Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Güvenlik Duvarı, Azure Sanal Ağ kaynaklarını koruyan yönetilen, bulut tabanlı bir ağ güvenlik hizmetidir. Yerleşik yüksek kullanılabilirlik ve sınırsız bulut ölçeklenebilirliği içeren tam durumda bir güvenlik duvarı hizmetidir.
Azure'ı kullandığınızda güvenilirlik paylaşılan bir sorumluluktır. Microsoft, dayanıklılık ve kurtarmayı desteklemek için çeşitli özellikler sunar. Bu özelliklerin kullandığınız tüm hizmetler içinde nasıl çalıştığını anlamak ve iş hedeflerinize ve çalışma süresi hedeflerinize ulaşmak için ihtiyacınız olan özellikleri seçmek sizin sorumluluğunuzdadır.
Bu makalede Azure Güvenlik Duvarı'nın geçici hatalar, kullanılabilirlik alanı kesintileri ve bölge kesintileri gibi çeşitli olası kesintilere ve sorunlara karşı nasıl dayanıklı hale getirilmeye başlandığı açıklanmaktadır. Ayrıca hizmet bakımı sırasında dayanıklılığı açıklar ve Güvenlik Duvarı hizmet düzeyi sözleşmesi (SLA) hakkında bazı önemli bilgileri vurgular.
Üretim dağıtımı önerileri
Çözümünüzün güvenilirlik gereksinimlerini desteklemek üzere Azure Güvenlik Duvarı'nın nasıl dağıtılacağı ve güvenilirliğin mimarinizin diğer yönlerini nasıl etkilediği hakkında bilgi edinmek için bkz. Azure Well-Architected Framework'te Azure Güvenlik Duvarı için en iyi mimari yöntemleri.
Güvenilirlik mimarisine genel bakış
Örnek, güvenlik duvarının sanal makine (VM) düzeyindeki birimine başvurur. Her örnek, trafiği işleyen ve güvenlik duvarı denetimleri gerçekleştiren altyapıyı temsil eder.
Bir güvenlik duvarının yüksek kullanılabilirliğini elde etmek için Azure Güvenlik Duvarı, müdahalenize veya yapılandırmanıza gerek kalmadan en az iki örneği otomatik olarak sağlar. Ortalama aktarım hızı, CPU tüketimi ve bağlantı kullanımı önceden tanımlanmış eşiklere ulaştığında güvenlik duvarı otomatik olarak ölçeklendirilir. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı performansı. Platform, örnek oluşturmayı, sistem durumunu izlemeyi ve iyi durumda olmayan örneklerin değiştirilmesini otomatik olarak yönetir.
Sunucu ve sunucu rafı hatalarına karşı koruma sağlamak için Azure Güvenlik Duvarı, örnekleri bir bölgedeki birden çok hata etki alanına otomatik olarak dağıtır.
Aşağıdaki diyagramda iki örneği olan bir güvenlik duvarı gösterilmektedir:
Veri merkezi hataları sırasında yedekliliği ve kullanılabilirliği artırmak için Azure Güvenlik Duvarı, birden çok kullanılabilirlik bölgesini destekleyen bölgelerde alanlar arası yedekliliği otomatik olarak etkinleştirir ve örnekleri en az iki kullanılabilirlik alanına dağıtır.
Geçici hatalara dayanıklılık
Geçici hatalar, bileşenlerde kısa ve aralıklı hatalardır. Bunlar genellikle bulut gibi dağıtılmış bir ortamda gerçekleşir ve işlemlerin normal bir parçasıdır. Geçici hatalar kısa bir süre sonra kendilerini düzeltmektedir. Uygulamalarınızın genellikle etkilenen istekleri yeniden deneyerek geçici hataları işleyebileceği önemlidir.
Bulutta barındırılan tüm uygulamalar, bulutta barındırılan API'ler, veritabanları ve diğer bileşenlerle iletişim kurarken Azure geçici hata işleme yönergelerini izlemelidir. Daha fazla bilgi için bkz Geçici hataları ele alma önerileri.
Azure Güvenlik Duvarı aracılığıyla bağlanan uygulamalar için olası geçici bağlantı sorunlarını işlemek için üstel geri alma ile yeniden deneme mantığını uygulayın. Azure Güvenlik Duvarı'nın durum bilgisi olan yapısı, kısa ağ kesintileri sırasında meşru bağlantıların etkin kalmasını sağlar.
