Udostępnij za pośrednictwem


Niezawodność w usłudze Azure Bastion

W tym artykule opisano obsługę niezawodności w usłudze Azure Bastion. Obejmuje ona odporność wewnątrz regionów za pośrednictwem stref dostępności. Obejmuje również wdrożenia w wielu regionach.

Ponieważ odporność jest wspólną odpowiedzialnością między Tobą a firmą Microsoft, w tym artykule opisano również sposoby tworzenia odpornego rozwiązania spełniającego Twoje potrzeby.

Ważne

Funkcje nadmiarowości strefy dla zasobów usługi Azure Bastion są obecnie dostępne w wersji zapoznawczej. Zapoznaj się z dodatkowymi warunkami użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które znajdują się w wersji beta, w wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Azure Bastion to w pełni zarządzana platforma jako usługa (PaaS), którą aprowizujesz w celu zapewnienia połączeń o wysokim poziomie zabezpieczeń z maszynami wirtualnymi za pośrednictwem prywatnego adresu IP. Zapewnia bezproblemową łączność RDP/SSH z maszynami wirtualnymi bezpośrednio za pośrednictwem protokołu TLS z witryny Azure Portal lub za pośrednictwem natywnego klienta SSH lub RDP, który jest już zainstalowany na komputerze lokalnym. Podczas nawiązywania połączenia za pośrednictwem usługi Azure Bastion maszyny wirtualne nie potrzebują publicznego adresu IP, agenta ani specjalnego oprogramowania klienckiego.

Zalecenia dotyczące wdrażania produkcyjnego

W przypadku wdrożeń produkcyjnych należy włączyć nadmiarowość strefy, jeśli zasoby usługi Azure Bastion znajdują się w obsługiwanym regionie.

Błędy przejściowe

Błędy przejściowe są krótkie, sporadyczne błędy w składnikach. Występują one często w środowisku rozproszonym, takich jak chmura, i są one normalną częścią operacji. Poprawiają się po krótkim czasie. Ważne jest, aby aplikacje obsługiwały błędy przejściowe, zwykle ponawiając próby żądań, których dotyczy problem.

Wszystkie aplikacje hostowane w chmurze powinny postępować zgodnie ze wskazówkami dotyczącymi obsługi błędów przejściowych platformy Azure podczas komunikowania się z dowolnymi interfejsami API hostowanymi w chmurze, bazami danych i innymi składnikami. Aby dowiedzieć się więcej na temat obsługi błędów przejściowych, zobacz Zalecenia dotyczące przekazywania błędów przejściowych.

Jeśli błędy przejściowe wpływają na maszynę wirtualną lub hosta usługi Azure Bastion, klienci korzystający z protokołów SSH (Secure Sockets Host) i Remote Desktop Protocol (RDP) zwykle ponawiają próbę automatycznie.

Obsługa strefy dostępności

Strefy dostępności są fizycznie oddzielnymi grupami centrów danych w każdym regionie świadczenia usługi Azure. Gdy jedna strefa ulegnie awarii, usługi mogą przejść w tryb failover do jednej z pozostałych stref.

Aby uzyskać więcej informacji na temat stref dostępności na platformie Azure, zobacz Co to są strefy dostępności?.

Usługa Azure Bastion obsługuje strefy dostępności zarówno w konfiguracjach strefowych, jak i strefowo nadmiarowych:

  • Strefowe: możesz wybrać pojedynczą strefę dostępności dla zasobu usługi Azure Bastion.

    Uwaga

    Przypinanie do jednej strefy nie zwiększa odporności. Aby zwiększyć odporność, należy użyć konfiguracji strefowo nadmiarowej lub jawnego wdrożenia zasobów w wielu strefach.

  • Strefowo nadmiarowe: włączenie nadmiarowości strefy dla zasobu usługi Azure Bastion rozdziela wystąpienia w wielu strefach dostępności. Po rozłożeniu zasobów w różnych strefach dostępności można osiągnąć odporność i niezawodność obciążeń produkcyjnych.

