Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается поддержка надежности в Бастионе Azure. Она охватывает устойчивость внутри региона через зоны доступности. В нем также рассматриваются развертывания в нескольких регионах.
Так как устойчивость является общей ответственностью между вами и корпорацией Майкрософт, в этой статье также рассматриваются способы создания устойчивого решения, соответствующего вашим потребностям.
Внимание
Функции резервирования зоны для ресурсов Azure Bastion находятся на стадии предварительного просмотра. Дополнительные условия использования для предварительных версий Microsoft Azure содержат юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или иным образом еще не выпущены в общий доступ.
Бастион Azure — это полностью управляемая платформа как услуга (PaaS), которую вы подготавливаете для обеспечения высокобезопасных подключений к виртуальным машинам через частный IP-адрес. Он обеспечивает простое подключение RDP/SSH к виртуальным машинам непосредственно через TLS из портал Azure или через собственный клиент SSH или RDP, который уже установлен на локальном компьютере. При подключении через Бастион Azure виртуальные машины не нуждаются в общедоступном IP-адресе, агенте или специальном клиентском программном обеспечении.
Рекомендации по развертыванию в производственной среде
Для рабочих развертываний следует включить зональную избыточность, если ресурсы Azure Bastion находятся в поддерживаемом регионе.
Временные сбои
Временные ошибки являются короткими, периодическими сбоями в компонентах. Они часто происходят в распределенной среде, такой как облако, и обычно являются частью операционной деятельности. Они исправляют себя через короткий период времени. Важно, чтобы приложения обрабатывали временные ошибки, обычно повторяя затронутые запросы.
Все облачные приложения должны следовать рекомендациям по обработке временных ошибок Azure при взаимодействии с любыми облачными API, базами данных и другими компонентами. Чтобы узнать больше об обработке временных сбоев, см. рекомендации по обработке временных сбоев.
Если временные ошибки влияют на виртуальную машину или узел Бастиона Azure, клиенты, использующие протоколы SSH и протокол удаленного рабочего стола (RDP), обычно автоматически повторяют попытку.
Поддержка зоны доступности
Зоны доступности — это физически отдельные группы центров обработки данных в каждом регионе Azure. При сбое одной из зон службы могут переключаться на одну из оставшихся зон.
Дополнительные сведения о зонах доступности в Azure см. в статье "Что такое зоны доступности?"
Бастион Azure поддерживает зоны доступности в зональных и межзональных избыточных конфигурациях.
Зональность: Вы можете выбрать одну зону доступности для ресурса Azure Bastion.
Примечание.
Закрепление в одной зоне не повышает устойчивость. Чтобы повысить устойчивость, необходимо использовать зональную избыточную конфигурацию или явно развертывать ресурсы в нескольких зонах.
Избыточность между зонами. Включение избыточности между зонами для ресурса Бастиона Azure рассредоточивает экземпляры по нескольким зонам доступности. При распространении ресурсов между зонами доступности можно обеспечить устойчивость и надежность рабочих нагрузок в рабочей среде.
На следующей схеме показан отказоустойчивый ресурс Azure Bastion, экземпляры которого распределены по трем зонам.
Примечание.
Если указать больше зон доступности, чем у вас есть экземпляры, Бастион Azure распределяет экземпляры по как можно большему количеству зон, насколько это возможно. Если зона доступности недоступна, экземпляр в неисправной зоне заменяется другим экземпляром в работоспособной зоне.
Поддерживаемые регионы
Ресурсы Azure Bastion, которые могут быть зональными или с избыточностью зоны, можно развернуть в следующих регионах:
| Америки | Европа | Ближний Восток | Африка | Азиатско-Тихоокеанский регион |
|---|---|---|---|---|
| Центральная Канада | Северная Европа | Центральный Катар | Северная часть ЮАР | Восточная Австралия |
| Центральная часть США | Центральная Швеция | Израиль, центральный регион | Республика Корея, центральный регион | |
| Восточная часть США | южная часть Соединенного Королевства | |||
| Восточная часть США 2 | Западная Европа | |||
| западная часть США 2 | Восточная Норвегия; | |||
| Восток США 2 EUAP | Северная Италия | |||
| Центральная Мексика | Центральная Испания |
Требования
Чтобы настроить ресурсы Azure Bastion как зональные или с зональной избыточностью, необходимо развернуть с версиями SKU "Базовый", "Стандартный" или "Премиум".
Для Azure Bastion требуется зонально-избыточный общедоступный IP-адрес стандартного уровня.
Себестоимость
Использование избыточности зоны для Azure Bastion не требует дополнительных затрат.
