Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Firewall ist ein verwalteter, cloudbasierter Netzwerksicherheitsdienst, der Azure Virtual Network-Ressourcen schützt. Es ist eine vollständig zustandsbehaftete Firewalldienst mit integrierter Hochverfügbarkeit und uneingeschränkter Cloudskalierbarkeit.
Wenn Sie Azure verwenden, ist Zuverlässigkeit eine gemeinsame Verantwortung. Microsoft bietet eine Reihe von Funktionen zur Unterstützung von Resilienz und Wiederherstellung. Sie sind dafür verantwortlich, zu verstehen, wie diese Funktionen in allen von Ihnen verwendeten Diensten funktionieren, und die Funktionen auswählen, die Sie benötigen, um Ihre Geschäftsziele und Uptime-Ziele zu erfüllen.
In diesem Artikel wird beschrieben, wie Sie die Azure-Firewall für eine Vielzahl potenzieller Ausfälle und Probleme widerstandsfähig machen, einschließlich vorübergehender Fehler, Ausfall der Verfügbarkeitszone und Regionsausfälle. Darüber hinaus werden die Resilienz während der Wartung des Diensts beschrieben und einige wichtige Informationen zum Servicelevelvertrag (Firewall Service Level Agreement, SLA) erläutert.
Bereitstellungsempfehlungen für die Produktion
Informationen dazu, wie Sie Azure Firewall bereitstellen, um die Zuverlässigkeitsanforderungen Ihrer Lösung zu erfüllen, und wie sich die Zuverlässigkeit auf andere Aspekte Ihrer Architektur auswirkt, finden Sie unter Bewährte Methoden für die Architektur von Azure Firewall im Azure Well-Architected Framework.
Übersicht über die Zuverlässigkeitsarchitektur
Eine Instanz bezieht sich auf eine Einheit auf VM-Ebene der Firewall. Jede Instanz stellt die Infrastruktur dar, die Datenverkehr verarbeitet und Firewallprüfungen durchführt.
Um Hochverfügbarkeit einer Firewall zu erreichen, stellt Azure Firewall automatisch mindestens zwei Instanzen bereit, ohne dass Sie eingreifen oder Konfigurationsschritte ausführen müssen. Die Firewall wird automatisch aufskaliert, wenn der durchschnittliche Durchsatz, der CPU-Verbrauch und die Verbindungsnutzung vordefinierte Schwellenwerte erreichen. Weitere Informationen finden Sie unter Azure Firewall-Leistung. Die Plattform verwaltet automatisch die Instanzerstellung, Systemüberwachung und den Austausch von fehlerhaften Instanzen.
Um Schutz vor Server- und Serverrackfehlern zu bieten, verteilt Azure Firewall Instanzen automatisch auf mehrere Fehlerdomänen innerhalb einer Region.
Das folgende Diagramm zeigt eine Firewall mit zwei Instanzen:
Um Redundanz und Verfügbarkeit während Rechenzentrumsfehlern zu erhöhen, können Sie Zonenredundanz aktivieren, um Instanzen auf mehrere Verfügbarkeitszonen zu verteilen.
Resilienz für vorübergehende Fehler
Vorübergehende Fehler sind kurze, zeitweilige Fehler in Komponenten. Sie treten häufig in einer verteilten Umgebung wie der Cloud auf und sind ein normaler Bestandteil von Vorgängen. Vorübergehende Fehler korrigieren sich nach kurzer Zeit. Es ist wichtig, dass Ihre Anwendungen vorübergehende Fehler behandeln können, in der Regel durch Wiederholen betroffener Anforderungen.
Alle in der Cloud gehosteten Anwendungen sollten die Anleitung zur vorübergehenden Fehlerbehandlung von Azure befolgen, wenn sie mit cloudgehosteten APIs, Datenbanken und anderen Komponenten kommunizieren. Weitere Informationen finden Sie unter Empfehlungen zum Umgang mit vorübergehenden Fehlern.
Implementieren Sie für Anwendungen, die eine Verbindung über Azure Firewall herstellen, Wiederholungslogik mit exponentiellem Backoff, um potenzielle vorübergehende Verbindungsprobleme zu behandeln. Die zustandsbehaftete Art von Azure Firewall stellt sicher, dass legitime Verbindungen während kurzer Netzwerkunterbrechungen aufrechterhalten werden.