Beş ile yedi dakika süren ölçeklendirme işlemleri sırasında güvenlik duvarı, artan yükü işlemek için yeni güvenlik duvarı örnekleri eklerken mevcut bağlantıları korur.
Kullanılabilirlik alanı hatalarına dayanıklılık
Kullanılabilirlik alanları , bir Azure bölgesi içindeki veri merkezlerinin fiziksel olarak ayrı gruplarıdır. Bir bölge başarısız olduğunda hizmetler kalan bölgelerden birine devredilebilir.
Azure Güvenlik Duvarı, birden çok kullanılabilirlik bölgesini destekleyen bölgelerde alanlar arası yedekli olarak otomatik olarak dağıtılır. Güvenlik duvarını en az iki kullanılabilirlik alanına dağıttığınızda alanlar arası yedeklidir.
Azure Güvenlik Duvarı hem alanlar arası yedekli hem de bölgesel dağıtım modellerini destekler:
Alanlar arası yedekli: Kullanılabilirlik alanlarını destekleyen bölgelerde Azure, güvenlik duvarı örneklerini otomatik olarak birden çok kullanılabilirlik alanına (en az iki) dağıtır. Azure, bölgeler arasında yük dengelemeyi ve yük devretmeyi otomatik olarak yönetir. Bu dağıtım modeli tüm yeni güvenlik duvarları için varsayılandır.
Alanlar arası yedekli güvenlik duvarları en yüksek çalışma süresi hizmet düzeyi sözleşmesine (SLA) ulaşır. Bunları maksimum kullanılabilirlik gerektiren üretim iş yükleri için kullanın.
Aşağıdaki diyagramda üç kullanılabilirlik alanına dağıtılmış üç örneği olan alanlar arası yedekli bir güvenlik duvarı gösterilmektedir:
Uyarı
Birden çok kullanılabilirlik alanına sahip bölgelerdeki tüm güvenlik duvarı dağıtımları otomatik olarak alanlar arası yedeklidir. Bu kural, Azure portalı ve API tabanlı dağıtımlar (Azure CLI, PowerShell, Bicep, ARM şablonları, Terraform) aracılığıyla yapılan dağıtımlar için geçerlidir.
Bölgesel: Kapasite kısıtlamalarının mevcut olduğu veya gecikme gereksinimlerinin kritik öneme sahip olduğu belirli senaryolarda, API tabanlı araçları (Azure CLI, PowerShell, Bicep, ARM şablonları, Terraform) kullanarak Azure Güvenlik Duvarı'nı belirli bir kullanılabilirlik alanına dağıtabilirsiniz. O bölgedeki bölgesel güvenlik duvarının tüm örneklerini devreye alırsınız.
Aşağıdaki diyagramda aynı kullanılabilirlik alanına dağıtılan üç örneğe sahip bir bölgesel güvenlik duvarı gösterilmektedir:
Önemli
Yalnızca API tabanlı araçlar aracılığıyla bölgesel dağıtımlar oluşturabilirsiniz. Bunları Azure portalı üzerinden yapılandıramazsınız. Mevcut bölgesel güvenlik duvarı dağıtımları gelecekte alanlar arası yedekli dağıtımlara geçirilecektir. En yüksek kullanılabilirlik SLA'sını elde etmek için mümkün olduğunda alanlar arası yedekli dağıtımları kullanın. Yalnızca bölgesel güvenlik duvarı kullanılabilirlik alanı kesintisine dayanıklılık sağlamaz.
Mevcut dağıtımların geçişi
Daha önce, alanlar arası yedekli veya bölgesel olarak yapılandırılmamış Azure Güvenlik Duvarı dağıtımları alansız veya bölgesel olurdu. 2026 takvim yılı boyunca Azure, mevcut tüm bölgesel olmayan güvenlik duvarı dağıtımlarını birden çok kullanılabilirlik alanını destekleyen bölgelerdeki alanlar arası yedekli dağıtımlara geçiriyor.
Bölge desteği
Azure Güvenlik Duvarı, Azure Güvenlik Duvarı hizmetinin kullanılabilir olduğu kullanılabilirlik alanlarını destekleyen tüm bölgelerde kullanılabilirlik alanlarını destekler.
Gereksinimler
- Azure Güvenlik Duvarı'nın tüm katmanları kullanılabilirlik alanlarını destekler.
