Aracılığıyla paylaş

Azure Güvenlik Duvarı güvenilirliği

Azure Güvenlik Duvarı Azure Sanal Ağ kaynakları koruyan yönetilen, bulut tabanlı bir ağ güvenlik hizmetidir. Yerleşik yüksek kullanılabilirlik ve sınırsız bulut ölçeklenebilirliği içeren tam durumda bir güvenlik duvarı hizmetidir.

Azure kullandığınızda, güvenilirlik paylaşılan bir sorumluluktur. Microsoft, dayanıklılık ve kurtarmayı desteklemek için çeşitli özellikler sunar. Bu özelliklerin kullandığınız tüm hizmetler içinde nasıl çalıştığını anlamak ve iş hedeflerinize ve çalışma süresi hedeflerinize ulaşmak için ihtiyacınız olan özellikleri seçmek sizin sorumluluğunuzdadır.

Bu makalede, Azure Güvenlik Duvarı geçici hatalar, kullanılabilirlik alanı kesintileri ve bölge kesintileri gibi çeşitli olası kesintilere ve sorunlara nasıl dayanıklı hale getirilmeye başlandığı açıklanmaktadır. Ayrıca hizmet bakımı sırasında dayanıklılığı açıklar ve Güvenlik Duvarı hizmet düzeyi sözleşmesi (SLA) hakkında bazı önemli bilgileri vurgular.

Üretim dağıtımı önerileri

Çözümünüzün güvenilirlik gereksinimlerini desteklemek için Azure Güvenlik Duvarı'ü nasıl dağıtacağınızı ve güvenilirliğin mimarinizin diğer yönlerini nasıl etkilediğini öğrenmek için Azure Well-Architected Framework'teki Azure Güvenlik Duvarı için Mimari en iyi uygulamalar bölümüne bakın.

Güvenilirlik mimarisine genel bakış

Örnek, güvenlik duvarının sanal makine (VM) düzeyindeki birimine başvurur. Her örnek, trafiği işleyen ve güvenlik duvarı denetimleri gerçekleştiren altyapıyı temsil eder.

Bir güvenlik duvarının yüksek kullanılabilirliğini elde etmek için Azure Güvenlik Duvarı, müdahalenize veya yapılandırmanıza gerek kalmadan en az iki örneği otomatik olarak sağlar. Ortalama aktarım hızı, CPU tüketimi ve bağlantı kullanımı önceden tanımlanmış eşiklere ulaştığında güvenlik duvarı otomatik olarak ölçeklendirilir. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı performance. Platform, örnek oluşturmayı, sistem durumunu izlemeyi ve iyi durumda olmayan örneklerin değiştirilmesini otomatik olarak yönetir.

Sunucu ve sunucu rafı hatalarına karşı koruma sağlamak için Azure Güvenlik Duvarı örnekleri bir bölgedeki birden çok hata etki alanına otomatik olarak dağıtır.

Aşağıdaki diyagramda iki örneği olan bir güvenlik duvarı gösterilmektedir:

İki örnek ile Azure Güvenlik Duvarı gösteren bir diyagram.

Veri merkezi hataları sırasında yedekliliği ve kullanılabilirliği artırmak için Azure Güvenlik Duvarı birden çok kullanılabilirlik bölgesini destekleyen bölgelerde alanlar arası yedekliliği otomatik olarak etkinleştirir ve örnekleri en az iki kullanılabilirlik alanına dağıtır.

Geçici hatalara dayanıklılık

Geçici hatalar, bileşenlerde kısa ve aralıklı hatalardır. Bunlar genellikle bulut gibi dağıtılmış bir ortamda gerçekleşir ve işlemlerin normal bir parçasıdır. Geçici hatalar kısa bir süre sonra kendilerini düzeltmektedir. Uygulamalarınızın genellikle etkilenen istekleri yeniden deneyerek geçici hataları işleyebileceği önemlidir.

Bulutta barındırılan tüm uygulamalar, bulutta barındırılan API'ler, veritabanları ve diğer bileşenlerle iletişim kurarken Azure geçici hata işleme yönergelerini izlemelidir. Daha fazla bilgi için bkz Geçici hataları ele alma önerileri.

Azure Güvenlik Duvarı aracılığıyla bağlanan uygulamalar için olası geçici bağlantı sorunlarını işlemek için üstel geri alma ile yeniden deneme mantığını uygulayın. Azure Güvenlik Duvarı'nin durum bilgisi, kısa ağ kesintileri sırasında meşru bağlantıların etkin kalmasını sağlar.

