Betrouwbaarheid in de Azure Health Data Services-service voor de identificatie van gegevens (preview)
In dit artikel wordt ondersteuning voor betrouwbaarheid in de service voor de identificatie (preview) beschreven. Zie Azure-betrouwbaarheid voor een gedetailleerder overzicht van betrouwbaarheidsprincipes in Azure.
Herstel na noodgevallen tussen regio's
Herstel na noodgevallen (DR) gaat over het herstellen van gebeurtenissen met een hoge impact, zoals natuurrampen of mislukte implementaties die downtime en gegevensverlies tot gevolg hebben. Ongeacht de oorzaak is de beste oplossing voor een noodgeval een goed gedefinieerd en getest DR-plan en een toepassingsontwerp dat actief dr ondersteunt. Zie aanbevelingen voor het ontwerpen van een strategie voor herstel na noodgevallen voordat u begint na te denken over het maken van uw plan voor herstel na noodgevallen.
Als het gaat om herstel na noodgevallen, gebruikt Microsoft het model voor gedeelde verantwoordelijkheid. In een model voor gedeelde verantwoordelijkheid zorgt Microsoft ervoor dat de basisinfrastructuur en platformservices beschikbaar zijn. Tegelijkertijd repliceren veel Azure-services niet automatisch gegevens of vallen ze terug van een mislukte regio om kruislings te repliceren naar een andere ingeschakelde regio. Voor deze services bent u verantwoordelijk voor het instellen van een plan voor herstel na noodgevallen dat geschikt is voor uw workload. De meeste services die worden uitgevoerd op PaaS-aanbiedingen (Platform as a Service) van Azure bieden functies en richtlijnen ter ondersteuning van herstel na noodgeval en u kunt servicespecifieke functies gebruiken om snel herstel te ondersteunen om uw DR-plan te ontwikkelen.
Elke service voor de identificatie (preview) wordt geïmplementeerd in één Azure-regio. Als een hele regio niet beschikbaar is of de prestaties aanzienlijk afnemen:
- De functionaliteit van het ARM-besturingsvlak is beperkt tot alleen-lezen tijdens de storing. Er wordt altijd een back-up gemaakt van uw servicemetagegevens (zoals resource-eigenschappen) buiten de regio door Microsoft. Zodra de storing voorbij is, kunt u lezen en schrijven naar het besturingsvlak.
- Alle aanvragen van het gegevensvlak mislukken tijdens de storing, zoals de identificatie of taak-API-aanvragen. Er gaan geen klantgegevens verloren, maar er kunnen metagegevens van taakvoortgang verloren gaan. Zodra de storing voorbij is, kunt u lezen en schrijven naar het gegevensvlak.
Zelfstudie voor herstel na noodgevallen
Als een hele Azure-regio niet beschikbaar is, kunt u nog steeds hoge beschikbaarheid van uw workloads garanderen. U kunt twee of meer deidentificatieservices implementeren in een actief-actief-configuratie, waarbij Azure Front Door wordt gebruikt om verkeer naar beide regio's te routeren.
Met deze voorbeeldarchitectuur:
- Identieke de-identificatieservices worden geïmplementeerd in twee afzonderlijke regio's.
- Azure Front Door wordt gebruikt om verkeer naar beide regio's te routeren.
- Tijdens een noodgeval wordt één regio offline en routeert Azure Front Door verkeer uitsluitend naar de andere regio. De beoogde hersteltijd tijdens een dergelijke geo-failover is beperkt tot de tijd die Azure Front Door nodig heeft om te detecteren dat één service niet in orde is.
Beoogde hersteltijd en beoogd herstelpunt
Als u de actief-actief-configuratie gebruikt, moet u een beoogde hersteltijd (RTO) van 5 minuten verwachten. In elke configuratie moet u een RPO (Recovery Point Objective) van 0 minuten verwachten (er gaan geen klantgegevens verloren).
Plan voor herstel na noodgevallen valideren
Vereisten
Als u geen Azure-abonnement hebt, kunt u een gratis Azure-account maken voordat u begint.