- Alanlar arası yedekli güvenlik duvarları, alanlar arası yedekli olacak şekilde yapılandırılmış standart genel IP adresleri gerektirir.
- Bölgesel güvenlik duvarları (API tabanlı araçlar aracılığıyla dağıtılır) standart genel IP adresleri gerektirir ve güvenlik duvarıyla aynı bölgede alanlar arası yedekli veya bölgesel olacak şekilde yapılandırılabilir.
Maliyet
Alanlar arası yedekli güvenlik duvarı dağıtımları için ek maliyet yoktur.
Kullanılabilirlik alanı desteğini yapılandırma
Bu bölümde güvenlik duvarlarınız için kullanılabilirlik alanı yapılandırması açıklanmaktadır.
Yeni bir güvenlik duvarı oluşturun: Birden çok kullanılabilirlik alanına sahip bölgelerdeki tüm yeni Azure Güvenlik Duvarı dağıtımları varsayılan olarak alanlar arası yedeklidir. Bu kural hem portal tabanlı hem de API tabanlı dağıtımlar için geçerlidir.
Alanlar arası yedekli (varsayılan): Birden çok kullanılabilirlik alanına sahip bir bölgeye yeni bir güvenlik duvarı dağıttığınızda Azure, örnekleri en az iki kullanılabilirlik alanına otomatik olarak dağıtır. Ek yapılandırma gerekmez. Daha fazla bilgi için bkz . Azure portalını kullanarak Azure Güvenlik Duvarı'nı dağıtma.
- Azure portalı: Alanlar arası yedekli güvenlik duvarlarını otomatik olarak dağıtır. Portal aracılığıyla belirli bir kullanılabilirlik alanı seçemezsiniz.
- API tabanlı araçlar (Azure CLI, PowerShell, Bicep, ARM şablonları, Terraform): Alanlar arası yedekli güvenlik duvarlarını varsayılan olarak dağıtın. İsteğe bağlı olarak dağıtım için bölgeler belirtebilirsiniz.
Alanlar arası yedekli güvenlik duvarı dağıtma hakkında daha fazla bilgi için bkz. Kullanılabilirlik alanlarıyla Azure Güvenlik Duvarı dağıtma.
Bölgesel (yalnızca API tabanlı araçlar): Güvenlik duvarını belirli bir kullanılabilirlik alanına dağıtmak için (örneğin, bir bölgedeki kapasite kısıtlamaları nedeniyle), Azure CLI, PowerShell, Bicep, ARM şablonları veya Terraform gibi API tabanlı araçları kullanın. Dağıtım yapılandırmanızda tek bir bölge belirtin. Bu seçenek Azure portalı üzerinden kullanılamaz.
Uyarı
Hangi kullanılabilirlik alanlarını kullanacağınızı seçtiğinizde, aslında mantıksal kullanılabilirlik alanını seçersiniz. Başka iş yükü bileşenlerini farklı bir Azure aboneliğine dağıtırsanız, aynı fiziksel kullanılabilirlik alanına erişmek için farklı bir mantıksal kullanılabilirlik alanı numarası kullanabilirler. Daha fazla bilgi için bkz. Fiziksel ve mantıksal kullanılabilirlik alanları.
Mevcut güvenlik duvarları: Tüm mevcut bölgesel olmayan (bölgesel) güvenlik duvarı dağıtımları, birden çok kullanılabilirlik bölgesini destekleyen bölgelerdeki alanlar arası yedekli dağıtımlara otomatik olarak geçirilir. Mevcut bölgesel güvenlik duvarı dağıtımları (belirli bir bölgeye sabitlenmiş) gelecekteki bir tarihte alanlar arası yedekli dağıtımlara geçirilir.
Kapasite kısıtlamaları: Bir bölgenin alanlar arası yedekli dağıtım için kapasitesi yoksa (en az iki kullanılabilirlik alanı gerekiyorsa), dağıtım başarısız olur. Bu senaryoda, API tabanlı araçları kullanarak belirli bir kullanılabilirlik alanına bölgesel güvenlik duvarı dağıtabilirsiniz.
Tüm bölgeler sağlıklı olduğunda davranış
Bu bölümde Azure Güvenlik Duvarı kullanılabilirlik alanı desteğiyle yapılandırıldığında ve tüm kullanılabilirlik alanları çalışır durumda olduğunda neler bekleyebileceğiniz açıklanmaktadır.
