Compartir a través de


Confiabilidad en Azure Bastion

En este artículo se describe la compatibilidad con la confiabilidad en Azure Bastion. Abarca la resistencia intrarregional a través de zonas de disponibilidad. También trata las implementaciones en varias regiones.

Dado que la capacidad de recuperación es una responsabilidad compartida entre usted y Microsoft, este artículo también abarca las formas en que puede crear una solución resistente que satisfaga sus necesidades.

Importante

Las características de redundancia de zona para los recursos de Azure Bastion se encuentran actualmente en versión preliminar. Para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general, consulte los Términos de uso complementarios para las versiones preliminares de Microsoft Azure.

Azure Bastion es una plataforma como servicio (PaaS) totalmente administrada que se aprovisiona para proporcionar conexiones de alta seguridad a máquinas virtuales a través de una dirección IP privada. Proporciona una conectividad RDP/SSH ininterrumpida a las máquinas virtuales directamente sobre TLS desde Azure Portal o a través del cliente nativo SSH o RDP instalado en el equipo local. Cuando se conecta a través de Azure Bastion, las máquinas virtuales no necesitan una dirección IP pública, un agente ni software cliente especial.

Recomendaciones de implementación de producción

En el caso de las implementaciones de producción, debe habilitar la redundancia de zona si los recursos de Azure Bastion están en una región admitida.

Errores transitorios

Los errores transitorios son errores breves e intermitentes en los componentes. Se producen con frecuencia en un entorno distribuido como la nube y son una parte normal de las operaciones. Se corrigen después de un breve período de tiempo. Es importante que las aplicaciones controlen errores transitorios, normalmente mediante el reintento de solicitudes afectadas.

Todas las aplicaciones hospedadas en la nube deben seguir las instrucciones de control de errores transitorios de Azure al comunicarse con cualquier API, bases de datos y otros componentes hospedados en la nube. Para obtener más información sobre el control de errores transitorios, consulte Recomendaciones para el control de errores transitorios.

Si los errores transitorios afectan a la máquina virtual o al host de Azure Bastion, los clientes que usan el host de sockets seguros (SSH) y los protocolos del Protocolo de escritorio remoto (RDP) normalmente vuelven a intentarlo automáticamente.

Compatibilidad de zonas de disponibilidad

Las zonas de disponibilidad son grupos físicamente separados de centros de datos dentro de cada región de Azure. Cuando se produce un error en una zona, los servicios pueden conmutar por error a una de las zonas restantes.

Para más información sobre las zonas de disponibilidad en Azure, consulte ¿Qué son las zonas de disponibilidad?.

Azure Bastion admite zonas de disponibilidad en configuraciones zonales y con redundancia de zona:

  • Zonal: puede seleccionar una sola zona de disponibilidad para un recurso de Azure Bastion.

    Nota:

    El anclaje a una sola zona no aumenta la resistencia. Para mejorar la resistencia, debe usar una configuración con redundancia de zona o implementar explícitamente recursos en varias zonas.

  • Redundancia de zona: habilitación de la redundancia de zona para un recurso de Azure Bastion distribuye las instancias en varias zonas de disponibilidad. Al distribuir recursos entre zonas de disponibilidad, puede lograr resistencia y confiabilidad para las cargas de trabajo de producción.

    En el diagrama siguiente se muestra un recurso de Azure Bastion con redundancia de zona, con sus instancias distribuidas entre tres zonas:

    Diagrama que muestra Azure Bastion con tres instancias, cada una en una zona de disponibilidad independiente.

    Nota:

    Si especifica más zonas de disponibilidad que instancias tiene, Azure Bastion reparte las instancias entre tantas zonas como pueda. Si una zona de disponibilidad no está disponible, la instancia de la zona defectuosa se reemplaza por otra instancia en una zona correcta.

Regiones admitidas

Los recursos de Azure Bastion zonal y con redundancia de zona se pueden implementar en las siguientes regiones:

América Europa Oriente Medio África Asia Pacífico
Centro de Canadá Norte de Europa Centro de Catar Norte de Sudáfrica Este de Australia
Centro de EE. UU. Centro de Suecia Centro de Israel Centro de Corea del Sur
Este de EE. UU. Sur de Reino Unido
Este de EE. UU. 2 Oeste de Europa
Oeste de EE. UU. 2 Este de Noruega
EUAP de Este de EE. UU. 2 Norte de Italia
Centro de México Centro de España

Requisitos

  • Para configurar los recursos de Azure Bastion para que sean zonales o con redundancia de zona, debe implementar las SKU Básica, Estándar o Premium.

  • Azure Bastion requiere una dirección IP pública con redundancia de zona de SKU estándar.

Costos

No hay ningún coste adicional por usar la redundancia de zona para Azure Bastion.