Bei Skalierungsvorgängen, die 5 bis 7 Minuten dauern, werden vorhandene Verbindungen beibehalten, während neue Firewallinstanzen hinzugefügt werden, um die erhöhte Last zu verarbeiten.
Ausfallsicherheit bei Ausfällen von Verfügbarkeitszonen
Verfügbarkeitszonen sind physisch getrennte Gruppen von Rechenzentren innerhalb einer Azure-Region. Wenn eine Zone ausfällt, erfolgt ein Failover der Dienste zu einer der verbleibenden Zonen.
Azure Firewall wird automatisch in Verfügbarkeitszonen in unterstützten Regionen bereitgestellt, wenn sie über das Azure-Portal erstellt werden. Für erweiterte Optionen für die Zonenkonfiguration müssen Sie Azure PowerShell, die Azure CLI, Bicep oder Azure Resource Manager-Vorlagen (ARM-Vorlagen) verwenden.
Azure Firewall unterstützt Modelle für die zonenredundante und für die zonale Bereitstellung:
Zonenredundant: Wenn diese Option für Zonenredundanz aktiviert ist, verteilt Azure Firewallinstanzen auf mehrere Verfügbarkeitszonen in der Region. Azure verwaltet den Lastenausgleich und das Failover zwischen Zonen automatisch.
Zonenredundante Firewalls haben eine Vereinbarung zum Servicelevel (Service Level Agreement, SLA) für die höchste Uptime. Sie werden für Produktionsworkloads empfohlen, die eine maximale Verfügbarkeit erfordern.
Das folgende Diagramm zeigt eine zonenredundante Firewall mit drei Instanzen, die über drei Verfügbarkeitszonen verteilt sind:
Hinweis
Wenn Sie Ihre Firewall mithilfe des Azure-Portals erstellen, wird Zonenredundanz automatisch aktiviert.
Zonal: Wenn Ihre Lösung ungewöhnlich empfindlich gegenüber zonenübergreifender Latenz ist, können Sie Azure Firewall einer bestimmten Verfügbarkeitszone zuordnen. Sie können eine zonale Bereitstellung verwenden, die sich näher bei Ihren Back-End-Servern befindet. Alle Instanzen einer zonalen Firewall werden in dieser Zone bereitgestellt.
Das folgende Diagramm zeigt eine Zonenfirewall mit drei Instanzen, die in derselben Verfügbarkeitszone bereitgestellt werden:
Von Bedeutung
Es wird empfohlen, dass Sie nur eine einzelne Verfügbarkeitszone verwenden, wenn die zonenübergreifende Latenz die zulässigen Grenzwerte überschreitet und Sie sich vergewissert haben, dass die Latenz Ihre Anforderungen nicht erfüllt. Eine zonale Firewall allein bietet keine Resilienz bei einem Ausfall der Verfügbarkeitszone. Um die Resilienz einer Azure Firewall-Bereitstellung zu verbessern, müssen Sie manuell separate Firewalls in mehreren Verfügbarkeitszonen bereitstellen und Datenverkehrsrouting und Failover konfigurieren.
Wenn Sie eine Firewall nicht so konfigurieren, dass sie zonenredundant oder zonal ist, gilt sie als nicht zonal oder regional. Nicht zonale Firewalls können in einer beliebigen Verfügbarkeitszone innerhalb der Region platziert werden. Wenn es in einer Verfügbarkeitszone in der Region zu einem Ausfall kommt, befinden sich möglicherweise nicht zonale Firewalls in der betroffenen Zone und könnten ausfallen.
Regionsunterstützung
Azure Firewall unterstützt Verfügbarkeitszonen in allen Regionen, die Verfügbarkeitszonen unterstützen, in denen der Azure Firewall-Dienst verfügbar ist.
Anforderungen
- Alle Ebenen von Azure Firewall unterstützen Verfügbarkeitszonen.
- Bei zonenredundanten Firewalls müssen Sie standardmäßige öffentliche IP-Adressen verwenden und so konfigurieren, dass sie zonenredundant sind.