    Na poniższym diagramie przedstawiono strefowo nadmiarowy zasób usługi Azure Bastion z wystąpieniami rozmieszczonymi w trzech strefach:

    Diagram przedstawiający usługę Azure Bastion z trzema wystąpieniami, z których każda jest w oddzielnej strefie dostępności.

    Uwaga

    Jeśli określisz więcej stref dostępności niż wystąpienia, usługa Azure Bastion rozpowszechnia wystąpienia w dowolnej liczbie stref. Jeśli strefa dostępności jest niedostępna, wystąpienie w uszkodzonej strefie zostanie zastąpione innym wystąpieniem w strefie w dobrej kondycji.

Obsługiwane regiony

Zasoby strefowe i strefowo nadmiarowe usługi Azure Bastion można wdrożyć w następujących regionach:

Ameryka Północna i Południowa Europa Bliski Wschód Afryka Azja i Pacyfik
Kanada Środkowa Europa Północna Katar Środkowy Północna Republika Południowej Afryki Australia Wschodnia
Środkowe stany USA Szwecja Środkowa Izrael Centralny Korea Środkowa
Wschodnie stany USA Południowe Zjednoczone Królestwo
Wschodnie stany USA 2 West Europe
Zachodnie stany USA 2 Norwegia Wschodnia
Wschodnie stany USA 2 — EUAP Włochy Północne
Meksyk Środkowy Hiszpania Środkowa

Wymagania

  • Aby skonfigurować zasoby usługi Azure Bastion jako strefowe lub strefowo nadmiarowe, należy wdrożyć przy użyciu jednostek SKU w warstwie Podstawowa, Standardowa lub Premium.

  • Usługa Azure Bastion wymaga strefowo nadmiarowego publicznego adresu IP w warstwie Standardowa.

Koszt

Nie ma dodatkowych kosztów użycia nadmiarowości strefy dla usługi Azure Bastion.

Konfigurowanie obsługi strefy dostępności

Nowe zasoby: podczas wdrażania nowego zasobu usługi Azure Bastion w regionie obsługującym strefy dostępności należy wybrać określone strefy, do których chcesz wdrożyć. W przypadku nadmiarowości strefy należy wybrać wiele stref.

Ważne

Nie można zmienić ustawienia strefy dostępności po wdrożeniu zasobu usługi Azure Bastion.

Po wybraniu stref dostępności do użycia faktycznie wybierasz logiczną strefę dostępności. W przypadku wdrażania innych składników obciążenia w innej subskrypcji platformy Azure mogą one użyć innego logicznego numeru strefy dostępności, aby uzyskać dostęp do tej samej fizycznej strefy dostępności. Aby uzyskać więcej informacji, zobacz Strefy dostępności fizycznej i logicznej.

Migracja: nie można zmienić konfiguracji strefy dostępności istniejącego zasobu usługi Azure Bastion. Zamiast tego należy utworzyć zasób usługi Azure Bastion z nową konfiguracją i usunąć stary.

Routing ruchu między strefami

Po zainicjowaniu sesji SSH lub RDP można ją kierować do wystąpienia usługi Azure Bastion w dowolnej z wybranych stref dostępności.

W przypadku skonfigurowania nadmiarowości strefy w usłudze Azure Bastion sesja może zostać wysłana do wystąpienia usługi Azure Bastion w strefie dostępności innej niż maszyna wirtualna, z którą nawiązujesz połączenie. Na poniższym diagramie żądanie od użytkownika jest wysyłane do wystąpienia usługi Azure Bastion w strefie 2, chociaż maszyna wirtualna znajduje się w strefie 1:

Diagram przedstawiający usługę Azure Bastion z trzema wystąpieniami. Żądanie użytkownika przechodzi do wystąpienia usługi Azure Bastion w strefie 2 i jest wysyłane do maszyny wirtualnej w strefie 1.