Configuración de la compatibilidad con zonas de disponibilidad

Nuevos recursos: al implementar un nuevo recurso de Azure Bastion en una región compatible con zonas de disponibilidad, se seleccionan las zonas específicas en las que se quiere implementar. Para la redundancia de zona, debe seleccionar varias zonas.

Importante

No se puede cambiar la configuración de zona de disponibilidad después de implementar el recurso de Azure Bastion.

Cuando selecciona qué zonas de disponibilidad usar, en realidad está seleccionando la zona de disponibilidad lógica. Si implementa otros componentes de la carga de trabajo en una suscripción de Azure diferente, podrían usar un número de zona de disponibilidad lógica distinto para acceder a la misma zona de disponibilidad física. Para más información, consulte Zonas de disponibilidad físicas y lógicas.

Migración: no es posible cambiar la configuración de zona de disponibilidad de un recurso de Azure Bastion existente. En su lugar, debe crear un recurso de Azure Bastion con la nueva configuración y eliminar el anterior.

Enrutamiento de tráfico entre zonas

Al iniciar una sesión de SSH o RDP, puede enrutarse a una instancia de Azure Bastion en cualquiera de las zonas de disponibilidad que haya seleccionado.

Si configura la redundancia de zona en Azure Bastion, es posible que una sesión se envíe a una instancia de Azure Bastion en una zona de disponibilidad diferente de la máquina virtual a la que se conecta. En el siguiente diagrama, una solicitud del usuario se envía a una instancia de Azure Bastion en la zona 2, mientras que la máquina virtual se encuentra en la zona 1:

Diagrama que muestra Azure Bastion con tres instancias. Una solicitud de usuario se dirige a una instancia de Azure Bastion en la zona 2 y se envía a una máquina virtual en la zona 1.

En la mayoría de los escenarios, la pequeña cantidad de latencia entre zonas no es significativa. Sin embargo, si tiene requisitos de latencia inusualmente estrictos para sus cargas de trabajo de Azure Bastion, debería implementar una instancia de Azure Bastion dedicada de una sola zona en la zona de disponibilidad de la máquina virtual. Esta configuración no proporciona redundancia de zona y no la recomendamos para la mayoría de los clientes.

Experiencia de nivel de zona

Detección y respuesta: cuando se usa redundancia de zona, Azure Bastion detecta y responde a errores en una zona de disponibilidad. No necesita hacer nada para iniciar una conmutación por error de una zona de disponibilidad.

Solicitudes activas: cuando una zona de disponibilidad no está disponible, cualquier conexión de RDP o SSH en curso que use una instancia de Azure Bastion en la zona de disponibilidad defectuosa se cancela y es necesario volver a iniciarla.

Si la máquina virtual a la que se está conectando no se encuentra en la zona de disponibilidad afectada, la máquina virtual sigue siendo accesible. Consulte Confiabilidad en máquinas virtuales: experiencia de zona inactiva para obtener más información sobre la experiencia de zona inactiva en máquinas virtuales.

Redireccionamiento del tráfico: cuando se usa redundancia de zona, las nuevas conexiones usan instancias de Azure Bastion en las zonas de disponibilidad supervivientes. En general, Azure Bastion permanece operativo.

Conmutación por recuperación

Cuando se recupera la zona de disponibilidad, Azure Bastion:

  • Restaura automáticamente las instancias en la zona de disponibilidad.
  • Quita las instancias temporales creadas en las otras zonas de disponibilidad.
  • Redirecciona el tráfico entre sus instancias de forma normal.

Pruebas de errores de zona

La plataforma de Azure Bastion administra el enrutamiento del tráfico, la conmutación por error y la conmutación por recuperación de los recursos de Azure Bastion con redundancia de zona. Dado que esta característica está totalmente administrada, no es necesario iniciar nada ni validar los procesos de error de zona de disponibilidad.

Compatibilidad con varias regiones

Azure Bastion se implementa en redes virtuales o redes virtuales emparejadas y está asociado a una región de Azure. Azure Bastion es un servicio de una sola región. Si la región deja de estar disponible, el recurso de Azure Bastion tampoco está disponible.

Azure Bastion admite el acceso a máquinas virtuales en redes virtuales con pares globales, pero si la región que hospeda su recurso de Azure Bastion no está disponible, no podrá usar su recurso de Azure Bastion. Para una mayor capacidad de recuperación, si implementa su solución global en varias regiones con redes virtuales independientes en cada región, debería implementar Azure Bastion en cada una de ellas.

Si tiene un sitio de recuperación ante desastres en otra región de Azure, asegúrese de implementar Azure Bastion en la red virtual de esa región.

Acuerdo de nivel de servicio

El Acuerdo de Nivel de Servicio (SLA) para Azure Bastion describe la disponibilidad esperada del servicio y las condiciones que deben cumplirse para alcanzar esa expectativa de disponibilidad. Para entender esas condiciones, es importante que revise los SLA para Servicios en línea.