- Bei zonalen Firewalls müssen Sie standardmäßige öffentliche IP-Adressen verwenden und sie entweder als zonenredundant oder zonal in derselben Zone wie die Firewall konfigurieren.
Kosten
Es fallen keine zusätzlichen Kosten für Firewalls an, die in mehreren Verfügbarkeitszonen bereitgestellt werden.
Konfigurieren der Unterstützung von Verfügbarkeitszonen
In diesem Abschnitt wird erläutert, wie Sie die Unterstützung von Verfügbarkeitszonen für Ihre Firewalls konfigurieren.
Erstellen Sie eine neue Firewall mit Unterstützung von Verfügbarkeitszonen: Der Ansatz, den Sie zum Konfigurieren von Verfügbarkeitszonen verwenden, hängt davon ab, ob Sie eine zonenredundante oder zonale Firewall erstellen, und ist von den verwendeten Tools abhängig.
Von Bedeutung
Zonenredundanz wird automatisch aktiviert, wenn Sie die Bereitstellung über das Azure-Portal durchführen. Um bestimmte Zonen zu konfigurieren, müssen Sie ein anderes Tool verwenden, z. B. die Azure CLI, Azure PowerShell, Bicep oder ARM-Vorlagen.
Zonenredundant: Wenn Sie eine neue Firewall mithilfe des Azure-Portals bereitstellen, ist Ihre Firewall standardmäßig zonenredundant. Weitere Informationen finden Sie unter Bereitstellen von Azure Firewall über das Azure-Portal.
Wenn Sie die Azure CLI, Azure PowerShell, Bicep, ARM-Vorlagen oder Terraform verwenden, können Sie optional die Verfügbarkeitszonen für die Bereitstellung angeben. Um eine zonenredundante Firewall bereitzustellen, geben Sie zwei oder mehr Zonen an. Es wird empfohlen, alle Zonen auszuwählen, damit Ihre Firewall jede Verfügbarkeitszone verwenden kann, es sei denn, Sie haben einen bestimmten Grund, eine Zone auszuschließen.
Weitere Informationen zum Bereitstellen einer ZR-Firewall finden Sie unter Bereitstellen einer Azure-Firewall mit Verfügbarkeitszonen.
Hinweis
Wenn Sie auswählen, welche Verfügbarkeitszonen verwendet werden sollen, wählen Sie tatsächlich die logische Verfügbarkeitszone aus. Wenn Sie andere Workloadkomponenten in einem anderen Azure-Abonnement bereitstellen, verwenden diese möglicherweise eine andere logische Verfügbarkeitszonennummer, um auf dieselbe physische Verfügbarkeitszone zuzugreifen. Weitere Informationen finden Sie unter Physische und logische Verfügbarkeitszonen.
Aktivieren Sie die Unterstützung von Verfügbarkeitszonen für eine vorhandene Firewall: Sie können Verfügbarkeitszonen in einer vorhandenen Firewall aktivieren, wenn sie bestimmte Kriterien erfüllt. Der Prozess erfordert, dass Sie die Firewall beenden (Zuordnung aufheben) und neu konfigurieren. Erwarten Sie eine gewisse Downtime. Weitere Informationen finden Sie unter Konfigurieren von Verfügbarkeitszonen nach der Bereitstellung.
Ändern Sie die Verfügbarkeitszonenkonfiguration einer vorhandenen Firewall: Um die Konfiguration von Verfügbarkeitszonen zu ändern, müssen Sie zuerst die Firewall beenden (Zuordnung aufheben). Dies ist ein Prozess, der zu einer gewissen Downtime führt. Weitere Informationen finden Sie unter Konfigurieren von Verfügbarkeitszonen nach der Bereitstellung.
Deaktivieren Sie die Unterstützung von Verfügbarkeitszonen: Sie können die von einer Firewall genutzten Verfügbarkeitszonen ändern, aber sie können keine zonenredundanten oder zonalen Firewalls in eine nicht zonale Konfiguration konvertieren.
Verhalten, wenn alle Zonen fehlerfrei sind
In diesem Abschnitt wird beschrieben, was Sie erwarten können, wenn Azure Firewall mit Unterstützung von Verfügbarkeitszonen konfiguriert wird und alle Verfügbarkeitszonen betriebsbereit sind.
