Niezawodność w usłudze Azure Bastion
W tym artykule opisano obsługę niezawodności w usłudze Azure Bastion. Obejmuje ona odporność wewnątrz regionów za pośrednictwem stref dostępności. Obejmuje również wdrożenia w wielu regionach.
Ponieważ odporność jest wspólną odpowiedzialnością między Tobą a firmą Microsoft, w tym artykule opisano również sposoby tworzenia odpornego rozwiązania spełniającego Twoje potrzeby.
Ważne
Funkcje nadmiarowości strefy dla zasobów usługi Azure Bastion są obecnie dostępne w wersji zapoznawczej. Zapoznaj się z dodatkowymi warunkami użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które znajdują się w wersji beta, w wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Azure Bastion to w pełni zarządzana platforma jako usługa (PaaS), którą aprowizujesz w celu zapewnienia połączeń o wysokim poziomie zabezpieczeń z maszynami wirtualnymi za pośrednictwem prywatnego adresu IP. Zapewnia bezproblemową łączność RDP/SSH z maszynami wirtualnymi bezpośrednio za pośrednictwem protokołu TLS z witryny Azure Portal lub za pośrednictwem natywnego klienta SSH lub RDP, który jest już zainstalowany na komputerze lokalnym. Podczas nawiązywania połączenia za pośrednictwem usługi Azure Bastion maszyny wirtualne nie potrzebują publicznego adresu IP, agenta ani specjalnego oprogramowania klienckiego.
Zalecenia dotyczące wdrażania produkcyjnego
W przypadku wdrożeń produkcyjnych należy włączyć nadmiarowość strefy, jeśli zasoby usługi Azure Bastion znajdują się w obsługiwanym regionie.
Błędy przejściowe
Błędy przejściowe są krótkie, sporadyczne błędy w składnikach. Występują one często w środowisku rozproszonym, takich jak chmura, i są one normalną częścią operacji. Poprawiają się po krótkim czasie. Ważne jest, aby aplikacje obsługiwały błędy przejściowe, zwykle ponawiając próby żądań, których dotyczy problem.
Wszystkie aplikacje hostowane w chmurze powinny postępować zgodnie ze wskazówkami dotyczącymi obsługi błędów przejściowych platformy Azure podczas komunikowania się z dowolnymi interfejsami API hostowanymi w chmurze, bazami danych i innymi składnikami. Aby dowiedzieć się więcej na temat obsługi błędów przejściowych, zobacz Zalecenia dotyczące przekazywania błędów przejściowych.
Jeśli błędy przejściowe wpływają na maszynę wirtualną lub hosta usługi Azure Bastion, klienci korzystający z protokołów SSH (Secure Sockets Host) i Remote Desktop Protocol (RDP) zwykle ponawiają próbę automatycznie.
Obsługa strefy dostępności
Strefy dostępności są fizycznie oddzielnymi grupami centrów danych w każdym regionie świadczenia usługi Azure. Gdy jedna strefa ulegnie awarii, usługi mogą przejść w tryb failover do jednej z pozostałych stref.
Aby uzyskać więcej informacji na temat stref dostępności na platformie Azure, zobacz Co to są strefy dostępności?.
Usługa Azure Bastion obsługuje strefy dostępności zarówno w konfiguracjach strefowych, jak i strefowo nadmiarowych:
Strefowe: możesz wybrać pojedynczą strefę dostępności dla zasobu usługi Azure Bastion.
Uwaga
Przypinanie do jednej strefy nie zwiększa odporności. Aby zwiększyć odporność, należy użyć konfiguracji strefowo nadmiarowej lub jawnego wdrożenia zasobów w wielu strefach.
Strefowo nadmiarowe: włączenie nadmiarowości strefy dla zasobu usługi Azure Bastion rozdziela wystąpienia w wielu strefach dostępności. Po rozłożeniu zasobów w różnych strefach dostępności można osiągnąć odporność i niezawodność obciążeń produkcyjnych.
Na poniższym diagramie przedstawiono strefowo nadmiarowy zasób usługi Azure Bastion z wystąpieniami rozmieszczonymi w trzech strefach:
Uwaga
Jeśli określisz więcej stref dostępności niż wystąpienia, usługa Azure Bastion rozpowszechnia wystąpienia w dowolnej liczbie stref. Jeśli strefa dostępności jest niedostępna, wystąpienie w uszkodzonej strefie zostanie zastąpione innym wystąpieniem w strefie w dobrej kondycji.
Obsługiwane regiony
Zasoby strefowe i strefowo nadmiarowe usługi Azure Bastion można wdrożyć w następujących regionach:
Ameryka Północna i Południowa | Europa | Bliski Wschód | Afryka | Azja i Pacyfik |
---|---|---|---|---|
Kanada Środkowa | Europa Północna | Katar Środkowy | Północna Republika Południowej Afryki | Australia Wschodnia |
Środkowe stany USA | Szwecja Środkowa | Izrael Centralny | Korea Środkowa | |
Wschodnie stany USA | Południowe Zjednoczone Królestwo | |||
Wschodnie stany USA 2 | West Europe | |||
Zachodnie stany USA 2 | Norwegia Wschodnia | |||
Wschodnie stany USA 2 — EUAP | Włochy Północne | |||
Meksyk Środkowy | Hiszpania Środkowa |
Wymagania
Aby skonfigurować zasoby usługi Azure Bastion jako strefowe lub strefowo nadmiarowe, należy wdrożyć przy użyciu jednostek SKU w warstwie Podstawowa, Standardowa lub Premium.
Usługa Azure Bastion wymaga strefowo nadmiarowego publicznego adresu IP w warstwie Standardowa.
