Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Firewall es un servicio de seguridad de red administrado basado en la nube que protege los recursos de Azure Virtual Network. Es un servicio de firewall con estado completo que incluye alta disponibilidad integrada y escalabilidad de nube sin restricciones.
Cuando se usa Azure, la confiabilidad es una responsabilidad compartida. Microsoft proporciona una variedad de funcionalidades para admitir resistencia y recuperación. Es responsable de comprender cómo funcionan esas funcionalidades dentro de todos los servicios que usa y de seleccionar las funcionalidades que necesita para cumplir los objetivos empresariales y los objetivos de tiempo de actividad.
En este artículo se describe cómo hacer que Azure Firewall sea resistente a una variedad de posibles interrupciones y problemas, como errores transitorios, interrupciones de zona de disponibilidad y interrupciones de regiones. También describe la resistencia durante el mantenimiento del servicio y resalta cierta información clave sobre el acuerdo de nivel de servicio (SLA) de Firewall.
Recomendaciones de implementación de producción
Para obtener información sobre cómo implementar Azure Firewall para admitir los requisitos de confiabilidad de la solución y cómo afecta la confiabilidad a otros aspectos de la arquitectura, consulte Procedimientos recomendados de arquitectura para Azure Firewall en Azure Well-Architected Framework.
Introducción a la arquitectura de confiabilidad
Una instancia hace referencia a una unidad de nivel de máquina virtual (VM) del firewall. Cada instancia representa la infraestructura que controla el tráfico y realiza comprobaciones de firewall.
Para lograr una alta disponibilidad de un firewall, Azure Firewall proporciona automáticamente al menos dos instancias, sin necesidad de intervención o configuración. El firewall se escala horizontalmente automáticamente cuando el rendimiento promedio, el consumo de CPU y el uso de la conexión alcanzan umbrales predefinidos. Para más información, consulte Rendimiento de Azure Firewall. La plataforma administra automáticamente la creación de instancias, la supervisión del estado y el reemplazo de instancias incorrectas.
Para lograr la protección frente a errores de servidor y bastidor de servidores, Azure Firewall distribuye automáticamente las instancias entre varios dominios de error dentro de una región.
En el diagrama siguiente se muestra un firewall con dos instancias:
Para aumentar la redundancia y la disponibilidad durante los errores del centro de datos, puede habilitar la redundancia de zona para distribuir instancias entre varias zonas de disponibilidad.
Resistencia a errores transitorios
Los errores transitorios son errores breves e intermitentes en los componentes. Se producen con frecuencia en un entorno distribuido como la nube y son una parte normal de las operaciones. Los errores transitorios se corrigen después de un breve período de tiempo. Es importante que las aplicaciones puedan controlar errores transitorios, normalmente mediante el reintento de solicitudes afectadas.
Todas las aplicaciones hospedadas en la nube deben seguir las instrucciones de control de errores transitorios de Azure cuando se comunican con cualquier API, bases de datos y otros componentes hospedados en la nube. Para obtener más información, consulte Recomendaciones para controlar errores transitorios.
En el caso de las aplicaciones que se conectan a través de Azure Firewall, implemente la lógica de reintento con retroceso exponencial para controlar posibles problemas de conexión transitorios. La naturaleza con estado de Azure Firewall garantiza que las conexiones legítimas se mantengan durante breves interrupciones de red.
Durante las operaciones de escalado, que tardan entre 5 y 7 minutos en completarse, se conservan las conexiones existentes mientras se agregan nuevas instancias de firewall para controlar la mayor carga.
Resistencia a errores de zona de disponibilidad
Las zonas de disponibilidad son grupos físicamente independientes de centros de datos dentro de una región de Azure. Cuando una zona falla, los servicios pueden transferirse a una de las zonas restantes.
Azure Firewall se implementa automáticamente en zonas de disponibilidad en regiones admitidas cuando se crean a través de Azure Portal. Para las opciones avanzadas de configuración de zona, debe usar Azure PowerShell, la CLI de Azure, Bicep o las plantillas de Azure Resource Manager (plantillas de ARM).