Datenverkehrsrouting zwischen Zonen: Das Datenverkehrsroutingverhalten hängt von der Konfiguration der Verfügbarkeitszone ab, die Ihre Firewall verwendet.
Zonenredundant: Azure Firewall verteilt eingehende Anforderungen automatisch auf Instanzen in allen Zonen, die Ihre Firewall verwendet. Diese aktiv-aktive Konfiguration gewährleistet eine optimale Leistung und Lastverteilung unter normalen Betriebsbedingungen.
Zonal: Wenn Sie mehrere zonale Instanzen bereitstellen, müssen Sie das Datenverkehrsrouting mithilfe externer Lastenausgleichslösungen wie Azure Load Balancer oder Azure Traffic Manager konfigurieren.
Instanzverwaltung: Die Plattform verwaltet automatisch die Instanzplatzierung in den Zonen, die Ihre Firewall verwendet, und ersetzt dabei fehlerhafte Instanzen und verwaltet die konfigurierte Anzahl der Instanzen. Die Gesundheitsüberwachung stellt sicher, dass nur gesunde Instanzen den Datenverkehr empfangen.
Datenreplikation zwischen Zonen: Azure Firewall muss den Verbindungsstatus nicht über Verfügbarkeitszonen hinweg synchronisieren. Die Instanz, die die Anforderung verarbeitet, behält den Status der einzelnen Verbindungen bei.
Verhalten bei einem Zoneausfall
In diesem Abschnitt wird beschrieben, was Sie erwarten können, wenn Azure Firewall mit Unterstützung von Verfügbarkeitszonen konfiguriert wird und mindestens eine Verfügbarkeitszone nicht verfügbar ist.
Erkennung und Reaktion: Die Verantwortung für die Erkennung und Reaktion hängt von der Konfiguration von Verfügbarkeitszonen ab, die Ihre Firewall verwendet.
Zonenredundant: Bei Instanzen, die für die Verwendung von Zonenredundanz konfiguriert sind, erkennt die Azure Firewall-Plattform einen Fehler in einer Verfügbarkeitszone und reagiert darauf. Sie müssen kein Zonenfailover initiieren.
Zonal: Damit Firewalls als zonal konfiguriert sind, müssen Sie den Verlust einer Verfügbarkeitszone erkennen und ein Failover auf eine sekundäre Firewall initiieren, die Sie in einer anderen Verfügbarkeitszone erstellen.
- Benachrichtigung: Microsoft benachrichtigt Sie nicht automatisch, wenn eine Zone deaktiviert ist. Sie können jedoch Azure Service Health verwenden, um die allgemeine Integrität des Diensts zu verstehen, einschließlich aller Zonenfehler, und Sie können Dienststatuswarnungen einrichten, um Sie über Probleme zu informieren.
Aktive Verbindungen: Wenn eine Verfügbarkeitszone nicht verfügbar ist, werden aktive Anforderungen, die mit einer Firewallinstanz in der fehlerhaften Verfügbarkeitszone verbunden sind, möglicherweise beendet und müssen erneut ausgeführt werden.
Erwarteter Datenverlust: Während des Zonenfailovers wird kein Datenverlust erwartet, da die Azure Firewall keine dauerhaften Kundendaten speichert.
Erwartete Downtime: Die Downtime hängt von der Konfiguration der Verfügbarkeitszone ab, die Ihre Firewall verwendet.
Zonenredundant: Erwarten Sie minimale Downtime (in der Regel einige Sekunden) während des Ausfalls einer Verfügbarkeitszone. Clientanwendungen sollten sich an die Vorgehensweisen für vorübergehende Fehler halten. Dazu gehört u. a. die Implementierung von Wiederholungsrichtlinien mit exponentiellem Backoff.
Zonal: Wenn eine Zone nicht verfügbar ist, bleibt Ihre Firewall bis zur Wiederherstellung der Verfügbarkeitszone nicht verfügbar.
Datenverkehrsumleitung: Das Verhalten für die Datenverkehrsumleitung hängt von der Konfiguration der Verfügbarkeitszone ab, die Ihre Firewall verwendet.
Zonenredundant: Datenverkehr wird automatisch an fehlerfreie Verfügbarkeitszonen umgeleitet. Bei Bedarf erstellt die Plattform neue Firewallinstanzen in fehlerfreien Zonen.