Bölgeler arasında trafik yönlendirme: Trafik yönlendirme davranışı, güvenlik duvarınızın kullandığı kullanılabilirlik alanı yapılandırmasına bağlıdır.
Alanlar arası yedekli: Azure Güvenlik Duvarı, gelen istekleri güvenlik duvarınızın kullandığı tüm bölgelerdeki örneklere otomatik olarak dağıtır. Bu etkin-etkin yapılandırma, normal çalışma koşullarında en iyi performansı ve yük dağılımını sağlar.
Bölgesel: Farklı bölgelere birden çok bölge örneği dağıtıyorsanız, Azure Load Balancer veya Azure Traffic Manager gibi dış yük dengeleme çözümlerini kullanarak trafik yönlendirmeyi yapılandırmanız gerekir.
Örnek yönetimi: Platform, güvenlik duvarınızın kullandığı bölgeler arasında örnek yerleşimini otomatik olarak yönetir. Başarısız örneklerin yerini alır ve yapılandırılan örnek sayısını korur. Sağlık izleme, yalnızca iyi durumdaki örneklerin trafik almasını temin eder.
Bölgeler arasında veri çoğaltma: Azure Güvenlik Duvarı'nın kullanılabilirlik alanları arasında bağlantı durumunu eşitlemesi gerekmez. İsteği işleyen örnek, her bağlantının durumunu korur.
Bölge hatası sırasındaki davranış
Bu bölümde, Azure Güvenlik Duvarı kullanılabilirlik alanı desteğiyle yapılandırıldığında ve bir veya daha fazla kullanılabilirlik alanı kullanılamadığında neler bekleyebileceğiniz açıklanmaktadır.
Algılama ve yanıt: Algılama ve yanıt sorumluluğu, güvenlik duvarınızın kullandığı kullanılabilirlik alanı yapılandırmasına bağlıdır.
Alanlar arası yedekli: Alanlar arası yedeklilik kullanmak üzere yapılandırılmış örnekler için Azure Güvenlik Duvarı platformu kullanılabilirlik alanındaki bir hatayı algılar ve yanıtlar. Bölge arıza giderme başlatmanıza gerek yok.
Bölgesel: Bölgesel olacak şekilde yapılandırılmış güvenlik duvarları için kullanılabilirlik alanının kaybını algılamanız ve başka bir kullanılabilirlik alanında oluşturduğunuz ikincil güvenlik duvarına yük devretme başlatmanız gerekir.
- Bildirim: Microsoft, bir bölge kapatıldığında sizi otomatik olarak bilgilendirmez. Bununla birlikte, bölge hataları dahil olmak üzere hizmetin genel durumunu anlamak için Azure Hizmet Durumu'nı kullanabilir ve sorunları size bildirmek için Hizmet Durumu uyarıları ayarlayabilirsiniz.
Etkin bağlantılar: Kullanılabilirlik alanı kullanılamadığında, hatalı kullanılabilirlik alanındaki bir güvenlik duvarı örneğine bağlanan devam eden istekler sonlandırabilir ve yeniden denemeler gerektirebilir.
Beklenen veri kaybı: Azure Güvenlik Duvarı kalıcı müşteri verilerini depolamadığından bölge yük devretmesi sırasında veri kaybı beklenmez.
Beklenen kapalı kalma süresi: Kapalı kalma süresi, güvenlik duvarınızın kullandığı kullanılabilirlik alanı yapılandırmasına bağlıdır.
Alanlar arası yedekli: Kullanılabilirlik alanı kesintisi sırasında en düşük kapalı kalma süresini (genellikle birkaç saniye) bekleyin. İstemci uygulamaları, üstel geri çekme ile yeniden deneme ilkeleri uygulamak da dahil olmak üzere geçici hata işleme yöntemlerini izlemelidir.
Bölgesel: Bir bölge kullanılamıyorsa, kullanılabilirlik alanı kurtarana kadar güvenlik duvarınız kullanılamaz durumda kalır.
Trafik yeniden yönlendirme: Trafik yönlendirme davranışı, güvenlik duvarınızın kullandığı kullanılabilirlik alanı yapılandırmasına bağlıdır.
Bölgeler arası yedekli: Trafik, iyi durumdaki kullanılabilirlik bölgelerine otomatik olarak yeniden yönlendirilir. Gerekirse platform, iyi durumdaki bölgelerde yeni güvenlik duvarı örnekleri oluşturur.