W większości scenariuszy niewielkie opóźnienie między strefami nie jest znaczące. Jeśli jednak masz niezwykle rygorystyczne wymagania dotyczące opóźnień dla obciążeń usługi Azure Bastion, w strefie dostępności maszyny wirtualnej należy wdrożyć dedykowane wystąpienie usługi Azure Bastion z jedną strefą. Ta konfiguracja nie zapewnia nadmiarowości stref i nie zalecamy jej dla większości klientów.

Środowisko strefowe

Wykrywanie i reagowanie: w przypadku korzystania z nadmiarowości strefy usługa Azure Bastion wykrywa błędy w strefie dostępności i reaguje na nie. Nie musisz nic robić, aby zainicjować tryb failover strefy dostępności.

Aktywne żądania: jeśli strefa dostępności jest niedostępna, wszystkie połączenia RDP lub SSH w toku, które korzystają z wystąpienia usługi Azure Bastion w uszkodzonej strefie dostępności, są przerywane i muszą zostać ponowione.

Jeśli maszyna wirtualna, z którą nawiązujesz połączenie, nie znajduje się w strefie dostępności, której dotyczy problem, maszyna wirtualna będzie nadal dostępna. Zobacz Niezawodność maszyn wirtualnych: środowisko stref w dół, aby uzyskać więcej informacji na temat środowiska w dół strefy maszyny wirtualnej.

Przekierowywanie ruchu: w przypadku korzystania z nadmiarowości strefy nowe połączenia używają wystąpień usługi Azure Bastion w pozostałych strefach dostępności. Ogólnie rzecz biorąc, usługa Azure Bastion pozostaje operacyjna.

Powrót po awarii

Po odzyskaniu strefy dostępności usługa Azure Bastion:

  • Automatycznie przywraca wystąpienia w strefie dostępności.
  • Usuwa wszystkie wystąpienia tymczasowe utworzone w innych strefach dostępności.
  • Przekierowuje ruch między wystąpieniami w zwykły sposób.

Testowanie pod kątem niepowodzeń strefy

Platforma Azure Bastion zarządza routingiem ruchu, trybem failover i powrotem po awarii dla strefowo nadmiarowych zasobów usługi Azure Bastion. Ponieważ ta funkcja jest w pełni zarządzana, nie trzeba inicjować żadnych procesów awarii strefy dostępności ani weryfikować ich poprawności.

Obsługa wielu regionów

Usługa Azure Bastion jest wdrażana w sieciach wirtualnych lub równorzędnych sieciach wirtualnych i jest skojarzona z regionem świadczenia usługi Azure. Azure Bastion to usługa jednoregionowa. Jeśli region stanie się niedostępny, zasób usługi Azure Bastion jest również niedostępny.

Usługa Azure Bastion obsługuje nawiązywanie połączenia z maszynami wirtualnymi w globalnie równorzędnych sieciach wirtualnych, ale jeśli region hostujący zasób usługi Azure Bastion jest niedostępny, nie będzie można użyć zasobu usługi Azure Bastion. Aby zapewnić większą odporność, w przypadku wdrożenia ogólnego rozwiązania w wielu regionach z oddzielnymi sieciami wirtualnymi w każdym regionie należy wdrożyć usługę Azure Bastion w każdym regionie.

Jeśli masz lokację odzyskiwania po awarii w innym regionie świadczenia usługi Azure, pamiętaj, aby wdrożyć usługę Azure Bastion w sieci wirtualnej w tym regionie.

Umowa dotycząca poziomu usług

Umowa dotycząca poziomu usług (SLA) dla usługi Azure Bastion opisuje oczekiwaną dostępność usługi i warunki, które muszą zostać spełnione, aby osiągnąć to oczekiwanie dotyczące dostępności. Aby zrozumieć te warunki, należy zapoznać się z umową SLA dotyczącą usług online.