Azure Bastion は、プライベート IP アドレスを介して仮想マシンへのセキュリティの高い接続を提供するためにプロビジョニングする、フル マネージドのサービスとしてのプラットフォーム (PaaS) です。 Azure portal から TLS 経由で直接、またはローカル コンピューターに既にインストールされているネイティブ SSH または RDP クライアントを介して、仮想マシンへのシームレスな RDP/SSH 接続が提供されます。 Azure Bastion 経由で接続するときは、仮想マシンにパブリック IP アドレス、エージェント、特別なクライアント ソフトウェアのいずれも必要ありません。
Azure を使用する場合、 信頼性は共有責任です。 Microsoft では、回復性と回復性をサポートするさまざまな機能を提供しています。 使用するすべてのサービスでこれらの機能がどのように機能するかを理解し、ビジネス目標とアップタイムの目標を達成するために必要な機能を選択する必要があります。
この記事では、一時的な障害、可用性ゾーンの停止、リージョンの停止など、さまざまな潜在的な障害や問題に対する Azure Bastion の回復性を確保する方法について説明します。 Azure Bastion サービス レベル アグリーメント (SLA) に関するいくつかの重要な情報が強調表示されています。
重要
Azure Bastion の可用性ゾーンのサポートは現在プレビュー段階です。 ベータ版、プレビュー版の Azure の機能、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加の使用条件」を参照してください。
信頼性のための運用環境のデプロイに関する推奨事項
本番環境のワークロードに対しては、次のことをお勧めします。
- Basic SKU 以上を使用します。
- 要塞ホストがサポートされているリージョンにある場合は、ゾーン冗長を有効にします。
信頼性アーキテクチャの概要
Azure Bastion を使用する場合は、Azure Bastion の要件を満たすサブネットに要塞ホストをデプロイする必要があります。
要塞ホストには、スケール ユニットとも呼ばれるインスタンスの数が定義されています。 各インスタンスは、Azure Bastion 接続を処理する 1 つの専用 VM を表します。 このプラットフォームでは、インスタンスの作成、正常性の監視、異常なインスタンスの置換が自動的に管理されるため、VM を直接表示したり管理したりすることはありません。
Basic SKU では、2 つのインスタンスがサポートされます。 Standard SKU と Premium SKU では、 ホスト スケーリングがサポートされています。このスケーリングでは、インスタンスの数を少なくとも 2 つのインスタンスで構成できます。 インスタンスを追加すると、要塞ホストは追加の同時クライアント接続に対応できます。
一時的な障害に対する回復性
一時的な障害は、コンポーネントにおける短い断続的な障害です。 これらはクラウドのような分散環境で頻繁に発生し、運用の通常の範囲であり、 一時的な障害は、短時間の経過後に自分自身を修正します。 アプリケーションが一時的な障害に対処できることが重要です。これは通常、影響を受けた要求を再試行することで対処します。
クラウドでホストされるすべてのアプリケーションは、クラウドでホストされている API、データベース、およびその他のコンポーネントと通信する際に、Azure の一時的な障害処理のガイダンスに従う必要があります。 詳細については、「一時的な障害を処理するための推奨事項」を参照してください。
一時的な障害が仮想マシンまたは要塞ホストに影響する場合、通常、セキュリティで保護されたソケット ホスト (SSH) プロトコルとリモート デスクトップ プロトコル (RDP) プロトコルを使用するクライアントは自動的に再試行します。
可用性ゾーンの障害に対する回復性
可用性ゾーン は、Azure リージョン内のデータセンターの物理的に分離されたグループです。 1 つのゾーンで障害が発生した際には、サービスを残りのゾーンのいずれかにフェールオーバーできます。
Azure Bastion では、ゾーン冗長構成とゾーン構成の両方で可用性ゾーンがサポートされます。