Azure Firewall admite modelos de implementación con redundancia de zona y zonales:
Con redundancia de zona: Cuando se habilita para la redundancia de zona, Azure distribuye instancias de firewall entre varias zonas de disponibilidad de la región. Azure administra automáticamente el equilibrio de carga y la conmutación por error entre zonas.
Los firewalls con redundancia de zona logran el acuerdo de nivel de servicio (SLA) de tiempo de actividad más alto. Se recomiendan para cargas de trabajo de producción que requieren la máxima disponibilidad.
En el diagrama siguiente se muestra un firewall con redundancia de zona con tres instancias distribuidas entre tres zonas de disponibilidad:
Nota:
Si crea el firewall mediante Azure Portal, la redundancia de zona se habilita automáticamente.
Zonal: Si la solución es inusualmente sensible a la latencia entre zonas, puede asociar Azure Firewall a una zona de disponibilidad específica. Puede usar una implementación zonal para implementar más cerca de los servidores back-end. Todas las instancias de un firewall zonal se implementan dentro de esa zona.
En el diagrama siguiente se muestra un firewall zonal con tres instancias que se implementan en la misma zona de disponibilidad:
Importante
Se recomienda anclar a una sola zona de disponibilidad solo cuando la latencia entre zonas supera los límites aceptables y ha confirmado que la latencia no cumple sus requisitos. Un firewall zonal solo no proporciona resistencia a una interrupción de zona de disponibilidad. Para mejorar la resistencia de una implementación de Azure Firewall zonal, debe implementar manualmente firewalls independientes en varias zonas de disponibilidad y configurar el enrutamiento y la conmutación por error del tráfico.
Si no configura un firewall para que sea con redundancia de zona o zonal, se considera no zonal o regional. Los firewalls no zonales se pueden colocar en cualquier zona de disponibilidad dentro de la región. Si una zona de disponibilidad de la región experimenta una interrupción, los firewalls no zonales podrían estar en la zona afectada y podrían experimentar tiempo de inactividad.
Soporte para regiones
Azure Firewall admite zonas de disponibilidad en todas las regiones que admiten zonas de disponibilidad, donde el servicio Azure Firewall está disponible.
Requisitos
- Todos los niveles de Azure Firewall admiten zonas de disponibilidad.
- En el caso de los firewalls con redundancia de zona, debe usar direcciones IP públicas estándar y configurarlas para que sean con redundancia de zona.
- En el caso de los firewalls zonales, debe usar direcciones IP públicas estándar y configurarlas para que sean con redundancia de zona o zonales en la misma zona que el firewall.
Cost
No hay ningún costo adicional para un firewall implementado en más de una zona de disponibilidad.
Configurar soporte de zonas de disponibilidad
En esta sección se explica cómo configurar la compatibilidad con la zona de disponibilidad para los firewalls.
Cree un nuevo firewall con compatibilidad con la zona de disponibilidad: El enfoque que se usa para configurar zonas de disponibilidad depende de si desea crear un firewall con redundancia de zona o zonal y las herramientas que use.
Importante
La redundancia de zona se habilita automáticamente cuando se implementa a través de Azure Portal. Para configurar zonas específicas, debe usar otra herramienta, como la CLI de Azure, Azure PowerShell, Bicep o plantillas de ARM.
Con redundancia de zona: Al implementar un nuevo firewall mediante Azure Portal, el firewall tiene redundancia de zona de forma predeterminada. Para más información, consulte Implementar Azure Firewall mediante Azure Portal.
Si usa la CLI de Azure, Azure PowerShell, Bicep, plantillas de ARM o Terraform, puede especificar opcionalmente las zonas de disponibilidad para la implementación. Para implementar un firewall con redundancia de zona, especifique dos o más zonas. Se recomienda seleccionar todas las zonas para que el firewall pueda usar cada zona de disponibilidad, a menos que tenga una razón específica para excluir una zona.
Para más información sobre cómo implementar un firewall de ZR, consulte Implementación de Azure Firewall con zonas de disponibilidad.