Koszt
Nie ma dodatkowych kosztów użycia nadmiarowości strefy dla usługi Azure Bastion.
Konfigurowanie obsługi strefy dostępności
Nowe zasoby: podczas wdrażania nowego zasobu usługi Azure Bastion w regionie obsługującym strefy dostępności należy wybrać określone strefy, do których chcesz wdrożyć. W przypadku nadmiarowości strefy należy wybrać wiele stref.
Ważne
Nie można zmienić ustawienia strefy dostępności po wdrożeniu zasobu usługi Azure Bastion.
Po wybraniu stref dostępności do użycia faktycznie wybierasz logiczną strefę dostępności. W przypadku wdrażania innych składników obciążenia w innej subskrypcji platformy Azure mogą one użyć innego logicznego numeru strefy dostępności, aby uzyskać dostęp do tej samej fizycznej strefy dostępności. Aby uzyskać więcej informacji, zobacz Strefy dostępności fizycznej i logicznej.
Migracja: nie można zmienić konfiguracji strefy dostępności istniejącego zasobu usługi Azure Bastion. Zamiast tego należy utworzyć zasób usługi Azure Bastion z nową konfiguracją i usunąć stary.
Routing ruchu między strefami
Po zainicjowaniu sesji SSH lub RDP można ją kierować do wystąpienia usługi Azure Bastion w dowolnej z wybranych stref dostępności.
W przypadku skonfigurowania nadmiarowości strefy w usłudze Azure Bastion sesja może zostać wysłana do wystąpienia usługi Azure Bastion w strefie dostępności innej niż maszyna wirtualna, z którą nawiązujesz połączenie. Na poniższym diagramie żądanie od użytkownika jest wysyłane do wystąpienia usługi Azure Bastion w strefie 2, chociaż maszyna wirtualna znajduje się w strefie 1:
W większości scenariuszy niewielkie opóźnienie między strefami nie jest znaczące. Jeśli jednak masz niezwykle rygorystyczne wymagania dotyczące opóźnień dla obciążeń usługi Azure Bastion, w strefie dostępności maszyny wirtualnej należy wdrożyć dedykowane wystąpienie usługi Azure Bastion z jedną strefą. Ta konfiguracja nie zapewnia nadmiarowości stref i nie zalecamy jej dla większości klientów.
Środowisko strefowe
Wykrywanie i reagowanie: w przypadku korzystania z nadmiarowości strefy usługa Azure Bastion wykrywa błędy w strefie dostępności i reaguje na nie. Nie musisz nic robić, aby zainicjować tryb failover strefy dostępności.
Aktywne żądania: jeśli strefa dostępności jest niedostępna, wszystkie połączenia RDP lub SSH w toku, które korzystają z wystąpienia usługi Azure Bastion w uszkodzonej strefie dostępności, są przerywane i muszą zostać ponowione.
Jeśli maszyna wirtualna, z którą nawiązujesz połączenie, nie znajduje się w strefie dostępności, której dotyczy problem, maszyna wirtualna będzie nadal dostępna. Zobacz Niezawodność maszyn wirtualnych: środowisko stref w dół, aby uzyskać więcej informacji na temat środowiska w dół strefy maszyny wirtualnej.
Przekierowywanie ruchu: w przypadku korzystania z nadmiarowości strefy nowe połączenia używają wystąpień usługi Azure Bastion w pozostałych strefach dostępności. Ogólnie rzecz biorąc, usługa Azure Bastion pozostaje operacyjna.
Powrót po awarii
Po odzyskaniu strefy dostępności usługa Azure Bastion:
- Automatycznie przywraca wystąpienia w strefie dostępności.
- Usuwa wszystkie wystąpienia tymczasowe utworzone w innych strefach dostępności.
- Przekierowuje ruch między wystąpieniami w zwykły sposób.
Testowanie pod kątem niepowodzeń strefy
Platforma Azure Bastion zarządza routingiem ruchu, trybem failover i powrotem po awarii dla strefowo nadmiarowych zasobów usługi Azure Bastion. Ponieważ ta funkcja jest w pełni zarządzana, nie trzeba inicjować żadnych procesów awarii strefy dostępności ani weryfikować ich poprawności.
Obsługa wielu regionów
Usługa Azure Bastion jest wdrażana w sieciach wirtualnych lub równorzędnych sieciach wirtualnych i jest skojarzona z regionem świadczenia usługi Azure. Azure Bastion to usługa jednoregionowa. Jeśli region stanie się niedostępny, zasób usługi Azure Bastion jest również niedostępny.
Usługa Azure Bastion obsługuje nawiązywanie połączenia z maszynami wirtualnymi w globalnie równorzędnych sieciach wirtualnych, ale jeśli region hostujący zasób usługi Azure Bastion jest niedostępny, nie będzie można użyć zasobu usługi Azure Bastion. Aby zapewnić większą odporność, w przypadku wdrożenia ogólnego rozwiązania w wielu regionach z oddzielnymi sieciami wirtualnymi w każdym regionie należy wdrożyć usługę Azure Bastion w każdym regionie.
Jeśli masz lokację odzyskiwania po awarii w innym regionie świadczenia usługi Azure, pamiętaj, aby wdrożyć usługę Azure Bastion w sieci wirtualnej w tym regionie.
Umowa dotycząca poziomu usług
Umowa dotycząca poziomu usług (SLA) dla usługi Azure Bastion opisuje oczekiwaną dostępność usługi i warunki, które muszą zostać spełnione, aby osiągnąć to oczekiwanie dotyczące dostępności. Aby zrozumieć te warunki, należy zapoznać się z umową SLA dotyczącą usług online.