Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Служба Azure Private Link позволяет конфиденциально публиковать собственные приложения, например, приложения на виртуальных машинах, в виртуальной сети Azure. Служба приватного канала позволяет другим клиентам Или клиентам Azure в собственных сетях безопасно подключаться без использования общедоступных IP-адресов, гарантируя, что трафик остается в сети Azure.
При использовании Azure надежность является общей ответственностью. Корпорация Майкрософт предоставляет ряд возможностей для поддержки устойчивости и восстановления. Вы несете ответственность за понимание того, как работают эти возможности во всех используемых вами службах, а также за выбор возможностей, необходимых для достижения бизнес-целей и целей бесперебойной работы.
В этой статье рассматривается служба Приватного канала Azure и связанные частные конечные точки в качестве механизма подключения. В нем описывается поведение на уровне платформы и контрольной плоскости во время временных сбоев, сбоев зон доступности и сбоев на уровне региона.
Замечание
В этой статье рассматривается служба Приватного канала Azure, которая обеспечивает частное подключение к приложениям, которые выполняются на собственных виртуальных машинах. Если вы используете частные конечные точки с другими службами Azure, например службой хранилища Azure или Базой данных SQL Azure, необходимо вместо этого ознакомиться с руководствами по надежности этих служб для получения конкретных сведений о их частных конечных точках.
Это важно
Надежность общего решения зависит от конфигурации внутренних серверов, к которым подключается служба приватного канала. В зависимости от решения это могут быть виртуальные машины Azure, масштабируемые наборы виртуальных машин Azure или внешние конечные точки. Она также включает подсистемы балансировки нагрузки и другие сетевые компоненты.
Серверные серверы не входят в область действия этой статьи, но их конфигурации доступности напрямую влияют на устойчивость вашего приложения. Ознакомьтесь со руководствами по надежности для всех служб Azure в решении, чтобы понять, как каждая служба поддерживает ваши требования к надежности. Убедившись, что ваши серверы также конфигурированы для высокого уровня доступности и отказоустойчивости зоны, вы можете обеспечить надежность приложения от начала до конца.
Обзор архитектуры надежности
Служба Приватного канала позволяет клиентам подключаться к рабочим нагрузкам в Azure в частном порядке. В качестве поставщика услуг вы развертываете ресурс службы Private Link. Потребители служб создают частные конечные точки в собственных виртуальных сетях Azure. Эти конечные точки подключаются безопасно и приватно через приватный канал к приложениям. Эта настройка не предоставляет общедоступные IP-адреса, даже если потребитель использует частную конечную точку из локальной среды через Azure ExpressRoute или другой метод частного подключения.
Служба Private Link обычно присоединена к службе Azure Load Balancer, который служит прокси для серверных ресурсов (виртуальных машин или масштабируемых наборов виртуальных машин). Вы также можете использовать службу Private Link Direct Connect (предварительная версия), которая обеспечивает подключение к любому частному IP-адресу в виртуальной сети. Если вы используете службу Приватного канала Direct Connect, внимательно ознакомьтесь с документацией, чтобы понять требования, доступность региона и ограничения.
Это важно
Служба Private Link Direct Connect в настоящее время находится в предварительной версии.
Ознакомьтесь с Дополнительными условиями использования для предварительных версий Microsoft Azure, чтобы узнать юридические условия, применимые к функциям Azure, которые находятся в статусе бета, предварительного просмотра или иначе еще не выпущены в общий доступ.
Устойчивость к временным сбоям
Временные ошибки являются короткими, периодическими сбоями в компонентах. Они часто происходят в распределенной среде, такой как облачная платформа, и являются обычной частью операций. Временные ошибки исправляют себя через короткий период времени. Важно, чтобы приложения могли обрабатывать временные ошибки, обычно повторяя затронутые запросы.
Все облачные приложения должны следовать рекомендациям по обработке временных ошибок Azure при обмене данными с любыми размещенными в облаке API, базами данных и другими компонентами. Дополнительные сведения см. в Рекомендациях по обработке временных сбоев.
Кроме того, при развертывании службы приватного канала с помощью Подсистемы балансировки нагрузки уровня "Стандартный" просмотрите рекомендации по обработке временных ошибок для Azure Load Balancer и убедитесь, что подсистема балансировки нагрузки настроена правильно для обработки временных сбоев.
Устойчивость к сбоям зоны доступности
Служба Private Link автоматически устойчива к отказам зоны доступности при развертывании в регионе, поддерживающем зоны доступности. Поставщики услуг не должны настраивать ничего, чтобы включить это поведение.
Частные конечные точки автоматически распределяются между зонами доступности в регионе. Потребителям служб не нужно создавать отдельные частные конечные точки в разных зонах.
Требования
Поддержка региона: Услуги Private Link можно развернуть в любом регионе, поддерживающем зоны доступности.
