Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается поддержка надежности в виртуальной сети Azure, охватывающая устойчивость внутри региона через зоны доступности и развертывания в нескольких регионах.
Надежность — это общая ответственность между вами и корпорацией Майкрософт. Это руководство позволяет определить, какие варианты надежности соответствуют конкретным бизнес-целям и целям простоя.
Виртуальная сеть — это логическое представление сети в облаке. Вы можете использовать виртуальную сеть для определения собственного частного сетевого пространства IP-адресов и для разделения сети на подсети. Виртуальные сети служат границей доверия для размещения вычислительных ресурсов, таких как виртуальные машины Azure и подсистемы балансировки нагрузки. Виртуальная сеть позволяет обеспечить прямую частную IP-связь между размещёнными на ней ресурсами. Чтобы включить гибридные облачные сценарии и безопасно расширить центр обработки данных в Azure, можно связать виртуальную сеть с локальной сетью через VPN-шлюз Azure или Azure ExpressRoute.
Рекомендации по развертыванию в производственной среде
При создании виртуальной сети в Azure важно повысить надежность решения, учитывая следующие универсальные принципы проектирования:
Избегайте перекрывающихся адресных пространств. Убедитесь, что адресное пространство виртуальной сети, определенное как блок без класса Inter-Domain маршрутизации (CIDR), не перекрывается с другими диапазонами сети вашей организации.
Резервировать адресное пространство для будущего роста. Подсети не должны охватывать все адресное пространство виртуальной сети. Подготовьтесь заранее и зарезервируйте некоторое адресное пространство на будущее.
Консолидация сетей. Чтобы сократить затраты на управление, используйте несколько крупных виртуальных сетей вместо нескольких небольших виртуальных сетей.
Защита сетей. Обезопасьте ваши виртуальные сети, назначая группы безопасности сети (NSG) подсетям.
Дополнительные сведения о разработке виртуальной сети Azure с учетом принципов надежности см. в рекомендациях по архитектуре для виртуальной сети.
Обзор архитектуры надежности
Виртуальная сеть является одним из нескольких основных компонентов сети в Azure. При создании виртуальной сети создается набор ресурсов, которые совместно определяют конфигурацию сети. Эти ресурсы включают следующие сетевые компоненты:
Группы безопасности сети (NSGs) и группы безопасности приложений, которые ограничивают взаимодействие между частями вашей сети.
Определяемые пользователем маршруты, которые управляют потоком трафика
Подсистемы балансировки нагрузки, которые распределяют трафик в сети
Общедоступные IP-адреса, обеспечивающие подключение к Интернету и из Интернета
Карты сетевого интерфейса, обеспечивающие сетевое подключение к виртуальным машинам Azure
Частные конечные точки, обеспечивающие частное подключение к службам Azure и ресурсам за пределами виртуальной сети.
Вы также можете развернуть устройства, такие как шлюзы ExpressRoute, VPN-шлюзы и брандмауэры. Устройства предоставляют службы для поддержки требований к сети, таких как подключение к локальным средам или предоставление сложных элементов управления потоком трафика.
Наконец, вы развертываете собственные компоненты, такие как виртуальные машины, которые выполняют приложения или базы данных, а также другие службы Azure, обеспечивающие интеграцию виртуальной сети.
Это важно
В этом руководстве рассматриваются виртуальные сети Azure, которые являются только одним компонентом в сетевой архитектуре.
С точки зрения надежности важно учитывать каждый компонент в решении по отдельности и как они работают вместе. Многие основные сетевые службы Azure обеспечивают высокую устойчивость по умолчанию. Однако может потребоваться рассмотреть, как другие сетевые устройства, виртуальные машины и другие компоненты могут поддерживать ваши потребности в надежности. Дополнительные сведения о том, как службы поддерживают надежность, см. в руководствах по надежности служб Azure.
Дополнительные сведения о сетях в Azure см. в разделе "Архитектура сети".
Временные сбои
Временные ошибки являются короткими, периодическими сбоями в компонентах. Они часто происходят в распределенной среде, такой как облачная платформа, и являются обычной частью операций. Временные ошибки исправляют себя через короткий период времени. Важно, чтобы приложения обрабатывали временные ошибки, обычно повторяя затронутые запросы.
Все облачные приложения должны следовать рекомендациям по обработке временных ошибок Azure при обмене данными с любыми размещенными в облаке API, базами данных и другими компонентами. Дополнительные сведения см. в Рекомендациях по обработке временных сбоев.
Временные ошибки обычно не влияют на виртуальные сети. Однако временные ошибки могут повлиять на ресурсы, развернутые в виртуальной сети. Ознакомьтесь с руководством по надежности для каждого ресурса , используемого для понимания их временных действий по обработке ошибок.
Поддержка зоны доступности
Зоны доступности — это физически отдельные группы центров обработки данных в каждом регионе Azure. При сбое одной зоны службы могут переключиться на одну из оставшихся зон.
