Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Azure Firewall to zarządzana usługa zabezpieczeń sieci oparta na chmurze, która chroni zasoby usługi Azure Virtual Network. Jest to w pełni stanowa usługa zapory, która obejmuje wbudowaną wysoką dostępność i nieograniczoną skalowalność chmury.
W przypadku korzystania z platformy Azure niezawodność jest wspólną odpowiedzialnością. Firma Microsoft oferuje szereg możliwości wspierania odporności systemów i odzyskiwania. Odpowiadasz za zrozumienie, jak te możliwości działają w ramach wszystkich używanych usług oraz za wybór tych, które są potrzebne do osiągnięcia Twoich celów biznesowych i celów dotyczących niezawodności.
W tym artykule opisano, jak zapewnić odporność usługi Azure Firewall na różne potencjalne awarie i problemy, w tym przejściowe błędy, awarie stref dostępności i awarie regionów. Opisuje również odporność podczas konserwacji serwisowej i wyróżnia niektóre kluczowe informacje o umowie o poziomie usług dla zapory sieciowej (SLA).
Zalecenia dotyczące wdrażania produkcyjnego
Aby dowiedzieć się, jak wdrożyć usługę Azure Firewall, aby obsługiwać wymagania dotyczące niezawodności rozwiązania i jak niezawodność wpływa na inne aspekty architektury, zobacz Architecture best practices for Azure Firewall in the Azure Well-Architected Framework (Najlepsze rozwiązania dotyczące architektury usługi Azure Firewall w strukturze Azure Well-Architected Framework).
Omówienie architektury niezawodności
Wystąpienie odwołuje się do jednostki poziomu maszyny wirtualnej zapory. Każde wystąpienie reprezentuje infrastrukturę, która obsługuje ruch i wykonuje kontrole zapory.
Aby zapewnić wysoką dostępność zapory, usługa Azure Firewall automatycznie udostępnia co najmniej dwa wystąpienia bez konieczności interwencji lub konfiguracji. Zapora automatycznie skaluje się w poziomie, gdy średnia przepływność, użycie procesora CPU i użycie połączenia osiągną wstępnie zdefiniowane progi. Aby uzyskać więcej informacji, zobacz Wydajność usługi Azure Firewall. Platforma automatycznie zarządza tworzeniem wystąpień, monitorowaniem kondycji i zastępowaniem wystąpień w złej kondycji.
Aby chronić przed awariami serwerów i szaf serwerowych, usługa Azure Firewall automatycznie dystrybuuje wystąpienia między wieloma domenami błędów w regionie.
Na poniższym diagramie przedstawiono zaporę z dwoma wystąpieniami:
Aby zwiększyć nadmiarowość i dostępność podczas awarii centrum danych, usługa Azure Firewall automatycznie włącza nadmiarowość stref w regionach, które obsługują wiele stref dostępności, dystrybuując wystąpienia w co najmniej dwóch strefach dostępności.
Odporność na błędy przejściowe
Błędy przejściowe to krótkotrwałe, sporadyczne awarie w komponentach. Występują one często w środowisku rozproszonym, takich jak chmura, i są one normalną częścią operacji. Błędy przejściowe naprawiają się po krótkim czasie. Ważne jest, aby aplikacje mogły obsługiwać błędy przejściowe, zwykle ponawiając próby żądań, których dotyczy problem.
Wszystkie aplikacje hostowane w chmurze powinny postępować zgodnie ze wskazówkami dotyczącymi obsługi błędów przejściowych platformy Azure podczas komunikowania się z dowolnymi interfejsami API hostowanymi w chmurze, bazami danych i innymi składnikami. Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące obsługi błędów przejściowych.
W przypadku aplikacji łączących się za pośrednictwem usługi Azure Firewall zaimplementuj logikę ponawiania z wykładniczym wycofywaniem w celu obsługi potencjalnych przejściowych problemów z połączeniem. Stanowy charakter usługi Azure Firewall zapewnia, że uzasadnione połączenia pozostają aktywne podczas krótkich przerw w działaniu sieci.