Зависимость балансировщика нагрузки: Если вы используете службу Private Link с задним балансировщиком нагрузки, он также должен быть настроен как избыточным по зонам, чтобы обеспечить резервирование зон от начала до конца. Дополнительные сведения см. в статье "Надежность" в Azure Load Balancer.
Себестоимость
Для службы Private Link не взимается дополнительная плата за поддержку зоны доступности.
Настройка поддержки зоны доступности
Поддержка зоны доступности включена автоматически при развертывании службы Приватного канала в регионе, поддерживающем зоны доступности.
Поведение, когда все зоны работоспособны
В этом разделе описывается, что ожидать, когда службы приватного канала и частные конечные точки настроены для поддержки зоны доступности и все зоны доступности работают.
Операция между зонами: Трафик через частную конечную точку и службу приватного канала может направляться через любую зону доступности.
Репликация данных между зонами: Azure Private Link не выполняет репликацию данных между зонами, так как это бессостоянная служба для подключения.
Поведение во время сбоя зоны
В этом разделе описывается, что ожидать, когда службы Private Link и частные конечные точки настроены для поддержки зон доступности, и происходит сбой зоны доступности.
- Обнаружение и ответ: Корпорация Майкрософт отвечает за обнаружение сбоев зоны доступности и управление ответом службы.
- Уведомление: Корпорация Майкрософт не уведомляет вас об отключении зоны. Однако вы можете использовать службу "Работоспособность служб Azure ", чтобы понять общую работоспособность службы, включая все сбои зоны, и вы можете настроить оповещения о работоспособности служб , чтобы уведомить вас о проблемах.
Активные запросы: Активные запросы могут быть завершены во время сбоя зоны доступности. Потребители служб должны повторить неудачные запросы после временных прерываний, аналогичных другим временным сбоям.
Ожидаемая потеря данных: Потери данных не происходит, так как Azure Private Link — это безд状态ная услуга для подключения.
Ожидаемое время простоя: Существующие подключения, которые подключаются через неудающуюся зону, могут быть отключены. Пока внутренние компоненты, такие как подсистема балансировки нагрузки и серверы приложений, по-прежнему доступны, потребители служб могут немедленно повторить подключения, и запросы будут перенаправлены через инфраструктуру в другой зоне.
Перераспределение: Если одна зона доступности выходит из строя, служба продолжает работать, осуществляя маршрутизацию нового трафика через исправные зоны.
Вряд ли виртуальные машины в затронутой зоне доступности по-прежнему будут работать. Однако в случае сбоя частичной зоны, которая приводит к недоступности Приватного канала Azure в затронутой зоне, а виртуальные машины в зоне продолжают работать, все исходящие подключения к виртуальным машинам в затронутой зоне направляются через инфраструктуру Приватного канала в другой зоне.
У приложения также может происходить время простоя, если зависимые компоненты, такие как балансировщики нагрузки или виртуальные машины на стороне сервера, не обладают зональной устойчивостью.
Восстановление зоны
При восстановлении затронутой зоны доступности Microsoft автоматически управляет процессом возврата после отказа. Вмешательство пользователя не требуется.
Тестирование на сбои в зоне
Платформа Private Link управляет маршрутизацией трафика, обработкой отказов и восстановлением после отказа для служб Private Link и частных конечных точек в зонах доступности. Так как эта функция полностью управляется, вам не нужно проверять процессы сбоя зоны доступности.
Устойчивость к сбоям на уровне региона
Служба Private Link — это сервис, поддерживающий работу в одном регионе. Служба не предоставляет встроенной поддержки мульти-региональных возможностей или автоматического переключения при отказе между регионами. Если регион Azure становится недоступным, службы приватного канала в этом регионе также недоступны.
Индивидуальные решения для нескольких регионов для повышения устойчивости
Если вы разрабатываете сетевой подход с несколькими регионами, вы (поставщик услуг) должны развертывать независимые службы Приватного канала в каждом регионе. Вы несете ответственность за развертывание и управление каждой услугой Private Link. Потребители служб отвечают за настройку частных конечных точек для каждой службы приватного канала по мере необходимости и маршрутизации трафика в соответствующую службу Приватного канала.
Резервное копирование и восстановление
Служба Приватного канала не хранит данные клиента и не требует резервного копирования или восстановления. Чтобы повторно создать конфигурации, рекомендуется поддерживать шаблоны инфраструктуры как кода для сетевых ресурсов. Так как службы Приватного канала доступны только для конфигурации и не хранят данные клиента, усилия по резервному копированию должны сосредоточиться на шаблонах инфраструктуры как кода для быстрого повторного развертывания.
Соглашение об уровне обслуживания
Соглашение об уровне обслуживания (SLA) для служб Azure описывает ожидаемую доступность каждой службы и условия, которые должно соответствовать вашему решению для достижения этого ожидания доступности. Для получения дополнительной информации см. Соглашения об уровне обслуживания для онлайн-сервисов.