Spolehlivost ve službě Azure Health Data Services pro deidentifikaci (Preview)
Tento článek popisuje podporu spolehlivosti ve službě pro deidentifikací (Preview). Podrobnější přehled principů spolehlivosti v Azure najdete v tématu Spolehlivost Azure.
Zotavení po havárii mezi oblastmi
Zotavení po havárii (DR) se týká zotavení z událostí s vysokým dopadem, jako jsou přírodní katastrofy nebo neúspěšná nasazení, která vedou k výpadkům a ztrátě dat. Bez ohledu na příčinu je nejlepším řešením havárie dobře definovaný a otestovaný plán zotavení po havárii a návrh aplikace, který aktivně podporuje zotavení po havárii. Než začnete přemýšlet o vytvoření plánu zotavení po havárii, přečtěte si doporučení pro návrh strategie zotavení po havárii.
Pokud jde o zotavení po havárii, Microsoft používá model sdílené odpovědnosti. V modelu sdílené odpovědnosti Microsoft zajišťuje, aby byly dostupné základní služby infrastruktury a platformy. Současně mnoho služeb Azure automaticky nereplikuje data nebo se vrátí z oblasti, která selhala, aby se křížově replikovala do jiné povolené oblasti. Za tyto služby zodpovídáte za nastavení plánu zotavení po havárii, který funguje pro vaši úlohu. Většina služeb, které běží na nabídkách PaaS (Platforma jako služba) Azure, poskytuje funkce a pokyny pro podporu zotavení po havárii a pomocí funkcí specifických pro služby můžete podporovat rychlé obnovení , které vám pomůže s vývojem plánu zotavení po havárii.
Každá deidentifikovaná služba (Preview) se nasadí do jedné oblasti Azure. Pokud není dostupná celá oblast nebo je výkon výrazně snížený:
- Funkce řídicí roviny ARM je během výpadku omezená na jen pro čtení. Metadata služby (například vlastnosti prostředků) se vždy zálohují mimo oblast microsoftem. Jakmile výpadek skončí, můžete číst a zapisovat do řídicí roviny.
- Všechny požadavky roviny dat selžou během výpadku, jako jsou požadavky rozhraní API pro zrušení identifikace nebo úlohy. Neztratí se žádná zákaznická data, ale může dojít ke ztrátě metadat průběhu úloh. Po výpadku můžete číst a zapisovat do roviny dat.
Kurz zotavení po havárii
Pokud není dostupná celá oblast Azure, můžete zajistit vysokou dostupnost vašich úloh. V konfiguraci aktivní-aktivní můžete nasadit dvě nebo více deidentifikací se službou Azure Front Door, která slouží ke směrování provozu do obou oblastí.
S touto ukázkovou architekturou:
- Identické deidentické služby se nasazují ve dvou samostatných oblastech.
- Azure Front Door se používá ke směrování provozu do obou oblastí.
- Během havárie se jedna oblast stane offline a Azure Front Door směruje provoz výhradně do druhé oblasti. Cíl doby obnovení během takového geografického převzetí služeb při selhání je omezený na dobu, kterou azure Front Door trvá, než zjistí, že jedna služba není v pořádku.
RTO a RPO
Pokud přijmete konfiguraci aktivní-aktivní, měli byste očekávat plánovanou dobu obnovení (RTO) 5 minut. V jakékoli konfiguraci byste měli očekávat cíl bodu obnovení (RPO) 0 minut (neztratí se žádná zákaznická data).
Ověření plánu zotavení po havárii
Požadavky
Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet Azure před tím, než začnete.
Pro absolvování tohoto kurzu potřebujete:
Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Rychlý start pro Bash v Azure Cloud Shellu.
Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.
Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.
Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.
Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.
Vytvoření skupiny zdrojů
Pro účely tohoto kurzu potřebujete dvě instance deidentifikací služby (Preview) v různých oblastech Azure. Kurz používá oblasti USA – východ a USA – západ 2, ale můžete si vybrat vlastní oblasti.
Pro zjednodušení správy a čištění použijete jednu skupinu prostředků pro všechny prostředky v tomto kurzu. Zvažte použití samostatných skupin prostředků pro každou oblast nebo prostředek k další izolaci prostředků v situaci zotavení po havárii.
Spuštěním následujícího příkazu vytvořte skupinu prostředků.
az group create --name my-deid --location eastus
Vytvoření deidentifikací služeb (Preview)
Postupujte podle kroků v rychlém startu: Nasaďte deidentifikací služby (Preview) a vytvořte dvě samostatné služby, jednu v oblasti USA – východ a jednu v oblasti USA – západ 2.
Poznamenejte si adresu URL služby každé deidentifikované služby, abyste při nasazení služby Azure Front Door v dalším kroku mohli definovat back-endové adresy.