Podczas operacji skalowania, które potrwają od pięciu do siedmiu minut, zapora zachowuje istniejące połączenia, podczas gdy dodaje nowe wystąpienia zapory do obsługi zwiększonego obciążenia.
Odporność na błędy strefy dostępności
Strefy dostępności są fizycznie oddzielnymi grupami centrów danych w regionie świadczenia usługi Azure. Gdy jedna strefa ulegnie awarii, usługi mogą przejść w tryb failover do jednej z pozostałych stref.
Usługa Azure Firewall jest automatycznie wdrażana jako strefowo nadmiarowa w regionach, które obsługują wiele stref dostępności. Zapora jest zredundowana strefowo, gdy zostanie wdrożona w co najmniej dwóch strefach dostępności.
Usługa Azure Firewall obsługuje zarówno modele wdrażania strefowo nadmiarowego, jak i strefowego:
Z nadmiarowością strefową: W regionach obsługujących strefy dostępności Azure automatycznie rozdziela wystąpienia zapory pomiędzy wieloma strefami dostępności (co najmniej dwóch). Platforma Azure automatycznie zarządza równoważeniem obciążenia i trybem failover między strefami. Ten model wdrażania jest domyślny dla wszystkich nowych zapór.
Zapory strefowo nadmiarowe osiągają najwyższą umowę dotyczącą czasu pracy (SLA). Używaj ich w przypadku obciążeń produkcyjnych, które wymagają maksymalnej dostępności.
Na poniższym diagramie przedstawiono strefowo-redundantną zaporę z trzema przypadkami rozproszonymi w trzech strefach dostępności.
Uwaga / Notatka
Wszystkie wdrożenia zapory w regionach z wieloma strefami dostępności są automatycznie strefowo nadmiarowe. Ta reguła dotyczy wdrożeń za pośrednictwem witryny Azure Portal i wdrożeń opartych na interfejsie API (interfejs wiersza polecenia platformy Azure, program PowerShell, Bicep, szablony usługi ARM, narzędzie Terraform).
Na poziomie strefy: W konkretnych scenariuszach, gdy występują ograniczenia pojemności lub wymagania dotyczące opóźnień są krytyczne, możesz wdrożyć usługę Azure Firewall w określonej strefie dostępności, korzystając z narzędzi bazujących na API (Azure CLI, PowerShell, Bicep, szablony ARM, Terraform). Wszystkie wystąpienia zapory strefowej są wdrażane w tej strefie.
Na poniższym diagramie przedstawiono strefową zaporę z trzema wystąpieniami wdrożonymi w tej samej strefie dostępności.
Ważne
Wdrożenia strefowe można tworzyć tylko za pomocą narzędzi opartych na interfejsie API. Nie można ich skonfigurować za pośrednictwem witryny Azure Portal. Istniejące wdrożenia zapory strefowej zostaną zmigrowane do wdrożeń redundantnych strefowo w przyszłości. Używaj wdrożeń redundantnych strefowo, jeśli to możliwe, aby osiągnąć najwyższą dostępność SLA. Sama zapora strefowa nie zapewnia odporności na awarię strefy dostępności.
Migracja istniejących wdrożeń
Wcześniej wdrożenia usługi Azure Firewall, które nie są skonfigurowane jako strefowo nadmiarowe lub strefowe, są niezonowe lub regionalne. Przez cały rok kalendarzowy 2026 platforma Azure migruje wszystkie istniejące wdrożenia zapór niezonowych do wdrożeń zapewniających nadmiarowość strefową w regionach, które obsługują wiele stref dostępności.
Obsługa regionów
Usługa Azure Firewall obsługuje strefy dostępności we wszystkich regionach, które obsługują strefy dostępności, w których dostępna jest usługa Azure Firewall.