Bölgesel: Bir bölge kullanılamıyorsa, bölgesel güvenlik duvarınız da kullanılamaz. Başka bir kullanılabilirlik alanında ikincil bir güvenlik duvarınız varsa trafiği bu güvenlik duvarına yönlendirmek sizin sorumluluğundadır.
Failback
Geri dönüş davranışı, güvenlik duvarınızın kullandığı kullanılabilirlik alanı yapılandırmasına bağlıdır.
Alanlar arası yedekli: Kullanılabilirlik alanı kurtarıldıktan sonra Azure Güvenlik Duvarı, güvenlik duvarınızın kullandığı tüm bölgelerdeki örnekleri otomatik olarak yeniden dağıtır ve bölgeler arasında normal yük dengelemeyi geri yükler.
Bölgesel: Kullanılabilirlik alanı kurtarıldıktan sonra trafiği özgün kullanılabilirlik alanındaki güvenlik duvarına yönlendirmek sizin sorumluluğundadır.
Bölge hataları için test
Bölge hata testi seçenekleri güvenlik duvarınızın kullanılabilirlik alanı yapılandırmasına bağlıdır.
Alanlar arası yedekli: Azure Güvenlik Duvarı platformu, alanlar arası yedekli güvenlik duvarı kaynakları için trafik yönlendirmeyi, yük devretmeyi ve yeniden çalışmayı yönetir. Bu özellik tamamen yönetildiğinden kullanılabilirlik alanı hata işlemlerini başlatmanız veya doğrulamanız gerekmez.
Bölgesel: Güvenlik duvarını durdurarak kullanılabilirlik alanı hatasının yönlerini simüle edebilirsiniz. Diğer sistemlerin ve yük dengeleyicilerin güvenlik duvarındaki bir kesintiyi nasıl işlediğini test etmek için bu yaklaşımı kullanın. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı'nı durdurma ve başlatma.
Bölge genelindeki hatalara dayanıklılık
Azure Güvenlik Duvarı tek bölgeli bir hizmettir. Bölge kullanılamıyorsa Güvenlik duvarı kaynağınız da kullanılamaz.
Dayanıklılık için özel çok bölgeli çözümler
Çok bölgeli bir mimari uygulamak için ayrı güvenlik duvarları kullanın. Bu yaklaşım, her bölgeye bağımsız bir güvenlik duvarı dağıtmanızı, trafiği uygun bölgesel güvenlik duvarına yönlendirmenizi ve özel yük devretme mantığı uygulamanızı gerektirir. Aşağıdaki noktaları göz önünde bulundurun:
Birden çok güvenlik duvarında merkezi ilke yönetimi için Azure Güvenlik Duvarı Yöneticisi'ni kullanın. Birden çok güvenlik duvarı örneğinde merkezi kural yönetimi için Güvenlik Duvarı İlkesi yöntemini kullanın.
Traffic Manager veya Azure Front Door kullanarak trafik yönlendirmesi uygulayın.
Çok bölgeli ağ güvenlik mimarilerini gösteren örnek bir mimari için bkz. Traffic Manager, Azure Güvenlik Duvarı ve Application Gateway kullanarak çok bölgeli yük dengeleme.
Hizmet bakımına dayanıklılık
Azure Güvenlik Duvarı düzenli olarak hizmet yükseltmeleri ve diğer bakım biçimlerini gerçekleştirir.
Yükseltme zamanlamalarını işletimsel gereksinimlerinizle uyumlu hale getirmek için günlük bakım pencerelerini yapılandırabilirsiniz. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı için müşteri tarafından denetlenen bakımı yapılandırma.
Hizmet düzeyi sözleşmesi
Azure hizmetleri için hizmet düzeyi sözleşmesi (SLA), her hizmetin beklenen kullanılabilirliğini ve bu kullanılabilirlik beklentisini elde etmek için çözümünüzün karşılaması gereken koşulları açıklar. Daha fazla bilgi için çevrimiçi hizmetler için SLA'lar sayfasına bakın.
Azure Güvenlik Duvarı, iki veya daha fazla kullanılabilirlik alanına dağıtılan alanlar arası yedekli güvenlik duvarları için daha yüksek kullanılabilirlik SLA'sı sağlar.