Vereisten om deze zelfstudie te voltooien:
Gebruik de Bash-omgeving in Azure Cloud Shell. Zie quickstart voor Bash in Azure Cloud Shell voor meer informatie.
Installeer de Azure CLI, indien gewenst, om CLI-referentieopdrachten uit te voeren. Als u in Windows of macOS werkt, kunt u Azure CLI uitvoeren in een Docker-container. Zie De Azure CLI uitvoeren in een Docker-container voor meer informatie.
Als u een lokale installatie gebruikt, meldt u zich aan bij Azure CLI met behulp van de opdracht az login. Volg de stappen die worden weergegeven in de terminal, om het verificatieproces te voltooien. Raadpleeg Aanmelden bij Azure CLI voor aanvullende aanmeldingsopties.
Installeer de Azure CLI-extensie bij het eerste gebruik, wanneer u hierom wordt gevraagd. Raadpleeg Extensies gebruiken met Azure CLI voor meer informatie over extensies.
Voer az version uit om de geïnstalleerde versie en afhankelijke bibliotheken te vinden. Voer az upgrade uit om te upgraden naar de nieuwste versie.
Een brongroep maken
Voor deze zelfstudie hebt u twee exemplaren van een service voor de identificatie (preview) in verschillende Azure-regio's nodig. In de zelfstudie worden de regio's VS - oost en VS - west 2 gebruikt, maar u kunt uw eigen regio's kiezen.
Als u het beheer en het opschonen eenvoudiger wilt maken, gebruikt u één resourcegroep voor alle resources in deze zelfstudie. Overweeg om afzonderlijke resourcegroepen te gebruiken voor elke regio/resource om uw resources verder te isoleren in een noodherstelsituatie.
Voer de volgende opdracht uit om uw resourcegroep te maken.
az group create --name my-deid --location eastus
Services voor de identificatie maken (preview)
Volg de stappen in quickstart: Implementeer de service voor de identificatie (preview) om twee afzonderlijke services te maken, één in VS - oost en één in VS - west 2.
Noteer de service-URL van elke service voor de identificatie, zodat u de back-endadressen kunt definiëren wanneer u Azure Front Door in de volgende stap implementeert.
Een Azure Front Door maken
Een implementatie met meerdere regio's kan een actief-actief- of actief-passiefconfiguratie gebruiken. Een actief-actief-configuratie distribueert aanvragen over meerdere actieve regio's. Met een actief-passieve configuratie worden exemplaren in de secundaire regio uitgevoerd, maar wordt er geen verkeer verzonden, tenzij de primaire regio uitvalt. Azure Front Door heeft een ingebouwde functie waarmee u deze configuraties kunt inschakelen. Zie Azure-toepassingen ontwerpen voor tolerantie en beschikbaarheid voor meer informatie over het ontwerpen van apps voor hoge beschikbaarheid en fouttolerantie.
Een Azure Front Door-profiel maken
U maakt nu een Azure Front Door Premium om verkeer naar uw services te routeren.
Voer deze opdracht az afd profile create uit om een Azure Front Door-profiel te maken.
Notitie
Als u Azure Front Door Standard wilt implementeren in plaats van Premium, vervangt u de waarde van de --sku parameter door Standard_AzureFrontDoor. U kunt beheerde regels niet implementeren met WAF-beleid als u de Standard-laag kiest. Zie de vergelijking van de Azure Front Door-laag voor een gedetailleerde vergelijking van de prijscategorieën.
az afd profile create --profile-name myfrontdoorprofile --resource-group my-deid --sku Premium_AzureFrontDoor
| Parameter | Weergegeven als | Beschrijving |
|---|---|---|
profile-name |
myfrontdoorprofile |
Naam voor het Azure Front Door-profiel, dat uniek is binnen de resourcegroep. |
resource-group |
my-deid |
De resourcegroep die de resources uit deze zelfstudie bevat. |
sku |
Premium_AzureFrontDoor |
De prijscategorie van het Azure Front Door-profiel. |
Een Azure Front Door-eindpunt toevoegen
Voer az afd endpoint create deze opdracht uit om een eindpunt te maken in uw Azure Front Door-profiel. Met dit eindpunt worden aanvragen naar uw services gerouteerd. Nadat u deze handleiding hebt voltooid, kunt u meerdere eindpunten in uw profiel maken.
