Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Брандмауэр Azure можно настроить во время развертывания. Это позволит охватить несколько зон доступности, что повысит уровень доступности.
Эта функция поддерживает следующие сценарии:
- Вы можете увеличить доступность до 99,99% времени простоя. Подробнее этот вопрос рассматривается в соглашении об уровне обслуживания для Брандмауэра Azure. Если выбраны две или более зон доступности, предоставляется Соглашение об уровне обслуживания на уровне 99,99 %.
- Также Брандмауэр Azure можно связать с определенной ближайшей зоной, используя для этого стандарт обслуживания на уровне 99,95 %.
Дополнительные сведения о зонах доступности брандмауэра Azure см. в разделе "Функции брандмауэра Azure" по номеру SKU.
Настройка зон доступности в брандмауэре Azure
Брандмауэр Azure можно настроить для использования зон доступности во время развертывания для повышения доступности и надежности. Эту конфигурацию можно выполнить с помощью портала Azure, Azure PowerShell или других методов развертывания.
Использование портала Azure
- По умолчанию портал Azure не предоставляет возможность выбора определенных зон доступности при создании нового брандмауэра Azure. Брандмауэр Azure по умолчанию развертывается как избыточный по зонам, соответствуя требованиям избыточности зон.
Использование API
- Рекомендуется не указывать зоны во время развертывания, так как бэкенд автоматически настраивает брандмауэр как зонально избыточный по умолчанию.
- Если определенные зоны предоставляются во время развертывания через API, указанные зоны будут учитываться.
Использование Azure PowerShell
Зоны доступности можно настроить с помощью Azure PowerShell. В следующем примере показано, как создать брандмауэр в зонах 1, 2 и 3.
При создании стандартного общедоступного IP-адреса без указания зоны он настраивается как избыточный по зонам по умолчанию. Стандартные общедоступные IP-адреса могут быть связаны со всеми зонами или одной зоной.
Важно отметить, что брандмауэр нельзя развернуть в одной зоне, пока его общедоступный IP-адрес находится в другой зоне. Однако можно развернуть брандмауэр в определенной зоне и связать его с общедоступным IP-адресом, избыточным по зонам, или развернуть брандмауэр и общедоступный IP-адрес в одной зоне для целей близкого взаимодействия.
$rgName = "Test-FW-RG"
$vnet = Get-AzVirtualNetwork `
-Name "Test-FW-VN" `
-ResourceGroupName $rgName
$pip1 = New-AzPublicIpAddress `
-Name "AzFwPublicIp1" `
-ResourceGroupName "Test-FW-RG" `
-Sku "Standard" `
-Location "eastus" `
-AllocationMethod Static `
-Zone 1,2,3
New-AzFirewall `
-Name "azFw" `
-ResourceGroupName $rgName `
-Location "eastus" `
-VirtualNetwork $vnet `
-PublicIpAddress @($pip1) `
-Zone 1,2,3
Ограничения
- Брандмауэр Azure с зонами доступности поддерживается только в регионах, которые предлагают зоны доступности.
- В регионах с зональными ограничениями в связи с ограничениями по емкости развертывание брандмауэра с зональной избыточностью может завершиться сбоем. В таких случаях брандмауэр можно развернуть в одной зоне или в доступных зонах, чтобы продолжить развертывание.
- Зональные ограничения описаны на странице известных проблем брандмауэра Azure .
Настроив зоны доступности, вы можете обеспечить более высокую доступность и обеспечить устойчивость инфраструктуры безопасности сети.