Spolehlivost ve službě Azure Bastion
Tento článek popisuje podporu spolehlivosti ve službě Azure Bastion. Řeší odolnost uvnitř oblastí dostupnosti prostřednictvím zón dostupnosti. Zahrnuje také nasazení ve více oblastech.
Vzhledem k tomu, že odolnost je sdílenou odpovědností mezi vámi a Microsoftem, tento článek popisuje také způsoby, jak vytvořit odolné řešení, které vyhovuje vašim potřebám.
Důležité
Funkce redundance zón pro prostředky služby Azure Bastion jsou aktuálně ve verzi Preview. Další podmínky použití pro Microsoft Azure Preview najdete v právních podmínkách, které se vztahují na funkce Azure, které jsou v beta verzi, ve verzi Preview nebo ještě nejsou vydané v obecné dostupnosti.
Azure Bastion je plně spravovaná platforma jako služba (PaaS), kterou zřídíte, aby poskytovala vysoce zabezpečená připojení k virtuálním počítačům prostřednictvím privátní IP adresy. Poskytuje bezproblémové připojení RDP/SSH k virtuálním počítačům přímo přes protokol TLS z webu Azure Portal nebo přes nativního klienta SSH nebo RDP, který je už nainstalovaný na místním počítači. Když se připojíte přes Azure Bastion, vaše virtuální počítače nepotřebují veřejnou IP adresu, agenta ani speciální klientský software.
Doporučení pro produkční nasazení
V případě produkčních nasazení byste měli povolit redundanci zón, pokud jsou vaše prostředky služby Azure Bastion v podporované oblasti.
Přechodné chyby
Přechodné chyby jsou krátké, občasné selhání v komponentách. Často se vyskytují v distribuovaném prostředí, jako je cloud, a jsou normální součástí provozu. Opravili se po krátké době. Je důležité, aby vaše aplikace zpracovávaly přechodné chyby, obvykle opakováním ovlivněných požadavků.
Všechny aplikace hostované v cloudu by měly při komunikaci s libovolnými rozhraními API, databázemi a dalšími komponentami hostované v cloudu dodržovat pokyny pro zpracování přechodných chyb v Azure. Další informace o zpracování přechodných chyb najdete v tématu Doporučení pro předání přechodných chyb.
Pokud přechodné chyby ovlivňují váš virtuální počítač nebo hostitele služby Azure Bastion, klienti používající protokoly SSH (Secure Sockets Host) a RDP (Remote Desktop Protocol) se obvykle opakují automaticky.
Podpora zón dostupnosti
Zóny dostupnosti jsou fyzicky oddělené skupiny datacenter v rámci každé oblasti Azure. Když jedna zóna selže, můžou služby převzít služby při selhání jedné ze zbývajících zón.
Další informace o zónách dostupnosti v Azure najdete v tématu Co jsou zóny dostupnosti?.
Azure Bastion podporuje zóny dostupnosti v zónových i zónově redundantních konfiguracích:
Zónově: Pro prostředek Služby Azure Bastion můžete vybrat jednu zónu dostupnosti.
Poznámka:
Připnutí do jedné zóny nezvyšuje odolnost. Pokud chcete zlepšit odolnost, musíte buď použít zónově redundantní konfiguraci, nebo explicitně nasadit prostředky do více zón.
Zónově redundantní: Povolení redundance zóny pro prostředek Služby Azure Bastion rozloží vaše instance napříč několika zónami dostupnosti. Při rozložení prostředků mezi zóny dostupnosti můžete dosáhnout odolnosti a spolehlivosti pro produkční úlohy.
Následující diagram znázorňuje zónově redundantní prostředek Služby Azure Bastion s jeho instancemi rozloženými mezi tři zóny:
Poznámka:
Pokud zadáte více zón dostupnosti, než máte instance, Azure Bastion rozloží instance mezi tolik zón, kolik může. Pokud není zóna dostupnosti dostupná, nahradí se instance v vadné zóně jinou instancí v zóně, která je v pořádku.
Podporované oblasti
Zónově redundantní a zónově redundantní prostředky služby Azure Bastion je možné nasadit do následujících oblastí:
| Amerika | Evropě | Střední východ | Afrika | Asie a Tichomoří |
|---|---|---|---|---|
| Střední Kanada | Severní Evropa | Střední Katar | Jižní Afrika – sever | Austrálie – východ |
| USA – střed | Švédsko – střed | Izrael - střed | Jižní Korea – střed | |
| USA – východ | Velká Británie – jih | |||
| USA – východ 2 | Západní Evropa | |||
| Západní USA 2 | Norsko – východ | |||
| USA – východ 2 (EUAP) | Itálie - sever | |||
| Mexiko – střed | Španělsko – střed |
Požadavky
Pokud chcete nakonfigurovat prostředky Služby Azure Bastion tak, aby byly zónově redundantní, musíte je nasadit pomocí skladových položek Basic, Standard nebo Premium.
Azure Bastion vyžaduje zónově redundantní veřejnou IP adresu skladové položky Standard.