Vytvoření služby Azure Front Door
Nasazení ve více oblastech může používat konfiguraci aktivní-aktivní nebo aktivní-pasivní. Konfigurace aktivní-aktivní distribuuje požadavky napříč několika aktivními oblastmi. Konfigurace aktivní-pasivní udržuje spuštěné instance v sekundární oblasti, ale neodesílá provoz tam, pokud primární oblast selže. Azure Front Door má integrovanou funkci, která umožňuje povolit tyto konfigurace. Další informace o navrhování aplikací pro zajištění vysoké dostupnosti a odolnosti proti chybám najdete v tématu Návrh aplikací Azure pro zajištění odolnosti a dostupnosti.
Vytvoření profilu služby Azure Front Door
Teď vytvoříte Azure Front Door Premium pro směrování provozu do vašich služeb.
Spuštěním az afd profile create vytvořte profil služby Azure Front Door.
Poznámka:
Pokud chcete nasadit Azure Front Door Standard místo úrovně Premium, nahraďte hodnotu parametru --sku Standard_AzureFrontDoor. Pokud zvolíte úroveň Standard, nemůžete nasadit spravovaná pravidla se zásadami WAF. Podrobné porovnání cenových úrovní najdete v porovnání úrovní služby Azure Front Door.
az afd profile create --profile-name myfrontdoorprofile --resource-group my-deid --sku Premium_AzureFrontDoor
| Parametr | Hodnota | Popis |
|---|---|---|
profile-name |
myfrontdoorprofile |
Název profilu služby Azure Front Door, který je jedinečný v rámci skupiny prostředků. |
resource-group |
my-deid |
Skupina prostředků, která obsahuje prostředky z tohoto kurzu. |
sku |
Premium_AzureFrontDoor |
Cenová úroveň profilu služby Azure Front Door. |
Přidání koncového bodu služby Azure Front Door
Spuštěním příkazu az afd endpoint create vytvořte koncový bod v profilu služby Azure Front Door. Tento koncový bod směruje požadavky na vaše služby. Po dokončení této příručky můžete ve svém profilu vytvořit více koncových bodů.
az afd endpoint create --resource-group my-deid --endpoint-name myendpoint --profile-name myfrontdoorprofile --enabled-state Enabled
| Parametr | Hodnota | Popis |
|---|---|---|
endpoint-name |
myendpoint |
Název koncového bodu pod profilem, který je jedinečný globálně. |
enabled-state |
Enabled |
Jestli chcete povolit tento koncový bod. |
Vytvoření skupiny původu služby Azure Front Door
Spuštěním příkazu az afd origin-group create vytvořte skupinu původu, která obsahuje vaše dvě deidentifikací.
az afd origin-group create --resource-group my-deid --origin-group-name myorigingroup --profile-name myfrontdoorprofile --probe-request-type GET --probe-protocol Https --probe-interval-in-seconds 60 --probe-path /health --sample-size 1 --successful-samples-required 1 --additional-latency-in-milliseconds 50 --enable-health-probe
| Parametr | Hodnota | Popis |
|---|---|---|
origin-group-name |
myorigingroup |
Název skupiny původu. |
probe-request-type |
GET |
Typ požadavku sondy stavu, který je proveden. |
probe-protocol |
Https |
Protokol, který se má použít pro sondu stavu. |
probe-interval-in-seconds |
60 |
Počet sekund mezi sondami stavu. |
probe-path |
/health |
Cesta vzhledem k počátku, která se používá k určení stavu původu. |
sample-size |
1 |
Počet vzorků, které je potřeba zvážit při rozhodování o vyrovnávání zatížení. |
successful-samples-required |
1 |
Počet vzorků v období vzorku, které musí proběhnout úspěšně. |
additional-latency-in-milliseconds |
50 |
Další latence v milisekundách pro sondy, které spadají do kontejneru s nejnižší latencí. |
enable-health-probe |
Přepnutím můžete řídit stav sondy stavu. |
Přidání původu do skupiny původu služby Azure Front Door
Spuštěním přidáte az afd origin create zdroj do skupiny původu. --host-name U parametrů nahraďte --origin-host-header zástupnou hodnotu <service-url-east-us> adresou URL služby USA – východ a vynechejte schéma (https://). Měli byste mít hodnotu jako abcdefghijk.api.eastus.deid.azure.com.
az afd origin create --resource-group my-deid --host-name <service-url-east-us> --profile-name myfrontdoorprofile --origin-group-name myorigingroup --origin-name deid1 --origin-host-header <service-url-east-us> --priority 1 --weight 1000 --enabled-state Enabled --https-port 443
| Parametr | Hodnota | Popis |
|---|---|---|
host-name |
<service-url-east-us> |
Název hostitele primární deidentifikace. |
origin-name |
deid1 |
Název původu. |
origin-host-header |
<service-url-east-us> |
Hlavička hostitele, která se má odesílat pro požadavky do tohoto původu. |
priority |
1 |
Nastavením tohoto parametru na hodnotu 1 směrujte veškerý provoz do primární deidentifikací služby. |
weight |
1000 |
Váha původu v dané skupině původu pro vyrovnávání zatížení. Musí být v rozmezí 1 až 1000. |
enabled-state |
Enabled |
Zda chcete povolit tento původ. |
https-port |
443 |
Port používaný pro požadavky HTTPS na původ. |
Tento krok opakujte a přidejte druhý zdroj. --host-name Pro parametry nahraďte --origin-host-header zástupnou hodnotu <service-url-west-us-2> adresou URL služby USA – západ 2 a toto schémahttps:// ().