Beş ile yedi dakika süren ölçeklendirme işlemleri sırasında güvenlik duvarı, artan yükü işlemek için yeni güvenlik duvarı örnekleri eklerken mevcut bağlantıları korur.

Kullanılabilirlik alanı hatalarına dayanıklılık

Availability bölgeleri Azure bölgesindeki fiziksel olarak ayrı veri merkezleri gruplarıdır. Bir bölge başarısız olduğunda hizmetler kalan bölgelerden birine devredilebilir.

Azure Güvenlik Duvarı, birden çok kullanılabilirlik bölgesini destekleyen bölgelerde alanlar arası yedekli olarak otomatik olarak dağıtılır. Güvenlik duvarını en az iki kullanılabilirlik alanına dağıttığınızda alanlar arası yedeklidir.

Azure Güvenlik Duvarı hem alanlar arası yedekli hem de bölgesel dağıtım modellerini destekler:

  • Zone-redundant: Kullanılabilirlik alanlarını destekleyen bölgelerde, Azure güvenlik duvarı örneklerini birden çok kullanılabilirlik alanına (en az iki) otomatik olarak dağıtır. Azure alanlar arasında yük dengeleme ve yük devretmeyi otomatik olarak yönetir. Bu dağıtım modeli tüm yeni güvenlik duvarları için varsayılandır.

    Alanlar arası yedekli güvenlik duvarları en yüksek çalışma süresi hizmet düzeyi sözleşmesine (SLA) ulaşır. Bunları maksimum kullanılabilirlik gerektiren üretim iş yükleri için kullanın.

    Aşağıdaki diyagramda üç kullanılabilirlik alanına dağıtılmış üç örneği olan alanlar arası yedekli bir güvenlik duvarı gösterilmektedir:

    Azure Güvenlik Duvarı'ı her biri ayrı bir kullanılabilirlik alanında bulunan üç örnekle gösteren diyagram.

    Uyarı

    Birden çok kullanılabilirlik alanına sahip bölgelerdeki tüm güvenlik duvarı dağıtımları otomatik olarak alanlar arası yedeklidir. Bu kural, Azure portalı ve API tabanlı dağıtımlar (Azure CLI, PowerShell, Bicep, ARM şablonları, Terraform) aracılığıyla yapılan dağıtımlar için geçerlidir.

  • Zonal: Kapasite kısıtlamalarının mevcut olduğu veya gecikme gereksinimlerinin kritik öneme sahip olduğu belirli senaryolarda, API tabanlı araçları (Azure CLI, PowerShell, Bicep, ARM şablonları, Terraform) kullanarak Azure Güvenlik Duvarı belirli bir kullanılabilirlik alanına dağıtabilirsiniz. O bölgedeki bölgesel güvenlik duvarının tüm örneklerini devreye alırsınız.

    Aşağıdaki diyagramda aynı kullanılabilirlik alanına dağıtılan üç örneğe sahip bir bölgesel güvenlik duvarı gösterilmektedir:

    Azure Güvenlik Duvarı'ın, tümü aynı kullanılabilirlik alanında olan üç örneği gösteren diyagram.

    Önemli

    Yalnızca API tabanlı araçlar aracılığıyla bölgesel dağıtımlar oluşturabilirsiniz. Bunları Azure portalı üzerinden yapılandıramazsınız. Mevcut bölgesel güvenlik duvarı dağıtımları gelecekte alanlar arası yedekli dağıtımlara geçirilecektir. En yüksek kullanılabilirlik SLA'sını elde etmek için mümkün olduğunda alanlar arası yedekli dağıtımları kullanın. Yalnızca bölgesel güvenlik duvarı kullanılabilirlik alanı kesintisine dayanıklılık sağlamaz.

Mevcut dağıtımların geçişi

Daha önce alanlar arası yedekli veya bölgesel olarak yapılandırılmamış Azure Güvenlik Duvarı dağıtımları nonzonal veya regional şeklindedir. 2026 takvim yılı boyunca, Azure tüm mevcut bölgesel olmayan güvenlik duvarı dağıtımlarını birden çok kullanılabilirlik alanını destekleyen bölgelerdeki alanlar arası yedekli dağıtımlara geçiriyor.