az afd endpoint create --resource-group my-deid --endpoint-name myendpoint --profile-name myfrontdoorprofile --enabled-state Enabled
| Parameter | Weergegeven als | Beschrijving |
|---|---|---|
endpoint-name |
myendpoint |
De naam van het eindpunt onder het profiel, dat wereldwijd uniek is. |
enabled-state |
Enabled |
Of u dit eindpunt wilt inschakelen. |
Een Azure Front Door-origingroep maken
Voer az afd origin-group create deze opdracht uit om een origin-groep te maken die uw twee deidentificatieservices bevat.
az afd origin-group create --resource-group my-deid --origin-group-name myorigingroup --profile-name myfrontdoorprofile --probe-request-type GET --probe-protocol Https --probe-interval-in-seconds 60 --probe-path /health --sample-size 1 --successful-samples-required 1 --additional-latency-in-milliseconds 50 --enable-health-probe
| Parameter | Weergegeven als | Beschrijving |
|---|---|---|
origin-group-name |
myorigingroup |
Naam van de oorspronkelijke groep. |
probe-request-type |
GET |
Het type statustestaanvraag dat wordt gedaan. |
probe-protocol |
Https |
Protocol dat moet worden gebruikt voor statustest. |
probe-interval-in-seconds |
60 |
Het aantal seconden tussen statustests. |
probe-path |
/health |
Het pad ten opzichte van de oorsprong die wordt gebruikt om de status van de oorsprong te bepalen. |
sample-size |
1 |
Het aantal steekproeven dat moet worden overwogen voor taakverdelingsbeslissingen. |
successful-samples-required |
1 |
Het aantal steekproeven binnen de steekproefperiode die moet slagen. |
additional-latency-in-milliseconds |
50 |
De extra latentie in milliseconden voor tests die in de laagste latentiebucket vallen. |
enable-health-probe |
Schakel over om de status van de statustest te beheren. |
Origins toevoegen aan de Oorsprongsgroep van Azure Front Door
Voer az afd origin create deze opdracht uit om een origin toe te voegen aan uw oorspronkelijke groep. Voor de --host-name en --origin-host-header parameters vervangt u de tijdelijke aanduidingswaarde <service-url-east-us> door de URL van de SERVICE US - oost, waarbij u het schema (https://) weglaat. U moet een waarde hebben zoals abcdefghijk.api.eastus.deid.azure.com.
az afd origin create --resource-group my-deid --host-name <service-url-east-us> --profile-name myfrontdoorprofile --origin-group-name myorigingroup --origin-name deid1 --origin-host-header <service-url-east-us> --priority 1 --weight 1000 --enabled-state Enabled --https-port 443
| Parameter | Weergegeven als | Beschrijving |
|---|---|---|
host-name |
<service-url-east-us> |
De hostnaam van de primaire de-identificatieservice. |
origin-name |
deid1 |
Naam van de oorsprong. |
origin-host-header |
<service-url-east-us> |
De hostheader die moet worden verzonden voor aanvragen naar deze oorsprong. |
priority |
1 |
Stel deze parameter in op 1 om al het verkeer naar de primaire ontidentificatieservice te leiden. |
weight |
1000 |
Gewicht van de oorsprong in de opgegeven oorsprongsgroep voor taakverdeling. Moet tussen 1 en 1000 zijn. |
enabled-state |
Enabled |
Of u deze oorsprong wilt inschakelen. |
https-port |
443 |
De poort die wordt gebruikt voor HTTPS-aanvragen naar de oorsprong. |
Herhaal deze stap om uw tweede oorsprong toe te voegen. Voor de --host-name en --origin-host-header parameters vervangt u de tijdelijke aanduidingswaarde <service-url-west-us-2> door de SERVICE-URL US - west 2, waarbij u het schema (https://) weglaat.
az afd origin create --resource-group my-deid --host-name <service-url-west-us-2> --profile-name myfrontdoorprofile --origin-group-name myorigingroup --origin-name deid2 --origin-host-header <service-url-west-us-2> --priority 1 --weight 1000 --enabled-state Enabled --https-port 443
Let op de --priority parameters in beide opdrachten. Omdat beide oorsprongen zijn ingesteld op prioriteit 1, behandelt Azure Front Door beide oorsprongen als actief en leidend verkeer naar beide regio's. Als de prioriteit voor één oorsprong is ingesteld 2op, behandelt Azure Front Door die oorsprong als secundair en stuurt al het verkeer naar de andere oorsprong, tenzij deze uitvalt.
