informacji, zobacz umowę dotyczącą poziomu usług (SLA) dla usługi Azure Firewall oraz funkcje usługi Azure Firewall według SKU.