Requirements
- Wszystkie warstwy usługi Azure Firewall obsługują strefy dostępności.
- Zapory strefowo nadmiarowe wymagają standardowych publicznych adresów IP skonfigurowanych jako strefowo nadmiarowe.
- Zapory strefowe (wdrożone za pomocą narzędzi opartych na interfejsie API) wymagają standardowych publicznych adresów IP i można je skonfigurować tak, aby mogły być nadmiarowe dla strefy lub działające w tej samej strefie co zapora.
Koszt
W przypadku wdrożeń zapory strefowo nadmiarowej nie ma dodatkowych kosztów.
Konfiguruj obsługę stref dostępności
W tej sekcji opisano konfigurację strefy dostępności dla zapór.
Utwórz nową zaporę: Wszystkie nowe wdrożenia usługi Azure Firewall w regionach z wieloma strefami dostępności są domyślnie automatycznie strefowo nadmiarowe. Ta reguła ma zastosowanie zarówno do wdrożeń opartych na portalu, jak i opartych na interfejsie API.
Strefowo nadmiarowy (ustawienie domyślne): Podczas wdrażania nowej zapory w regionie z wieloma strefami dostępności platforma Azure automatycznie dystrybuuje wystąpienia w co najmniej dwóch strefach dostępności. Nie jest wymagana żadna dodatkowa konfiguracja. Aby uzyskać więcej informacji, zobacz Wdrażanie usługi Azure Firewall przy użyciu witryny Azure Portal.
- Portal Azure: Automatycznie wdraża zapory sieciowe ze strefową nadmiarowością. Nie można wybrać określonej strefy dostępności za pośrednictwem portalu.
- Narzędzia oparte na interfejsie API (Azure CLI, PowerShell, Bicep, szablony ARM, Terraform): Zapory zgodne ze strefową nadmiarowością są wdrażane domyślnie. Opcjonalnie można określić strefy wdrożenia.
Aby uzyskać więcej informacji na temat wdrażania strefowo nadmiarowej zapory, zobacz Wdrażanie usługi Azure Firewall ze strefami dostępności.
Strefowe (tylko narzędzia oparte na interfejsie API): Aby wdrożyć zaporę w określonej strefie dostępności (na przykład ze względu na ograniczenia pojemności w regionie), użyj narzędzi opartych na interfejsie API, takich jak interfejs wiersza polecenia platformy Azure, program PowerShell, Bicep, szablony usługi ARM lub narzędzie Terraform. Określ pojedynczą strefę w konfiguracji wdrożenia. Ta opcja nie jest dostępna w witrynie Azure Portal.
Uwaga / Notatka
Wybierając, które strefy dostępności chcesz używać, faktycznie wybierasz logiczną strefę dostępności. W przypadku wdrażania innych składników obciążenia w innej subskrypcji platformy Azure mogą one użyć innego logicznego numeru strefy dostępności, aby uzyskać dostęp do tej samej fizycznej strefy dostępności. Aby uzyskać więcej informacji, zobacz Strefy dostępności fizycznej i logicznej.
Istniejące zapory: Wszystkie istniejące wdrożenia zapór bezstrefowych (regionalnych) są automatycznie migrowane do wdrożeń z nadmiarowością strefową w regionach obsługujących wiele stref dostępności. Istniejące wdrożenia zapory strefowej (przypięte do określonej strefy) są migrowane do wdrożeń z nadmiarowością strefową w przyszłym terminie.
Ograniczenia pojemności: Jeśli region nie ma pojemności dla wdrożenia strefowo nadmiarowego (co najmniej dwóch stref dostępności), wdrożenie zakończy się niepowodzeniem. W tym scenariuszu można wdrożyć zaporę strefową w określonej strefie dostępności przy użyciu narzędzi opartych na interfejsie API.