ゾーン冗長: ゾーン冗長要塞ホストは、インスタンスを複数の 可用性ゾーンに分散することで、回復性と信頼性を実現します。 あなたが要塞ホストに使用する可用性ゾーンを選択します。
次の図は、ゾーン冗長要塞ホストを示しています。そのインスタンスは 3 つのゾーンに分散されています。
所有するインスタンスの数よりも多くの可用性ゾーンを指定した場合、Azure Bastion によりインスタンスは可能な限り多くのゾーンに分散されます。
ゾーンの: ゾーンの要塞ホストとそのすべてのインスタンスは、あなたが選択した1つの可用性ゾーン内にあります。
重要
単一の可用性ゾーンへのピン留めは、ニーズに合わせてゾーン間の待機時間が長すぎる場合と、待機時間が要件を満たしていないことを確認した後にのみ推奨されます。 ゾーン リソースだけでは、可用性ゾーンの停止に対する回復性は提供されません。 ゾーン リソースの回復性を向上させるには、個別のリソースを複数の可用性ゾーンに明示的にデプロイし、トラフィック ルーティングとフェールオーバーを構成する必要があります。 詳細については、「 ゾーン リソースとゾーンの回復性」を参照してください。
必要条件
地域サポート: ゾーンおよびゾーン冗長要塞ホストは、次の地域にデプロイできます。
南北アメリカ ヨーロッパ 中東 アフリカ アジア太平洋 カナダ中部 北ヨーロッパ カタール中部 南アフリカ北部 オーストラリア東部 米国中部 スウェーデン中部 イスラエル中部 韓国中部 米国東部 英国南部 米国東部 2 西ヨーロッパ 米国西部 2 ノルウェー東部 米国東部 2 EUAP イタリア北部 メキシコ中部 スペイン中部 SKU: 要塞ホストをゾーン冗長またはゾーン冗長に構成するには、Basic、Standard、または Premium SKU を使用してデプロイする必要があります。
パブリック IP アドレス: Azure Bastion には、Standard SKU ゾーン冗長パブリック IP アドレスが必要です。
コスト
Azure Bastion の可用性ゾーンのサポートを使用する場合、追加のコストは発生しません。 料金は、要塞ホストの SKU と使用するインスタンスの数に基づきます。 詳細については、 Azure Bastion の価格に関するページを参照してください。
可用性ゾーン構成のサポート
可用性ゾーンのサポートを使用して新しい要塞ホストをデプロイします 。 可用性ゾーンをサポートするリージョンに新しい要塞ホストをデプロイする場合は、デプロイする特定のゾーンを選択します。
ゾーン冗長のためには、複数のゾーンを選択する必要があります。
使用する可用性ゾーンを選択した場合、実際には "論理可用性ゾーン" を選択していることになります。 別の Azure サブスクリプションの他のワークロード コンポーネントをデプロイした場合、別の "論理可用性ゾーン" 番号を使用して、同じ物理可用性ゾーンにアクセスできる場合があります。 詳細については、「物理ゾーンと可用性ゾーン」を参照してください。
既存の要塞ホスト: 既存の要塞ホストの可用性ゾーン構成を変更することはできません。 代わりに、新しい構成で要塞ホストを作成し、古い構成を削除する必要があります。
すべてのゾーンが正常な場合の動作
このセクションでは、要塞ホストが可用性ゾーンのサポート用に構成され、すべての可用性ゾーンが運用可能な場合に想定される内容について説明します。
ゾーン間のトラフィック ルーティング: SSH または RDP セッションを開始すると、選択した可用性ゾーン内の Azure Bastion インスタンスにルーティングできます。
要塞ホストでゾーンの冗長性を構成した場合、接続している仮想マシンとは異なる可用性ゾーン内の要塞インスタンスにセッションが送信される可能性があります。 次の図では、ユーザーからの要求はゾーン 2 の Azure Bastion インスタンスに送信されますが、仮想マシンはゾーン 1 にあります。
ヒント
ほとんどのシナリオでは、ゾーン間の待機時間の量は重要ではありません。 ただし、ワークロードの待機時間の要件が非常に厳しい場合は、仮想マシンの可用性ゾーンに専用の単一ゾーン要塞ホストをデプロイする必要があります。 この構成ではゾーンの冗長性が提供されないため、ほとんどのお客様にはお勧めしません。
ゾーン間のデータ レプリケーション: Azure Bastion には状態が格納されないため、ゾーン間でレプリケートするデータはありません。