Een Azure Front Door-route toevoegen
Voer uit az afd route create om uw eindpunt toe te wijzen aan de oorspronkelijke groep. Met deze route worden aanvragen van het eindpunt doorgestuurd naar uw oorspronkelijke groep.
az afd route create --resource-group my-deid --profile-name myfrontdoorprofile --endpoint-name myendpoint --forwarding-protocol MatchRequest --route-name route --origin-group myorigingroup --supported-protocols Https --link-to-default-domain Enabled
| Parameter | Weergegeven als | Beschrijving |
|---|---|---|
endpoint-name |
myendpoint |
Naam van het eindpunt. |
forwarding-protocol |
MatchRequest | Protocol dat door deze regel wordt gebruikt bij het doorsturen van verkeer naar back-ends. |
route-name |
route |
Naam van de route. |
supported-protocols |
Https |
Lijst met ondersteunde protocollen voor deze route. |
link-to-default-domain |
Enabled |
Of deze route is gekoppeld aan het standaardeindpuntdomein. |
Wacht ongeveer 15 minuten voordat deze stap is voltooid, omdat het enige tijd duurt voordat deze wijziging wereldwijd wordt doorgegeven. Na deze periode is uw Azure Front Door volledig functioneel.
De Front Door testen
Wanneer u het Azure Front Door Standard-/Premium-profiel maakt, duurt het enkele minuten voordat de configuratie wereldwijd is geïmplementeerd. Zodra dit is voltooid, hebt u toegang tot de front-endhost die u hebt gemaakt.
Voer deze opdracht uit az afd endpoint show om de hostnaam van het Front Door-eindpunt op te halen. Het moet er als volgt uitzien abddefg.azurefd.net
az afd endpoint show --resource-group my-deid --profile-name myfrontdoorprofile --endpoint-name myendpoint --query "hostName"
Ga in een browser naar de hostnaam van het eindpunt die de vorige opdracht heeft geretourneerd: <endpoint>.azurefd.net/health. Uw aanvraag wordt automatisch doorgestuurd naar de primaire de-identificatieservice in VS - oost.
Ga als volgende te werk om een directe globale failover te testen:
Open een browser en ga naar de hostnaam van het eindpunt:
<endpoint>.azurefd.net/health.Volg de stappen in Privétoegang configureren om openbare netwerktoegang voor de ontidentificatieservice in VS - oost uit te schakelen.
Vernieuw de browser. U ziet dezelfde informatiepagina omdat verkeer nu wordt omgeleid naar de service voor de identificatie in VS - west 2.
Tip
Mogelijk moet u de pagina een paar keer vernieuwen om de failover te voltooien.
Schakel nu openbare netwerktoegang uit voor de ontidentificatieservice in VS - west 2.
Vernieuw de browser. Als het goed is, ziet u nu een foutbericht.
Schakel openbare netwerktoegang opnieuw in voor een van de ontidentificatieservices. Vernieuw uw browser en u ziet de status opnieuw.
U hebt nu gevalideerd dat u toegang hebt tot uw services via Azure Front Door en die failover functioneert zoals bedoeld. Schakel openbare netwerktoegang in voor de andere service als u klaar bent met failovertests.
Resources opschonen
In de voorgaande stappen hebt u Azure-resources in een resourcegroep gemaakt. Als u denkt dat u deze resources niet meer gaat gebruiken, verwijdert u de resourcegroep door de volgende opdracht uit te voeren:
az group delete --name my-deid
Het kan enkele minuten duren voordat deze opdracht is voltooid.
Herstel initiëren
Als u de herstelstatus van uw service wilt controleren, kunt u aanvragen verzenden naar <service-url>/health.