Виртуальная сеть и ее подсети охватывают все зоны доступности в регионе, где он развернут. Вам не нужно настраивать ничего, чтобы включить эту поддержку.
Для размещения зональных ресурсов не нужно разделять виртуальные сети или подсети по зонам доступности. Например, если вы настроите зональную виртуальную машину, вам не нужно учитывать виртуальную сеть при выборе зоны доступности для виртуальной машины. Это касается и других зональных ресурсов.
Поддержка регионов
Зонально-избыточные виртуальные сети можно развернуть в любом регионе, поддерживающем зоны доступности.
Себестоимость
Дополнительная плата за избыточность зон для виртуальных сетей Azure не взимается.
Настройка поддержки зоны доступности
Избыточность зоны настраивается автоматически при развертывании виртуальной сети в регионе, поддерживающем зоны доступности.
Опыт понижения зоны
Виртуальные сети Azure предназначены для обеспечения устойчивости к сбоям зоны. Когда зона становится недоступной, виртуальная сеть автоматически перенаправляет запросы виртуальной сети в остальные зоны. Этот процесс является простым и не требует никаких действий от вас.
Однако все ресурсы в виртуальной сети необходимо учитывать по отдельности, так как каждый ресурс может иметь другой набор поведения во время потери зоны доступности. Ознакомьтесь с руководством по надежности для каждого ресурса, чтобы понять, как поддерживается зона доступности и как ведет себя ресурс, если зона недоступна.
Возврат к исходному состоянию
При восстановлении зоны Microsoft инициирует процесс возврата на начальное размещение, чтобы убедиться, что виртуальные сети продолжают работать в зоне после восстановления. Процесс возврата к предыдущему состоянию выполняется автоматически и не требует никаких действий от вас.
Однако следует проверить поведение возврата к прежнему состоянию всех ресурсов, развернутых в виртуальной сети. Дополнительные сведения см. в руководстве по надежности для каждого ресурса.
Тестирование зон на сбои
Платформа виртуальной сети управляет маршрутизацией трафика, резервированием на случай отказа и восстановлением после отказа для виртуальных сетей в зонах доступности. Так как эта функция полностью управляется, вам не нужно проверять процессы сбоя зоны доступности.
Поддержка нескольких регионов
Виртуальная сеть — это служба, доступная в одном регионе. Если регион становится недоступным, виртуальная сеть также недоступна.
Альтернативные подходы с несколькими регионами
Виртуальные сети можно создавать в нескольких регионах. Вы также можете подключить эти сети, связав их вместе.
Создавая виртуальные сети и другие ресурсы в нескольких регионах, вы можете быть устойчивыми к региональным сбоям. Однако необходимо учитывать следующие факторы:
Маршрутизация трафика: Если вы размещаете службы, подключенные к Интернету, в виртуальной сети необходимо решить, как маршрутизировать входящий трафик между регионами и компонентами. С помощью таких служб, как диспетчер трафика Azure и Azure Front Door, можно маршрутизировать интернет-трафик на основе указанных правил.
Отказоустойчивость: Если регион Azure недоступен, обычно необходимо переключить обработку трафика на работоспособные регионы. Диспетчер трафика и Azure Front Door предоставляют возможности резервирования для интернет-приложений.
Управление: Каждая виртуальная сеть является отдельным ресурсом и должна быть настроена и управляться независимо от других виртуальных сетей.
Пространство IP-адресов: Определите, как выделить IP-адреса при создании нескольких виртуальных сетей. Вы можете создать несколько виртуальных сетей с помощью одного пространства частных IP-адресов в разных регионах. Однако вы не можете подключить или соединить две виртуальные сети с одинаковым адресным пространством к вашей локальной сети, так как это приводит к проблемам маршрутизации. Если вы планируете создать проект с несколькими сетями, планирование IP-адресов является важным фактором.
Для работы виртуальных сетей не требуется много ресурсов. Вы можете вызвать API Azure, чтобы создать виртуальную сеть с одинаковым адресным пространством в другом регионе. Однако для повторного создания аналогичной среды, существующей в затронутом регионе, необходимо повторно развернуть виртуальные машины и другие ресурсы. Если у вас есть локальное подключение, например в гибридном развертывании, необходимо развернуть новый экземпляр VPN-шлюза и подключиться к локальной сети.
Дополнительные сведения об архитектуре сети с несколькими регионами для веб-приложений см. в разделе "Балансировка нагрузки в нескольких регионах" с помощью диспетчера трафика, брандмауэра Azure и шлюза приложений Azure.
Резервные копии
Виртуальные сети Azure не хранят данные, требующие резервного копирования. Однако вы можете использовать Bicep, шаблоны Azure Resource Manager или Terraform для создания моментального снимка конфигурации виртуальной сети, если необходимо повторно создать ее. Дополнительные сведения см. в статье "Создание виртуальной сети Azure".
Соглашение об уровне обслуживания
Из-за характера предоставленной службы не существует определенного соглашения об уровне обслуживания для виртуальной сети.