Náklady
Za použití redundance zón pro Azure Bastion nejsou žádné další náklady.
Konfigurace podpory zón dostupnosti
Nové prostředky: Když nasadíte nový prostředek Služby Azure Bastion v oblasti, která podporuje zóny dostupnosti, vyberete konkrétní zóny, do které chcete nasadit. V případě redundance zóny je nutné vybrat více zón.
Důležité
Po nasazení prostředku Azure Bastion nemůžete změnit nastavení zóny dostupnosti.
Když vyberete, které zóny dostupnosti se mají použít, ve skutečnosti vybíráte logickou zónu dostupnosti. Pokud nasadíte jiné součásti úloh v jiném předplatném Azure, můžou pro přístup ke stejné zóně fyzické dostupnosti použít jiné číslo logické zóny dostupnosti. Další informace najdete v tématu Fyzické a logické zóny dostupnosti.
Migrace: Konfiguraci zóny dostupnosti existujícího prostředku Azure Bastion není možné změnit. Místo toho musíte vytvořit prostředek služby Azure Bastion s novou konfigurací a odstranit starý prostředek.
Směrování provozu mezi zónami
Když zahájíte relaci SSH nebo RDP, můžete ji směrovat do instance služby Azure Bastion v libovolné z vybraných zón dostupnosti.
Pokud nakonfigurujete redundanci zón ve službě Azure Bastion, může se relace odeslat do instance služby Azure Bastion v zóně dostupnosti, která se liší od virtuálního počítače, ke kterému se připojujete. V následujícím diagramu se požadavek od uživatele odešle do instance služby Azure Bastion v zóně 2, i když je virtuální počítač v zóně 1:
Ve většině scénářů není malé množství latence napříč zónami významné. Pokud ale máte neobvykle přísné požadavky na latenci pro úlohy služby Azure Bastion, měli byste do zóny dostupnosti virtuálního počítače nasadit vyhrazenou instanci služby Azure Bastion s jednou zónou. Tato konfigurace neposkytuje redundanci zón a pro většinu zákazníků ji nedoporučujeme.
Prostředí pro zónu dolů
Detekce a odpověď: Když použijete redundanci zóny, Azure Bastion zjistí selhání v zóně dostupnosti a reaguje na ně. K zahájení převzetí služeb při selhání zóny dostupnosti nemusíte nic dělat.
Aktivní požadavky: Pokud je zóna dostupnosti nedostupná, ukončují se všechna probíhající připojení RDP nebo SSH, která používají instanci služby Azure Bastion v vadné zóně dostupnosti, a je potřeba je opakovat.
Pokud virtuální počítač, ke kterému se připojujete, není v ovlivněné zóně dostupnosti, bude virtuální počítač dál přístupný. Další informace o prostředí zóny virtuálních počítačů najdete v tématu Spolehlivost virtuálních počítačů: Prostředí pro zónu zóny zóny.
Přesměrování provozu: Když použijete redundanci zóny, nová připojení používají instance Služby Azure Bastion v zónách dostupnosti, které přežívají. Celkově azure Bastion zůstává funkční.
Navrácení služeb po obnovení
Když se zóna dostupnosti obnoví, Azure Bastion:
- Automaticky obnoví instance v zóně dostupnosti.
- Odebere všechny dočasné instance vytvořené v ostatních zónách dostupnosti.
- Směruje provoz mezi vašimi instancemi jako obvykle.
Testování selhání zón
Platforma Azure Bastion spravuje směrování provozu, převzetí služeb při selhání a navrácení služeb po obnovení pro zónově redundantní prostředky služby Azure Bastion. Vzhledem k tomu, že je tato funkce plně spravovaná, nemusíte zahajovat nic ani ověřovat procesy selhání zóny dostupnosti.
Podpora více oblastí
Azure Bastion je nasazený v rámci virtuálních sítí nebo partnerských virtuálních sítí a je přidružený k oblasti Azure. Azure Bastion je služba s jednou oblastí. Pokud se oblast stane nedostupnou, váš prostředek Služby Azure Bastion je také nedostupný.
Azure Bastion podporuje přístup k virtuálním počítačům v globálně partnerských virtuálních sítích, ale pokud oblast hostující váš prostředek Služby Azure Bastion není dostupná, nebudete moct použít prostředek služby Azure Bastion. Pokud chcete větší odolnost, nasadíte celkové řešení do více oblastí s samostatnými virtuálními sítěmi v každé oblasti, měli byste nasadit Službu Azure Bastion do každé oblasti.
Pokud máte lokalitu pro zotavení po havárii v jiné oblasti Azure, nezapomeňte nasadit Azure Bastion do virtuální sítě v této oblasti.
Smlouva o úrovni služeb
Smlouva o úrovni služeb (SLA) pro Azure Bastion popisuje očekávanou dostupnost služby a podmínky, které musí být splněny, aby bylo možné očekávat dostupnost. Abyste těmto podmínkám porozuměli, je důležité, abyste zkontrolovali smlouvu SLA pro online služby.