ゾーン障害時の動作
このセクションでは、要塞ホストが可用性ゾーンのサポート用に構成されていて、可用性ゾーンの停止が発生した場合に想定される内容について説明します。
検出と対応: ゾーン冗長性を使用すると、可用性ゾーンの障害の検出と対応は Azure Bastion によって行われます。 可用性ゾーンのフェールオーバーを行うために、お客様からのアクションは必要ありません。
ゾーン冗長インスタンスの場合、Azure Bastion は、ゾーンの停止によって失われたインスタンスを置き換えるベスト エフォートを試みます。 ただし、インスタンスが置き換えられるという保証はありません。
- 通知: ゾーンがダウンしても、Microsoft から自動的に通知されることはありません。 ただし、 Azure Resource Health を 使用して個々のリソースの正常性を監視したり、 Resource Health アラート を設定して問題を通知したりすることはできます。 また、Azure Service Health を使用して、ゾーンの障害を含むサービスの全体的な正常性を把握し、問題を通知する Service Health アラートを設定することもできます。
アクティブな要求: 可用性ゾーンが使用できない場合、障害のある可用性ゾーンで Azure Bastion インスタンスを使用する進行中の RDP または SSH 接続は終了されるため、再試行する必要があります。
接続している VM が影響を受ける可用性ゾーンにない場合は、引き続き実行されます。 VM のゾーンダウン エクスペリエンスの詳細については、「 VM の信頼性 - ゾーン障害時の動作」を参照してください。
予想されるダウンタイム: 予想されるダウンタイムは、要塞ホストが使用する可用性ゾーンの構成によって異なります。
ゾーン冗長: サービスが操作を復旧している間に、少量のダウンタイムが発生する可能性があります。 通常、このダウンタイムは数秒です。
ゾーン: アベイラビリティゾーンが復旧するまで、インスタンスは利用できません。
予想されるデータ損失: Azure Bastion には状態が格納されないため、ゾーンの障害時にデータ損失が予想されることはありません。
トラフィックの再ルーティング: ゾーンの冗長性を使用する場合、新しい接続では、正常な可用性ゾーン内の Azure Bastion インスタンスが使用されます。 全体として、Azure Bastion は動作可能な状態を維持します。
ゾーンの回復
可用性ゾーンが復旧すると、Azure Bastion は可用性ゾーン内のインスタンスを自動的に復元し、インスタンス間のトラフィックを通常どおりに再ルーティングします。
ゾーンエラーのテスト
Azure Bastion プラットフォームは、ゾーン冗長要塞ホストのトラフィック ルーティング、フェールオーバー、フェールバックを管理します。 この機能は完全に管理されているため、お客様は何も開始したり、可用性ゾーンの障害プロセスを検証したりする必要はありません。
リージョン全体の障害に対する回復性
Azure Bastion は、仮想ネットワーク内またはピアリングされた仮想ネットワーク内にデプロイされて、Azure リージョンに関連付けられます。 Azure Bastion は、単一リージョンのサービスです。 リージョンが使用できなくなった場合、要塞ホストも使用できなくなります。
Azure Bastion では、グローバルにピアリングされた仮想ネットワーク内の仮想マシンへの到達がサポートされていますが、要塞ホストをホストするリージョンが使用できない場合、要塞ホストを使用することはできません。 回復性を高めるには、ソリューション全体をリージョンごとに個別の仮想ネットワークを持つ複数のリージョンにデプロイした場合、各リージョンに Azure Bastion をデプロイしてください。
別の Azure リージョンにディザスター リカバリー サイトがある場合は、そのリージョン内の仮想ネットワークに Azure Bastion をデプロイしてください。
サービスレベル合意
Azure サービスのサービス レベル アグリーメント (SLA) には、各サービスの期待される可用性と、その可用性の期待を達成するためにソリューションが満たす必要がある条件について記載されています。 詳細については、 オンライン サービスの SLA を参照してください。