Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Что такое зоны доступности
Зоны доступности (AZ) физически отделяются от центров обработки данных в пределах региона Azure, каждый из которых имеет независимые возможности питания, охлаждения и сети. Зоны доступности изолируют сбои инфраструктуры и повышают устойчивость и доступность приложений.
Регион, поддерживающий зоны доступности, обычно имеет три отдельные зоны (например, zone 1, Zone 2 и Zone 3). Не все регионы Azure поддерживают зоны доступности. Для брандмауэра Azure зоны доступности определяют, как экземпляры брандмауэра размещаются в пределах региона и насколько брандмауэр устойчив к зональным сбоям.
Избыточность зон
Брандмауэр Azure использует модель развертывания с избыточностью по зонам по умолчанию для повышения устойчивости, доступности и защиты от зональных сбоев.
Текущее поведение:
- Все новые развертывания брандмауэра Azure, для которых явно не установлены зоны (то есть установлено значение "Нет"), по умолчанию имеют избыточность по зонам в регионах, поддерживающих зоны доступности.
- Все существующие брандмауэры без указанной зоны (т. е. значение None) переносятся на платформу, чтобы стать зонально избыточными (ZR).
- Все существующие брандмауэры, развернутые в одной зоне , в настоящее время не переносятся.
- Вам не нужно предпринимать никаких действий администратора для миграции.
Определения
Параметры развертывания брандмауэра Azure делятся на следующие категории.
| Тип развертывания | Description |
|---|---|
| Зональная избыточность (ZR) | Брандмауэр развертывается в нескольких зонах доступности (два или более). |
| Зональный (однозонный) | Брандмауэр, развернутый в одной зоне (например, только зона 1). |
| Региональные (без зон) | Брандмауэр развернут ни в одной из зон. Платформа автоматически переносит эти брандмауэры в зональную избыточность. |
Некоторые регионы не поддерживают зоны доступности. В этих регионах брандмауэр Azure продолжает развертываться в качестве регионального ресурса.
Миграция существующих брандмауэров на новую платформу
Брандмауэр Azure активно переносит существующие брандмауэры, отличные от ZR, чтобы стать избыточными по зонам:
- Миграция является автоматической и прозрачной.
- Время простоя или действия администратора не требуется.
Общие сведения о свойствах зоны после миграции
После миграции:
- Для обратной совместимости состояние миграции (то есть обновленная конфигурация зоны) не сразу отображается в шаблонах ARM, JSON или Azure Resource Group (ARG).
- Брандмауэр остается зонально избыточным на серверной стороне.
- Инфраструктура платформы управляет избыточностью зоны независимо от свойств шаблона ARM.
Настройка зон доступности в брандмауэре Azure
Брандмауэр Azure можно настроить для использования зон доступности во время развертывания для повышения доступности и надежности. Используйте портал Azure, Azure PowerShell или другие методы развертывания, чтобы задать эту конфигурацию.
Использование портала Azure
- По умолчанию портал Azure не предоставляет возможность выбора определенных зон доступности при создании нового брандмауэра Azure. Брандмауэр Azure по умолчанию развертывается как избыточный по зонам, соответствуя требованиям избыточности зон.
Использование API
- Не указывайте зоны во время развертывания. Бэкенд автоматически настраивает брандмауэр как зонально избыточный по умолчанию.
- Если вы предоставляете определенные зоны во время развертывания через API, эти зоны учитываются.
Использование Azure PowerShell
Зоны доступности можно настроить с помощью Azure PowerShell. В следующем примере показано, как создать брандмауэр в зонах 1, 2 и 3.
При создании стандартного общедоступного IP-адреса без указания зоны он настроен как избыточный по зонам по умолчанию. Стандартные общедоступные IP-адреса могут быть связаны со всеми зонами или одной зоной.
Брандмауэр нельзя развернуть в одной зоне, пока его общедоступный IP-адрес находится в другой зоне. Однако можно развернуть брандмауэр в определенной зоне и связать его с общедоступным IP-адресом, избыточным по зонам, или развернуть брандмауэр и общедоступный IP-адрес в одной зоне для целей близкого взаимодействия.
$rgName = "Test-FW-RG"
$vnet = Get-AzVirtualNetwork `
-Name "Test-FW-VN" `
-ResourceGroupName $rgName
$pip1 = New-AzPublicIpAddress `
-Name "AzFwPublicIp1" `
-ResourceGroupName "Test-FW-RG" `
-Sku "Standard" `
-Location "eastus" `
-AllocationMethod Static `
-Zone 1,2,3
New-AzFirewall `
-Name "azFw" `
-ResourceGroupName $rgName `
-Location "eastus" `
-VirtualNetwork $vnet `
-PublicIpAddress @($pip1) `
-Zone 1,2,3
Ограничения
- Брандмауэр Azure с зонами доступности поддерживается только в регионах, которые предлагают зоны доступности.
- В регионах с зональными ограничениями из-за ограничений емкости развертывание зонально-избыточного брандмауэра не удается. В таких случаях брандмауэр можно развернуть в одной зоне или в доступных зонах, чтобы продолжить развертывание.
- Зональные ограничения описаны на странице известных проблем брандмауэра Azure .
Настроив зоны доступности, вы можете обеспечить более высокую доступность и обеспечить устойчивость инфраструктуры безопасности сети.
Соглашения об уровне обслуживания (SLA)
- При развертывании брандмауэра Azure с избыточностью зон (две или более зон доступности) вы получите соглашение об уровне доступности в 99.99%.
- Соглашение об уровне обслуживания от 99.95% применяется к региональным развертываниям в регионах без поддержки зон доступности.
Дополнительные сведения см. в соглашении об уровне обслуживания брандмауэра Azure (SLA) и функциях брандмауэра Azure по номеру SKU.