Nota:
Cuando selecciona qué zonas de disponibilidad usar, en realidad está seleccionando la zona de disponibilidad lógica. Si implementa otros componentes de la carga de trabajo en una suscripción de Azure diferente, podrían usar un número de zona de disponibilidad lógica distinto para acceder a la misma zona de disponibilidad física. Para obtener más información, consulte zonas de disponibilidad física y lógica.
Habilite la compatibilidad con zonas de disponibilidad en un firewall existente: Puede habilitar zonas de disponibilidad en un firewall existente si cumple criterios específicos. El proceso requiere que detenga (desasigne) el firewall y vuelva a configurarlo. Espere un tiempo de inactividad. Para obtener más información, consulte Configurar zonas de disponibilidad después de la implementación.
Cambie la configuración de zona de disponibilidad de un firewall existente: Para cambiar la configuración de la zona de disponibilidad, primero debe detener (desasignar) el firewall, un proceso que implica cierta cantidad de tiempo de inactividad. Para obtener más información, consulte Configurar zonas de disponibilidad después de la implementación.
Deshabilite la compatibilidad con zonas de disponibilidad: Puede cambiar las zonas de disponibilidad que usa un firewall, pero no puede convertir un firewall con redundancia de zona o zonal a una configuración no zonal.
Comportamiento cuando todas las zonas están en buen estado
En esta sección se describe qué esperar cuando Azure Firewall está configurado con compatibilidad con la zona de disponibilidad y todas las zonas de disponibilidad están operativas.
Enrutamiento de tráfico entre zonas: El comportamiento de enrutamiento del tráfico depende de la configuración de zona de disponibilidad que usa el firewall.
Con redundancia de zona: Azure Firewall distribuye automáticamente las solicitudes entrantes entre instancias de todas las zonas que usa el firewall. Esta configuración activa-activa garantiza un rendimiento y una distribución de carga óptimos en condiciones de funcionamiento normales.
Zonal: Si implementa varias instancias zonales en distintas zonas, debe configurar el enrutamiento de tráfico mediante soluciones de equilibrio de carga externas, como Azure Load Balancer o Azure Traffic Manager.
Administración de instancias: La plataforma administra automáticamente la colocación de instancias en las zonas que usa el firewall, reemplazando las instancias con errores y manteniendo el recuento de instancias configurado. El seguimiento de estado garantiza que solo las instancias correctas reciban tráfico.
Replicación de datos entre zonas: Azure Firewall no necesita sincronizar el estado de conexión entre zonas de disponibilidad. La instancia que procesa la solicitud mantiene el estado de cada conexión.
Comportamiento durante un fallo de zona
En esta sección se describe qué esperar cuando Azure Firewall está configurado con compatibilidad con la zona de disponibilidad y una o varias zonas de disponibilidad no están disponibles.
Detección y respuesta: La responsabilidad de la detección y la respuesta depende de la configuración de la zona de disponibilidad que usa el firewall.
Con redundancia de zona: En el caso de las instancias configuradas para usar la redundancia de zona, la plataforma Azure Firewall detecta y responde a un error en una zona de disponibilidad. No es necesario iniciar una conmutación por error de zona.
Zonal: Para que los firewalls configurados sean zonales, debe detectar la pérdida de una zona de disponibilidad e iniciar una conmutación por error a un firewall secundario que cree en otra zona de disponibilidad.
- Notificación: Microsoft no le notifica automáticamente cuando una zona está inactiva. Sin embargo, puede usar Azure Service Health para comprender el estado general del servicio, incluidos los errores de zona, y puede configurar alertas de Service Health para notificarle problemas.
Conexiones activas: Cuando una zona de disponibilidad no está disponible, las solicitudes en curso conectadas a una instancia de firewall en la zona de disponibilidad errónea pueden finalizar y requerir reintentos.
Pérdida de datos esperada: No se espera ninguna pérdida de datos durante la conmutación por error de zona porque Azure Firewall no almacena datos persistentes del cliente.