Gereksinimler

  • Region support: Azure Güvenlik Duvarı Azure Güvenlik Duvarı hizmetinin kullanılabildiği tüm kullanılabilirlik alanlarını destekleyen tüm bölgelerde kullanılabilirlik alanlarını destekler.
  • Azure Güvenlik Duvarı tüm katmanları kullanılabilirlik alanlarını destekler.
  • Alanlar arası yedekli güvenlik duvarları, alanlar arası yedekli olacak şekilde yapılandırılmış standart genel IP adresleri gerektirir.
  • Bölgesel güvenlik duvarları (API tabanlı araçlar aracılığıyla dağıtılır) standart genel IP adresleri gerektirir ve güvenlik duvarıyla aynı bölgede alanlar arası yedekli veya bölgesel olacak şekilde yapılandırılabilir.

Maliyet

Alanlar arası yedekli güvenlik duvarı dağıtımları için ek maliyet yoktur.

Kullanılabilirlik alanı desteğini yapılandırma

Bu bölümde güvenlik duvarlarınız için kullanılabilirlik alanı yapılandırması açıklanmaktadır.

  • Yeni bir güvenlik duvarı oluşturun: Birden çok kullanılabilirlik alanına sahip bölgelerdeki tüm yeni Azure Güvenlik Duvarı dağıtımları varsayılan olarak alanlar arası yedeklidir. Bu kural hem portal tabanlı hem de API tabanlı dağıtımlar için geçerlidir.

    • Zone-yedekli (varsayılan): Birden çok kullanılabilirlik alanına sahip bir bölgede yeni bir güvenlik duvarı dağıttığınızda Azure örnekleri en az iki kullanılabilirlik alanına otomatik olarak dağıtır. Ek yapılandırma gerekmez. Daha fazla bilgi için bkz. Azure portalını kullanarak Deploy Azure Güvenlik Duvarı.

      • Azure portal: Alanlar arası yedekli güvenlik duvarlarını otomatik olarak dağıtır. Portal aracılığıyla belirli bir kullanılabilirlik alanı seçemezsiniz.
      • API tabanlı araçlar (Azure CLI, PowerShell, Bicep, ARM şablonları, Terraform): Alanlar arası yedekli güvenlik duvarlarını varsayılan olarak dağıtın. İsteğe bağlı olarak dağıtım için bölgeler belirtebilirsiniz.

      Alanlar arası yedekli güvenlik duvarı dağıtma hakkında daha fazla bilgi için bkz. > Kullanılabilirlik alanlarıyla Azure Güvenlik Duvarı dağıtma.

    • Zonal (yalnızca API tabanlı araçlar): Güvenlik duvarını belirli bir kullanılabilirlik alanına dağıtmak için (örneğin, bir bölgedeki kapasite kısıtlamaları nedeniyle), Azure CLI, PowerShell, Bicep, ARM şablonları veya Terraform gibi API tabanlı araçları kullanın. Dağıtım yapılandırmanızda tek bir bölge belirtin. Bu seçenek Azure portalı üzerinden kullanılamaz.

      Uyarı

      Hangi kullanılabilirlik alanlarını kullanacağınızı seçtiğinizde, aslında mantıksal kullanılabilirlik alanını seçersiniz. Farklı bir Azure aboneliğinde başka iş yükü bileşenleri dağıtırsanız, aynı fiziksel kullanılabilirlik alanına erişmek için farklı bir mantıksal kullanılabilirlik alanı numarası kullanabilirler. Daha fazla bilgi için bkz. Fiziksel ve mantıksal kullanılabilirlik alanları.

  • Mevcut güvenlik duvarları: Tüm mevcut bölgesel olmayan (bölgesel) güvenlik duvarı dağıtımları, birden çok kullanılabilirlik bölgesini destekleyen bölgelerdeki alanlar arası yedekli dağıtımlara otomatik olarak geçirilir. Mevcut bölgesel güvenlik duvarı dağıtımları (belirli bir bölgeye sabitlenmiş) gelecekteki bir tarihte alanlar arası yedekli dağıtımlara geçirilir.

  • Kapasite kısıtlamaları: Bir bölgenin alanlar arası yedekli dağıtım için kapasitesi yoksa (en az iki kullanılabilirlik alanı gerekiyorsa), dağıtım başarısız olur. Bu senaryoda, API tabanlı araçları kullanarak belirli bir kullanılabilirlik alanına bölgesel güvenlik duvarı dağıtabilirsiniz.

Tüm bölgeler sağlıklı olduğunda davranış

Bu bölümde, Azure Güvenlik Duvarı kullanılabilirlik alanı desteğiyle yapılandırıldığında ve tüm kullanılabilirlik alanları çalışır durumda olduğunda neler bekleyebileceğiniz açıklanmaktadır.

