Tillförlitlighet i Azure Bastion
I den här artikeln beskrivs tillförlitlighetsstöd i Azure Bastion. Den omfattar intraregional återhämtning via tillgänglighetszoner. Den omfattar även distributioner i flera regioner.
Eftersom återhämtning är ett delat ansvar mellan dig och Microsoft, beskriver den här artikeln även sätt för dig att skapa en elastisk lösning som uppfyller dina behov.
Viktigt!
Zonredundansfunktioner för Azure Bastion-resurser är för närvarande i förhandsversion. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Azure Bastion är en fullständigt hanterad plattform som en tjänst (PaaS) som du etablerar för att tillhandahålla högsäkerhetsanslutningar till virtuella datorer via en privat IP-adress. Den ger sömlös RDP/SSH-anslutning till dina virtuella datorer direkt via TLS från Azure Portal eller via den interna SSH- eller RDP-klienten som redan är installerad på den lokala datorn. När du ansluter via Azure Bastion behöver dina virtuella datorer inte någon offentlig IP-adress, en agent eller särskild klientprogramvara.
Rekommendationer för produktionsdistribution
För produktionsdistributioner bör du aktivera zonredundans om dina Azure Bastion-resurser finns i en region som stöds.
Tillfälliga fel
Tillfälliga fel är korta, tillfälliga fel i komponenter. De förekommer ofta i en distribuerad miljö som molnet, och de är en normal del av åtgärderna. De korrigerar sig själva efter en kort tidsperiod. Det är viktigt att dina program hanterar tillfälliga fel, vanligtvis genom att försöka igen.
Alla molnbaserade program bör följa Azures tillfälliga vägledning för felhantering vid kommunikation med molnbaserade API:er, databaser och andra komponenter. Mer information om hur du hanterar tillfälliga fel finns i Rekommendationer för hantering av tillfälliga fel.
Om tillfälliga fel påverkar den virtuella datorn eller Azure Bastion-värden försöker klienter som använder protokollen secure sockets host (SSH) och Remote Desktop Protocol (RDP) vanligtvis om automatiskt.
Stöd för tillgänglighetszon
Tillgänglighetszoner är fysiskt separata grupper av datacenter i varje Azure-region. När en zon misslyckas kan tjänsterna redundansväxla till en av de återstående zonerna.
Mer information om tillgänglighetszoner i Azure finns i Vad är tillgänglighetszoner?.
Azure Bastion stöder tillgänglighetszoner i både zon- och zonredundanta konfigurationer:
Zonindelad: Du kan välja en enda tillgänglighetszon för en Azure Bastion-resurs.
Kommentar
Om du fäster i en enda zon ökar inte återhämtningsförmågan. För att förbättra motståndskraften måste du antingen använda en zonredundant konfiguration eller uttryckligen distribuera resurser till flera zoner.
Zonredundant: Aktivering av zonredundans för en Azure Bastion-resurs sprider dina instanser över flera tillgänglighetszoner. När du sprider resurser mellan tillgänglighetszoner kan du uppnå återhämtning och tillförlitlighet för dina produktionsarbetsbelastningar.
Följande diagram visar en zonredundant Azure Bastion-resurs med dess instanser spridda över tre zoner:
Kommentar
Om du anger fler tillgänglighetszoner än du har instanser sprider Azure Bastion instanser över så många zoner som möjligt. Om en tillgänglighetszon inte är tillgänglig ersätts instansen i den felaktiga zonen med en annan instans i en felfri zon.
Regioner som stöds
Zon- och zonredundanta Azure Bastion-resurser kan distribueras till följande regioner:
| Nord- och Sydamerika | Europa | Mellanöstern | Afrika | Asien och stillahavsområdet |
|---|---|---|---|---|
| Kanada, centrala | Europa, norra | Qatar, centrala | Sydafrika, norra | Australien, östra |
| Centrala USA | Sverige, centrala | Israel, centrala | Sydkorea, centrala | |
| USA, östra | Södra Storbritannien | |||
| USA, östra 2 | Västeuropa | |||
| Västra USA 2 | Norge, östra | |||
| Östra USA 2 EUAP | Italien, norra | |||
| Mexiko, centrala | Spanien, centrala |
Krav
Om du vill konfigurera Att Azure Bastion-resurser ska vara zon- eller zonredundanta måste du distribuera med SKU:erna Basic, Standard eller Premium.
Azure Bastion kräver en standard-SKU-zonredundant offentlig IP-adress.
Kostnad
Det finns ingen extra kostnad för att använda zonredundans för Azure Bastion.