Tiempo de inactividad esperado: El tiempo de inactividad depende de la configuración de zona de disponibilidad que use el firewall.
Con redundancia de zona: Espere un tiempo de inactividad mínimo (normalmente unos segundos) durante una interrupción de la zona de disponibilidad. Las aplicaciones cliente deben seguir los procedimientos para el control de errores transitorios, incluida la implementación de directivas de reintento con retroceso exponencial.
Zonal: Cuando una zona no está disponible, el firewall sigue sin estar disponible hasta que se recupere la zona de disponibilidad.
Redireccionamiento del tráfico: El comportamiento de redireccionar el tráfico depende de la configuración de zona de disponibilidad que usa el firewall.
Con redundancia de zona: El tráfico se vuelve a enrutar automáticamente a zonas de disponibilidad correctas. Si es necesario, la plataforma crea nuevas instancias de firewall en zonas correctas.
Zonal: Cuando una zona no está disponible, el firewall zonal tampoco está disponible. Si tiene un firewall secundario en otra zona de disponibilidad, es responsable de redirigir el tráfico a ese firewall.
Failback
El comportamiento de la conmutación por recuperación depende de la configuración de zona de disponibilidad que usa el firewall.
Con redundancia de zona: Una vez recuperada la zona de disponibilidad, Azure Firewall redistribuye automáticamente las instancias de todas las zonas que usa el firewall y restaura el equilibrio de carga normal entre zonas.
Zonal: Una vez recuperada la zona de disponibilidad, es responsable de redirigir el tráfico al firewall en la zona de disponibilidad original.
Prueba de fallos de zona
Las opciones para las pruebas de errores de zona dependen de la configuración de la zona de disponibilidad del firewall.
Con redundancia de zona: La plataforma Azure Firewall administra el enrutamiento del tráfico, la conmutación por error y la conmutación por recuperación para los recursos de firewall con redundancia de zona. Esta característica está totalmente administrada, por lo que no es necesario iniciar ni validar los procesos de error de zona de disponibilidad.
Zonal: Puede simular aspectos del error de una zona de disponibilidad deteniendo un firewall. Use este enfoque para probar cómo otros sistemas y equilibradores de carga controlan una interrupción en el firewall. Para más información, consulte Detener e iniciar Azure Firewall.
Resistencia a errores en toda la región
Azure Firewall es un servicio de una sola región. Si la región no está disponible, el recurso firewall tampoco está disponible.
Soluciones personalizadas de varias regiones para la resistencia
Para implementar una arquitectura de varias regiones, use firewalls independientes. Este enfoque requiere implementar un firewall independiente en cada región, enrutar el tráfico al firewall regional adecuado e implementar la lógica de conmutación por error personalizada. Considere los siguientes puntos:
Use Azure Firewall Manager para la administración centralizada de directivas en varios firewalls. Use el método de Directiva de firewall para la administración centralizada de reglas en varias instancias de firewall.
Implemente el enrutamiento de tráfico mediante Traffic Manager o Azure Front Door.
Para obtener una arquitectura de ejemplo que muestra arquitecturas de seguridad de red de varias regiones, consulte Equilibrio de carga de varias regiones mediante Traffic Manager, Azure Firewall y Application Gateway.
Resistencia al mantenimiento del servicio
Azure Firewall realiza actualizaciones de servicio periódicas y otras formas de mantenimiento.
Puede configurar ventanas de mantenimiento diarias para alinear las programaciones de actualización con sus necesidades operativas. Para más información, consulte Configuración del mantenimiento controlado por el cliente para Azure Firewall.
Acuerdo de nivel de servicio
El contrato de nivel de servicio (SLA) para los servicios de Azure describe la disponibilidad esperada de cada servicio y las condiciones que la solución deberá cumplir para lograr esa expectativa de disponibilidad. Para obtener más información, consulte Acuerdos de Nivel de Servicio para servicios en línea.
Azure Firewall proporciona un Acuerdo de Nivel de Servicio de mayor disponibilidad para los firewalls implementados en dos o más zonas de disponibilidad.