Zachowanie, gdy wszystkie strefy są w dobrej kondycji
W tej sekcji opisano, czego można oczekiwać, gdy usługa Azure Firewall jest skonfigurowana z obsługą strefy dostępności, a wszystkie strefy dostępności działają.
Routing ruchu między strefami: Zachowanie routingu ruchu zależy od konfiguracji strefy dostępności używanej przez zaporę.
Strefowo nadmiarowy: Usługa Azure Firewall automatycznie dystrybuuje żądania przychodzące między wystąpienia we wszystkich strefach używanych przez zaporę. Ta konfiguracja aktywne-aktywne zapewnia optymalną wydajność i rozkład obciążenia w normalnych warunkach operacyjnych.
Strefowego: W przypadku wdrażania wielu wystąpień strefowych w różnych strefach należy skonfigurować routing ruchu przy użyciu rozwiązań do równoważenia obciążenia zewnętrznego, takich jak azure Load Balancer lub Azure Traffic Manager.
Zarządzanie instancjami: Platforma automatycznie zarządza rozmieszczaniem instancji w strefach używanych przez zaporę. Zastępuje on wystąpienia, które zakończyły się niepowodzeniem i utrzymuje skonfigurowaną liczbę wystąpień. Monitorowanie kondycji zapewnia, że tylko wystąpienia w dobrej kondycji odbierają ruch.
Replikacja danych między strefami: Usługa Azure Firewall nie musi synchronizować stanu połączenia między strefami dostępności. Wystąpienie, które przetwarza żądanie, zachowuje stan każdego połączenia.
Zachowanie podczas awarii strefy
W tej sekcji opisano, czego można oczekiwać, gdy usługa Azure Firewall jest skonfigurowana z obsługą strefy dostępności i co najmniej jedna strefa dostępności jest niedostępna.
Wykrywanie i reagowanie: Odpowiedzialność za wykrywanie i reagowanie zależy od konfiguracji strefy dostępności używanej przez zaporę.
Strefowo nadmiarowy: W przypadku wystąpień skonfigurowanych do używania nadmiarowości strefy platforma Azure Firewall wykrywa i reaguje na awarię w strefie dostępności. Nie musisz inicjować trybu failover strefy.
Strefowego: W przypadku zapór skonfigurowanych jako strefowe należy wykryć utratę strefy dostępności i zainicjować przejście w tryb failover do pomocniczej zapory utworzonej w innej strefie dostępności.
- Powiadomienie: Firma Microsoft nie powiadamia cię automatycznie, gdy strefa nie działa. Możesz jednak użyć usługi Azure Service Health , aby zrozumieć ogólną kondycję usługi, w tym wszelkie błędy strefy, i skonfigurować alerty usługi Service Health w celu powiadamiania o problemach.
Aktywne połączenia: Gdy strefa dostępności jest niedostępna, żądania w toku, które łączą się z instancją zapory w uszkodzonej strefie dostępności, mogą zostać przerwane i wymagać ponowienia.
Oczekiwana utrata danych: W trybie failover strefy nie jest oczekiwana utrata danych, ponieważ usługa Azure Firewall nie przechowuje trwałych danych klientów.
Oczekiwany przestój: Przestój zależy od konfiguracji strefy dostępności używanej przez zaporę.
Strefowo nadmiarowy: Spodziewaj się minimalnego przestoju (zazwyczaj kilku sekund) podczas przestoju strefy dostępności. Aplikacje klienckie powinny przestrzegać rozwiązań dotyczących obsługi błędów przejściowych, w tym implementowania zasad ponawiania z wycofywaniem wykładniczym.
Strefowego: Gdy strefa jest niedostępna, zapora pozostaje niedostępna do momentu odzyskania strefy dostępności.
Przekierowywanie ruchu: Zachowanie przekierowania ruchu zależy od konfiguracji strefy dostępności używanej przez zaporę.