Zonal: Wenn eine Zone nicht verfügbar ist, ist auch Ihre zonale Firewall nicht verfügbar. Wenn Sie über eine sekundäre Firewall in einer anderen Verfügbarkeitszone verfügen, sind Sie dafür verantwortlich, den Datenverkehr an diese Firewall umzuleiten.
Failback
Das Failbackverhalten hängt von der Konfiguration der Verfügbarkeitszone ab, die Ihre Firewall verwendet.
Zonenredundant: Nachdem die Verfügbarkeitszone wiederhergestellt wurde, verteilt Azure Firewall Instanzen automatisch auf alle Zonen, die Ihre Firewall verwendet, und stellt den normalen Lastenausgleich über Zonen hinweg wieder her.
Zonal: Nachdem die Verfügbarkeitszone wiederhergestellt wurde, sind Sie dafür verantwortlich, den Datenverkehr an die Firewall in der ursprünglichen Verfügbarkeitszone umzuleiten.
Test auf Zonenfehler
Die Optionen für Zonenfehlertests hängen von der Verfügbarkeitszonenkonfiguration Ihrer Firewall ab.
Zonenredundant: Die Azure Firewall-Plattform verwaltet Datenverkehrsrouting, Failover und Failback für zonenredundante Firewallressourcen. Dieses Feature ist vollständig verwaltet. Deshalb müssen Sie die Prozesse für ausgefallene Verfügbarkeitszonen weder einleiten noch überprüfen.
Zonal: Sie können Aspekte des Ausfalls einer Verfügbarkeitszone simulieren, indem Sie eine Firewall beenden. Verwenden Sie diesen Ansatz, um zu testen, wie andere Systeme und Lastenausgleichsmodule einen Ausfall in der Firewall behandeln. Weitere Informationen finden Sie unter Beenden und Starten von Azure Firewall.
Widerstandsfähigkeit bei regionalen Ausfällen
Azure Firewall ist ein Dienst, der in einer einzelnen Region ausgeführt wird. Wenn die Region nicht verfügbar ist, ist Ihre Firewallressource ebenfalls nicht verfügbar.
Benutzerdefinierte Lösungen mit mehreren Regionen für Resilienz
Verwenden Sie separate Firewalls, um eine Architektur mit mehreren Regionen zu implementieren. Bei diesem Ansatz müssen Sie eine unabhängige Firewall in jeder Region bereitstellen, Datenverkehr an die entsprechende regionale Firewall weiterleiten und benutzerdefinierte Failoverlogik implementieren. Berücksichtigen Sie die folgenden Punkte:
Verwenden Sie Azure Firewall Manager für die zentrale Richtlinienverwaltung über mehrere Firewalls hinweg. Verwenden Sie die Firewallrichtlinienmethode für die zentrale Regelverwaltung für mehrere Firewallinstanzen.
Implementieren Sie Datenverkehrsrouting mithilfe von Traffic Manager oder Azure Front Door.
Eine Beispielarchitektur, die die Sicherheitsarchitektur für Netzwerke in mehreren Regionen veranschaulicht, finden Sie unter Regionsübergreifender Lastenausgleich mit Traffic Manager, Azure Firewall und Application Gateway.
Resilienz gegenüber Wartungsarbeiten an Diensten
Azure Firewall führt regelmäßige Dienstupgrades und andere Arten der Wartung durch.
Sie können tägliche Wartungsfenster konfigurieren, um Upgradezeitpläne an Ihre betrieblichen Anforderungen anzupassen. Weitere Informationen finden Sie unter Konfigurieren der kundenseitig gesteuerten Wartung für Azure Firewall.
Service-Level-Vereinbarung
Der Service level agreement (SLA) für Azure-Dienste beschreibt die erwartete Verfügbarkeit jedes Diensts und die Bedingungen, die Ihre Lösung erfüllen muss, um diese Verfügbarkeitserwartungen zu erreichen. Weitere Informationen finden Sie unter SLAs für Onlinedienste.
Azure Firewall bietet eine SLA für eine höhere Verfügbarkeit für Firewalls, die in zwei oder mehr Verfügbarkeitszonen bereitgestellt werden.