Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O que são zonas de disponibilidade
As AZs (zonas de disponibilidade) são datacenters fisicamente separados em uma região do Azure, cada uma com energia, resfriamento e rede independentes. As zonas de disponibilidade isolam falhas de infraestrutura e melhoram a resiliência e a disponibilidade dos aplicativos.
Uma região que dá suporte a zonas de disponibilidade normalmente tem três zonas distintas (por exemplo, Zona 1, Zona 2 e Zona 3). Nem todas as regiões do Azure dão suporte a zonas de disponibilidade. Para o Firewall do Azure, as zonas de disponibilidade determinam como as instâncias de firewall são colocadas dentro de uma região e o quão resiliente o firewall é para falhas zonais.
Redundância de zona
O Firewall do Azure usa um modelo de implantação com redundância de zona por padrão para melhorar a resiliência, a disponibilidade e a proteção contra falhas zonais.
Comportamento atual:
- Todas as novas implantações do Firewall do Azure que não especificam explicitamente zonas (ou seja, definidas como Nenhuma) são redundantes por zona por padrão em regiões que dão suporte a zonas de disponibilidade.
- Todos os firewalls existentes sem uma zona especificada (ou seja, definido como Nenhum) estão sendo migrados na plataforma para se tornarem redundantes de zona (ZR).
- Todos os firewalls existentes implantados em uma única zona não são migrados no momento.
- Você não precisa executar nenhuma ação de administrador para migrar.
Definições
As opções de implantação do Firewall do Azure se enquadram nas seguintes categorias.
| Tipo de implantação | Description |
|---|---|
| Redundante de Zona (ZR) | O firewall é implantado em várias zonas de disponibilidade (duas ou mais). |
| Zonal (zona única) | Firewall implantado em uma única zona (por exemplo, somente Zona 1). |
| Regional (sem zonas) | Firewall implantado em nenhuma zona. A plataforma migra automaticamente esses firewalls, tornando-os redundantes por zona. |
Algumas regiões não dão suporte a zonas de disponibilidade. Nessas regiões, o Firewall do Azure continua a ser implantado como um recurso regional.
Migração de plataforma de firewalls existentes
O Firewall do Azure está migrando ativamente firewalls não ZR existentes para se tornarem redundantes de zona.
- A migração é automática e transparente.
- Nenhum tempo de inatividade ou ação de administrador é necessária.
Noções básicas sobre as propriedades da zona após a migração
Após a migração:
- Para compatibilidade com versões anteriores, o status de migração (ou seja, a configuração atualizada da zona) não se reflete imediatamente nas propriedades do modelo ARM, JSON ou do Grupo de Recursos do Azure.
- O firewall ainda está com redundância de zona no backend.
- A infraestrutura da plataforma gerencia a redundância de zona independentemente das propriedades do modelo do ARM.
Configurar zonas de disponibilidade no Firewall do Azure
Você pode configurar o Firewall do Azure para usar zonas de disponibilidade durante a implantação para aprimorar a disponibilidade e a confiabilidade. Use o portal do Azure, o Azure PowerShell ou outros métodos de implantação para definir essa configuração.
Usando o portal do Azure
- Por padrão, o portal do Azure não fornece uma opção para selecionar Zonas de Disponibilidade específicas ao criar um novo Firewall do Azure. O Firewall do Azure é implantado como Zona Redundante por padrão, atendendo aos requisitos de redundância de zona.
Como usar APIs
- Não especifique nenhuma zona durante a implantação. O backend configura automaticamente o firewall como Redundante de Zona por padrão.
- Se você fornecer zonas específicas durante a implantação por meio da API, as zonas especificadas serão respeitadas.
Usando o PowerShell do Azure
Você pode configurar zonas de disponibilidade usando o Azure PowerShell. O exemplo a seguir demonstra como criar um firewall nas zonas 1, 2 e 3.
Quando você cria um endereço IP público padrão sem especificar uma zona, ele é configurado como com redundância de zona por padrão. Os endereços IP públicos padrão podem ser associados a todas as zonas ou a uma única zona.
Um firewall não pode ser implantado em uma zona enquanto seu endereço IP público estiver em outra zona. No entanto, você pode implantar um firewall em uma zona específica e associá-lo a um endereço IP público com redundância de zona ou implantar o firewall e o endereço IP público na mesma zona para fins de proximidade.
$rgName = "Test-FW-RG"
$vnet = Get-AzVirtualNetwork `
-Name "Test-FW-VN" `
-ResourceGroupName $rgName
$pip1 = New-AzPublicIpAddress `
-Name "AzFwPublicIp1" `
-ResourceGroupName "Test-FW-RG" `
-Sku "Standard" `
-Location "eastus" `
-AllocationMethod Static `
-Zone 1,2,3
New-AzFirewall `
-Name "azFw" `
-ResourceGroupName $rgName `
-Location "eastus" `
-VirtualNetwork $vnet `
-PublicIpAddress @($pip1) `
-Zone 1,2,3
Limitações
- O Firewall do Azure com Zonas de Disponibilidade tem suporte apenas em regiões que oferecem Zonas de Disponibilidade.
- Em regiões com restrições zonais devido a restrições de capacidade, a implantação de um Firewall Redundante de Zona falha. Nesses casos, você pode implantar o firewall em uma única zona ou em zonas disponíveis para continuar com a implantação.
- Restrições zonais são documentadas na página de problemas conhecidos do Firewall do Azure .
Ao configurar zonas de disponibilidade, você pode obter maior disponibilidade e garantir que sua infraestrutura de segurança de rede seja mais resiliente.
Contratos de nível de serviço (SLA)
- Ao implantar o Firewall do Azure como redundância de zona (duas ou mais Zonas de Disponibilidade), você obtém um SLA de 99,99% de tempo de atividade.
- Um SLA de tempo de atividade 99.95% se aplica a implantações regionais em regiões que não dão suporte a Zonas de Disponibilidade.
Para obter mais informações, consulte o Contrato de Nível de Serviço (SLA) do Firewall do Azure e os recursos do Firewall do Azure por SKU.