Strefowo nadmiarowy: Ruch automatycznie przekierowuje do stref dostępności w dobrej kondycji. W razie potrzeby platforma tworzy nowe wystąpienia zapory w strefach w dobrej kondycji.
Strefowego: Gdy strefa jest niedostępna, zapora strefowa jest również niedostępna. Jeśli masz pomocniczą zaporę w innej strefie dostępności, odpowiadasz za przekierowywanie ruchu do tej zapory.
Failback
Zachowanie powrotu po awarii zależy od konfiguracji strefy dostępności używanej przez zaporę.
Strefowo nadmiarowy: Po odzyskaniu strefy dostępności usługa Azure Firewall automatycznie redystrybuuje wystąpienia we wszystkich strefach, z których zapora korzysta i przywraca normalne równoważenie obciążenia między strefami.
Strefowego: Po odzyskaniu strefy dostępności odpowiadasz za przekierowywanie ruchu do zapory w oryginalnej strefie dostępności.
Testowanie pod kątem niepowodzeń strefy
Opcje testowania awarii strefy zależą od konfiguracji strefy dostępności zapory.
Strefowo nadmiarowy: Platforma Azure Firewall zarządza routingiem ruchu, trybem failover i powrotem po awarii dla zasobów zapory strefowo nadmiarowej. Ta funkcja jest w pełni zarządzana, więc nie trzeba inicjować ani weryfikować procesów awarii strefy dostępności.
Strefowego: Aspekty awarii strefy dostępności można symulować, zatrzymując zaporę. Użyj tego podejścia, aby przetestować, jak inne systemy i moduły równoważenia obciążenia obsługują awarię w zaporze. Aby uzyskać więcej informacji, zobacz Zatrzymywanie i uruchamianie usługi Azure Firewall.
Odporność na awarie całego regionu
Usługa Azure Firewall to usługa z jednym regionem. Jeśli region jest niedostępny, zasób zapory jest również niedostępny.
Niestandardowe rozwiązania obejmujące wiele regionów w celu zapewnienia odporności
Aby zaimplementować architekturę z wieloma regionami, użyj oddzielnych zapór. Takie podejście wymaga wdrożenia niezależnego firewalla w każdym regionie, kierowania ruchu do odpowiedniego regionalnego firewalla i implementowania niestandardowej logiki 'failover'. Rozważ następujące kwestie:
Użyj usługi Azure Firewall Manager do scentralizowanego zarządzania zasadami w wielu zaporach. Użyj metody zasad zapory do scentralizowanego zarządzania regułami w wielu wystąpieniach zapory.
Zaimplementuj routing ruchu przy użyciu usługi Traffic Manager lub usługi Azure Front Door.
Aby zapoznać się z przykładową architekturą zabezpieczeń sieci w wielu regionach, zobacz Równoważenie obciążenia w wielu regionach przy użyciu usługi Traffic Manager, usługi Azure Firewall i usługi Application Gateway.
Odporność usługi na prace konserwacyjne
Usługa Azure Firewall regularnie wykonuje uaktualnienia usług i inne formy konserwacji.
Możesz skonfigurować codzienne okna obsługi, aby dostosować harmonogramy uaktualniania do potrzeb operacyjnych. Aby uzyskać więcej informacji, zobacz Konfigurowanie konserwacji kontrolowanej przez klienta dla usługi Azure Firewall.
Umowa dotycząca poziomu usług
Umowa dotycząca poziomu usług (SLA) dla usług platformy Azure opisuje oczekiwaną dostępność każdej usługi oraz warunki, które rozwiązanie musi spełnić, aby osiągnąć te oczekiwania dotyczące dostępności. Aby uzyskać więcej informacji, zobacz Umowy SLA dotyczące usług online.
Usługa Azure Firewall oferuje wyższą dostępność zgodnie z umową SLA dla zapór strefowo nadmiarowych wdrożonych w co najmniej dwóch strefach dostępności.