Konfigurera stöd för tillgänglighetszoner
Nya resurser: När du distribuerar en ny Azure Bastion-resurs i en region som stöder tillgänglighetszoner väljer du de specifika zoner som du vill distribuera till. För zonredundans måste du välja flera zoner.
Viktigt!
Du kan inte ändra inställningen för tillgänglighetszoner när du har distribuerat din Azure Bastion-resurs.
När du väljer vilka tillgänglighetszoner som ska användas väljer du faktiskt den logiska tillgänglighetszonen. Om du distribuerar andra arbetsbelastningskomponenter i en annan Azure-prenumeration kan de använda ett annat logiskt tillgänglighetszonnummer för att få åtkomst till samma fysiska tillgänglighetszon. Mer information finns i Fysiska och logiska tillgänglighetszoner.
Migrering: Det går inte att ändra konfigurationen av tillgänglighetszonen för en befintlig Azure Bastion-resurs. I stället måste du skapa en Azure Bastion-resurs med den nya konfigurationen och ta bort den gamla.
Trafikroutning mellan zoner
När du initierar en SSH- eller RDP-session kan den dirigeras till en Azure Bastion-instans i någon av de tillgänglighetszoner som du har valt.
Om du konfigurerar zonredundans i Azure Bastion kan en session skickas till en Azure Bastion-instans i en tillgänglighetszon som skiljer sig från den virtuella dator som du ansluter till. I följande diagram skickas en begäran från användaren till en Azure Bastion-instans i zon 2, även om den virtuella datorn finns i zon 1:
I de flesta fall är den lilla mängden fördröjning mellan zoner inte betydande. Men om du har ovanligt stränga svarstider för dina Azure Bastion-arbetsbelastningar bör du distribuera en dedikerad Azure Bastion-instans med en zon i den virtuella datorns tillgänglighetszon. Den här konfigurationen ger inte zonredundans och vi rekommenderar det inte för de flesta kunder.
Zon-down-upplevelse
Identifiering och svar: När du använder zonredundans identifierar och svarar Azure Bastion på fel i en tillgänglighetszon. Du behöver inte göra något för att initiera en redundansväxling i tillgänglighetszonen.
Aktiva begäranden: När en tillgänglighetszon inte är tillgänglig avslutas eventuella RDP- eller SSH-anslutningar som använder en Azure Bastion-instans i den felaktiga tillgänglighetszonen och måste försökas igen.
Om den virtuella datorn som du ansluter till inte finns i den berörda tillgänglighetszonen fortsätter den virtuella datorn att vara tillgänglig. Mer information om vm-zonavsting finns i Tillförlitlighet på virtuella datorer: Zonavsting .
Omdistribution av trafik: När du använder zonredundans använder nya anslutningar Azure Bastion-instanser i de kvarvarande tillgänglighetszonerna. Sammantaget är Azure Bastion fortfarande i drift.
Återställning efter fel
När tillgänglighetszonen återställs, Azure Bastion:
- Återställer automatiskt instanser i tillgänglighetszonen.
- Tar bort alla tillfälliga instanser som skapats i de andra tillgänglighetszonerna.
- Omdirigerar trafik mellan dina instanser som vanligt.
Testa för zonfel
Azure Bastion-plattformen hanterar trafikroutning, redundans och återställning efter fel för zonredundanta Azure Bastion-resurser. Eftersom den här funktionen är helt hanterad behöver du inte initiera något eller verifiera felprocesser i tillgänglighetszonen.
Stöd för flera regioner
Azure Bastion distribueras i virtuella nätverk eller peer-kopplade virtuella nätverk och är associerat med en Azure-region. Azure Bastion är en tjänst för en region. Om regionen blir otillgänglig är din Azure Bastion-resurs inte heller tillgänglig.
Azure Bastion har stöd för att nå virtuella datorer i globalt peer-kopplade virtuella nätverk, men om den region som är värd för din Azure Bastion-resurs inte är tillgänglig kan du inte använda din Azure Bastion-resurs. Om du distribuerar din övergripande lösning till flera regioner med separata virtuella nätverk i varje region bör du distribuera Azure Bastion till varje region för högre återhämtning.
Om du har en plats för haveriberedskap i en annan Azure-region ska du distribuera Azure Bastion till det virtuella nätverket i den regionen.
Serviceavtal
Serviceavtalet (SLA) för Azure Bastion beskriver den förväntade tillgängligheten för tjänsten och de villkor som måste uppfyllas för att uppnå den tillgänglighetsförväntningen. För att förstå dessa villkor är det viktigt att du granskar serviceavtalet för onlinetjänster.