az afd origin create --resource-group my-deid --host-name <service-url-west-us-2> --profile-name myfrontdoorprofile --origin-group-name myorigingroup --origin-name deid2 --origin-host-header <service-url-west-us-2> --priority 1 --weight 1000 --enabled-state Enabled --https-port 443
Věnujte pozornost --priority parametrům v obou příkazech. Vzhledem k tomu, že oba zdroje jsou nastaveny na prioritu 1, azure Front Door považuje původ za aktivní a směruje provoz do obou oblastí. Pokud je priorita jednoho zdroje nastavená na 2, Služba Azure Front Door tento původ považuje za sekundární a směruje veškerý provoz do druhého zdroje, pokud nedojde k výpadku.
Přidání trasy služby Azure Front Door
Spuštěním az afd route create namapujte koncový bod na skupinu původu. Tato trasa předává požadavky z koncového bodu do vaší původní skupiny.
az afd route create --resource-group my-deid --profile-name myfrontdoorprofile --endpoint-name myendpoint --forwarding-protocol MatchRequest --route-name route --origin-group myorigingroup --supported-protocols Https --link-to-default-domain Enabled
| Parametr | Hodnota | Popis |
|---|---|---|
endpoint-name |
myendpoint |
Název koncového bodu |
forwarding-protocol |
MatchRequest | Toto pravidlo se používá při předávání provozu do back-endů. |
route-name |
route |
Název trasy. |
supported-protocols |
Https |
Seznam podporovaných protokolů pro tuto trasu |
link-to-default-domain |
Enabled |
Určuje, jestli je tato trasa propojená s výchozí doménou koncového bodu. |
Počkejte přibližně 15 minut, než se tento krok dokončí, protože trvá nějakou dobu, než se tato změna globálně rozšíří. Po uplynutí této doby je vaše služba Azure Front Door plně funkční.
Testování služby Front Door
Při vytváření profilu Azure Front Door Standard/Premium trvá několik minut, než se konfigurace nasadí globálně. Po dokončení můžete přistupovat k hostiteli front-endu, který jste vytvořili.
Spuštěním získejte az afd endpoint show název hostitele koncového bodu služby Front Door. Měl by vypadat nějak takto: abddefg.azurefd.net
az afd endpoint show --resource-group my-deid --profile-name myfrontdoorprofile --endpoint-name myendpoint --query "hostName"
V prohlížeči přejděte na název hostitele koncového bodu, který vrátil předchozí příkaz: <endpoint>.azurefd.net/health. Vaše žádost by se měla automaticky směrovat do primární deidentifikací v oblasti USA – východ.
Testování okamžitého globálního převzetí služeb při selhání:
Otevřete prohlížeč a přejděte na název hostitele koncového bodu:
<endpoint>.azurefd.net/health.Postupujte podle kroků v části Konfigurace privátního přístupu a zakažte přístup k veřejné síti pro službu de-identification v oblasti USA – východ.
Aktualizujte si stránku v prohlížeči. Měla by se zobrazit stejná informační stránka, protože provoz je teď směrován na službu deidentifikací v oblasti USA – západ 2.
Tip
Možná budete muset stránku několikrát aktualizovat, aby se převzetí služeb při selhání dokončilo.
Nyní zakažte přístup k veřejné síti pro deidentifikací služby v oblasti USA – západ 2.
Aktualizujte si stránku v prohlížeči. Tentokrát by se měla zobrazit chybová zpráva.
Znovu povolte přístup k veřejné síti pro jednu z deidentifikací služeb. Aktualizujte prohlížeč a znovu by se měl zobrazit stav.
Ověřili jste, že ke službám můžete přistupovat přes Azure Front Door a že převzetí služeb při selhání funguje podle očekávání. Pokud jste dokončili testování převzetí služeb při selhání, povolte přístup k veřejné síti na druhé službě.
Vyčištění prostředků
V předchozích krocích jste vytvořili prostředky Azure ve skupině prostředků. Pokud v budoucnu tyto prostředky nepotřebujete, odstraňte skupinu prostředků spuštěním následujícího příkazu:
az group delete --name my-deid
Dokončení tohoto příkazu může trvat několik minut.
Zahájení obnovení
Pokud chcete zkontrolovat stav obnovení vaší služby, můžete odesílat žádosti na <service-url>/healthadresu .