  • Bölgeler arasında trafik yönlendirme: Trafik yönlendirme davranışı, güvenlik duvarınızın kullandığı kullanılabilirlik alanı yapılandırmasına bağlıdır.

    • Zone-redundant: Azure Güvenlik Duvarı gelen istekleri güvenlik duvarınızın kullandığı tüm bölgelerdeki örneklere otomatik olarak dağıtır. Bu etkin-etkin yapılandırma, normal çalışma koşullarında en iyi performansı ve yük dağılımını sağlar.

    • Zonal: Farklı bölgelere birden çok bölge örneği dağıtıyorsanız, Azure Load Balancer veya Azure Traffic Manager gibi dış yük dengeleme çözümlerini kullanarak trafik yönlendirmeyi yapılandırmanız gerekir.

  • Örnek yönetimi: Platform, güvenlik duvarınızın kullandığı bölgeler arasında örnek yerleşimini otomatik olarak yönetir. Başarısız örneklerin yerini alır ve yapılandırılan örnek sayısını korur. Sağlık izleme, yalnızca iyi durumdaki örneklerin trafik almasını temin eder.

  • Bölgeler arasında veri çoğaltması: Azure Güvenlik Duvarı’un kullanılabilirlik bölgeleri arasında bağlantı durumunu eşitlemesine gerek yok. İsteği işleyen örnek, her bağlantının durumunu korur.

Bölge hatası sırasındaki davranış

Bu bölümde, Azure Güvenlik Duvarı kullanılabilirlik alanı desteğiyle yapılandırıldığında ve bir veya daha fazla kullanılabilirlik alanı kullanılamadığında neler bekleyebileceğiniz açıklanmaktadır.

  • Algılama ve yanıt: Algılama ve yanıt sorumluluğu, güvenlik duvarınızın kullandığı kullanılabilirlik alanı yapılandırmasına bağlıdır.

    • Zone-redundant: Alanlar arası yedeklilik kullanmak üzere yapılandırılmış örnekler için, Azure Güvenlik Duvarı platformu kullanılabilirlik alanındaki bir hatayı algılar ve yanıtlar. Bölge arıza giderme başlatmanıza gerek yok.

    • Bölgesel: Bölgesel olacak şekilde yapılandırılmış güvenlik duvarları için kullanılabilirlik alanının kaybını algılamanız ve başka bir kullanılabilirlik alanında oluşturduğunuz ikincil güvenlik duvarına yük devretme başlatmanız gerekir.

  • Bildirim: Microsoft, bir bölge kapatıldığında sizi otomatik olarak bilgilendirmez. Ancak, Azure Hizmet Durumu kullanarak tüm bölge hataları dahil olmak üzere hizmetin genel durumunu anlayabilir ve sorunları size bildirmek için Service Health uyarıları ayarlayabilirsiniz.

  • Etkin bağlantılar: Kullanılabilirlik alanı kullanılamadığında, hatalı kullanılabilirlik alanındaki bir güvenlik duvarı örneğine bağlanan devam eden istekler sonlandırabilir ve yeniden denemeler gerektirebilir.

  • Expected data loss: Azure Güvenlik Duvarı kalıcı müşteri verilerini depolamadığından bölge yük devretmesi sırasında veri kaybı beklenmez.

  • Beklenen kapalı kalma süresi: Kapalı kalma süresi, güvenlik duvarınızın kullandığı kullanılabilirlik alanı yapılandırmasına bağlıdır.

    • Alanlar arası yedekli: Kullanılabilirlik alanı kesintisi sırasında en düşük kapalı kalma süresini (genellikle birkaç saniye) bekleyin. İstemci uygulamaları, üstel geri çekme ile yeniden deneme ilkeleri uygulamak da dahil olmak üzere geçici hata işleme yöntemlerini izlemelidir.

    • Bölgesel: Bir bölge kullanılamıyorsa, kullanılabilirlik alanı kurtarana kadar güvenlik duvarınız kullanılamaz durumda kalır.

  • Trafik yeniden yönlendirme: Trafik yönlendirme davranışı, güvenlik duvarınızın kullandığı kullanılabilirlik alanı yapılandırmasına bağlıdır.

    • Bölgeler arası yedekli: Trafik, iyi durumdaki kullanılabilirlik bölgelerine otomatik olarak yeniden yönlendirilir. Gerekirse platform, iyi durumdaki bölgelerde yeni güvenlik duvarı örnekleri oluşturur.