Настройка поддержки зоны доступности
Новые ресурсы: При развертывании нового ресурса Бастиона Azure в регионе, поддерживающем зоны доступности, выберите конкретные зоны, в которые вы хотите развернуть. Для обеспечения отказоустойчивости зоны необходимо выбрать несколько зон.
Внимание
Вы не можете изменить параметр зоны доступности после развертывания ресурса Бастиона Azure.
При выборе используемых зон доступности вы фактически выбираете логическую зону доступности. При развертывании других компонентов рабочей нагрузки в другой подписке Azure они могут использовать другой номер логической зоны доступности для доступа к той же физической зоне доступности. Дополнительные сведения см. в разделе "Физические и логические зоны доступности".
Миграция: Невозможно изменить конфигурацию зоны доступности для существующего ресурса Azure Bastion. Вместо этого необходимо создать ресурс Бастиона Azure с новой конфигурацией и удалить старый.
Нормальная работа
В этом разделе описывается, что ожидать, когда ресурсы Бастиона Azure настроены для поддержки зон доступности и все зоны доступности работают.
Маршрутизация трафика между зонами: При запуске сеанса SSH или RDP его можно перенаправить в экземпляр Бастиона Azure в любой из выбранных зон доступности.
Если вы настраиваете избыточность зоны в Бастионе Azure, сеанс может быть отправлен в экземпляр Бастиона Azure в зоне доступности, отличающейся от той виртуальной машины, к которой вы подключаетесь. На следующей диаграмме запрос от пользователя отправляется к экземпляру Azure Bastion в зоне 2, хотя виртуальная машина находится в зоне 1.
В большинстве случаев небольшая задержка между зонами не является значительной. Однако, если для рабочих нагрузок Azure Bastion у вас есть нестандартно строгие требования к задержке, следует развернуть специальный однозональный экземпляр Azure Bastion в зоне доступности для виртуальной машины. Эта конфигурация не обеспечивает резервирование зоны, и мы не рекомендуем ее для большинства клиентов.
Уменьшение активности зоны
В этом разделе описывается, что ожидать, когда ресурс Бастиона Azure настроен для поддержки зоны доступности и возникает сбой зоны доступности.
Обнаружение и реагирование: При использовании избыточности зоны Бастион Azure обнаруживает и реагирует на сбои в зоне доступности. Вам не нужно ничего делать, чтобы инициировать переключение зоны доступности.
Активные запросы. Если зона доступности недоступна, любые подключения RDP или SSH, использующие экземпляр Бастиона Azure в неисправной зоне доступности, прерываются и должны быть повторно установлены.
Если виртуальная машина, к которой вы подключаетесь, не в затронутой зоне доступности, виртуальная машина продолжает быть доступна. Дополнительные сведения об отказах зоны в виртуальных машинах см. в статье «Надежность в виртуальных машинах: опыт при отказе зоны».
Перенаправка трафика. При использовании избыточности зоны новые подключения используют экземпляры Бастиона Azure в оставшихся зонах доступности. В целом Бастион Azure остается в эксплуатации.
Отказоустойчивое восстановление
Когда зона доступности восстанавливается, Azure Bastion:
- Автоматически восстанавливает экземпляры в зоне доступности.
- Удаляет все временные экземпляры, созданные в других зонах доступности.
- Перенаправляет трафик между вашими экземплярами в обычном режиме.
Тестирование зон на сбои
Платформа Azure Bastion управляет маршрутизацией трафика, переключением на резервные ресурсы и обратно для зонально-избыточных ресурсов Azure Bastion. Так как эта функция полностью управляема, вам не нужно инициировать какие-либо процессы сбоя зоны доступности или проверять их.
Поддержка нескольких регионов
Бастион Azure развертывается в виртуальных сетях или одноранговых виртуальных сетях и связан с регионом Azure. Бастион Azure — это служба, работающая в одном регионе. Если регион становится недоступным, ресурс Бастиона Azure также недоступен.
Поддержка Azure Bastion включает доступ к виртуальным машинам в глобально пиринговых виртуальных сетях, но если регион, в котором размещен ваш ресурс Azure Bastion, недоступен, то вы не сможете использовать его. Для повышения устойчивости при развертывании общего решения в нескольких регионах с отдельными виртуальными сетями в каждом регионе необходимо развернуть Бастион Azure в каждом регионе.
Если у вас есть сайт аварийного восстановления в другом регионе Azure, обязательно разверните Бастион Azure в виртуальной сети в этом регионе.
Соглашение об уровне обслуживания
Соглашение об уровне обслуживания (SLA) для Бастиона Azure описывает ожидаемую доступность службы и условия, которые должны быть выполнены для достижения этого ожидания доступности. Чтобы понять эти условия, важно ознакомиться с соглашением об уровне обслуживания для веб-служб.