    • Bölgesel: Bir bölge kullanılamıyorsa, bölgesel güvenlik duvarınız da kullanılamaz. Başka bir kullanılabilirlik alanında ikincil bir güvenlik duvarınız varsa trafiği bu güvenlik duvarına yönlendirmek sizin sorumluluğundadır.

Failback

Geri dönüş davranışı, güvenlik duvarınızın kullandığı kullanılabilirlik alanı yapılandırmasına bağlıdır.

  • Zone-redundant: Kullanılabilirlik alanı kurtarıldıktan sonra Azure Güvenlik Duvarı güvenlik duvarınızın kullandığı tüm bölgelerdeki örnekleri otomatik olarak yeniden dağıtır ve bölgeler arasında normal yük dengelemeyi geri yükler.

  • Bölgesel: Kullanılabilirlik alanı kurtarıldıktan sonra trafiği özgün kullanılabilirlik alanındaki güvenlik duvarına yönlendirmek sizin sorumluluğundadır.

Bölge hataları için test

Bölge hata testi seçenekleri güvenlik duvarınızın kullanılabilirlik alanı yapılandırmasına bağlıdır.

  • Zone-redundant: Azure Güvenlik Duvarı platformu, alanlar arası yedekli güvenlik duvarı kaynakları için trafik yönlendirmeyi, yük devretmeyi ve yeniden çalışmayı yönetir. Bu özellik tamamen yönetildiğinden kullanılabilirlik alanı hata işlemlerini başlatmanız veya doğrulamanız gerekmez.

  • Bölgesel: Güvenlik duvarını durdurarak kullanılabilirlik alanı hatasının yönlerini simüle edebilirsiniz. Diğer sistemlerin ve yük dengeleyicilerin güvenlik duvarındaki bir kesintiyi nasıl işlediğini test etmek için bu yaklaşımı kullanın. Daha fazla bilgi için bakınız Azure Güvenlik Duvarı'ü Durdurma ve Başlatma.

Bölge genelindeki hatalara dayanıklılık

Azure Güvenlik Duvarı tek bölgeli bir hizmettir. Bölge kullanılamıyorsa Güvenlik duvarı kaynağınız da kullanılamaz.

Dayanıklılık için özel çok bölgeli çözümler

Çok bölgeli bir mimari uygulamak için ayrı güvenlik duvarları kullanın. Bu yaklaşım, her bölgeye bağımsız bir güvenlik duvarı dağıtmanızı, trafiği uygun bölgesel güvenlik duvarına yönlendirmenizi ve özel yük devretme mantığı uygulamanızı gerektirir. Aşağıdaki noktaları göz önünde bulundurun:

  • Birden çok güvenlik duvarında merkezi ilke yönetimi için Azure Güvenlik Duvarı Yöneticisi kullanın. Birden çok güvenlik duvarı örneğinde merkezi kural yönetimi için Güvenlik Duvarı İlkesi yöntemini kullanın.

  • Traffic Manager veya Azure Front Door kullanarak trafik yönlendirmesini uygulayın.

Çok bölgeli ağ güvenlik mimarilerini gösteren bir örnek mimari için, Traffic Manager, Azure Güvenlik Duvarı ve Application Gateway kullanarak çok bölgeli yük dengeleme başlığına bakın.

Hizmet bakımına dayanıklılık

Azure Güvenlik Duvarı düzenli olarak hizmet yükseltmeleri ve diğer bakım biçimlerini gerçekleştirir.

Yükseltme zamanlamalarını işletimsel gereksinimlerinizle uyumlu hale getirmek için günlük bakım pencerelerini yapılandırabilirsiniz. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı için müşteri kontrolündeki bakımı yapılandırma.

Hizmet düzeyi sözleşmesi

Azure hizmetleri için hizmet düzeyi sözleşmesi (SLA), her hizmetin beklenen kullanılabilirliğini ve bu kullanılabilirlik beklentisini elde etmek için çözümünüzün karşılaması gereken koşulları açıklar. Daha fazla bilgi için bkz. Çevrimiçi hizmetler için SLA'lar.

Azure Güvenlik Duvarı, iki veya daha fazla kullanılabilirlik alanına dağıtılan alanlar arası yedekli güvenlik duvarları için daha yüksek kullanılabilirlik SLA'sı sağlar.

İlgili içerik

  • Last updated on