Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Wat zijn beschikbaarheidszones?
Beschikbaarheidszones (AZ's) zijn fysiek gescheiden datacenters binnen een Azure-regio, elk met onafhankelijke voeding, koeling en netwerken. Beschikbaarheidszones isoleren infrastructuurfouten en verbeteren de tolerantie en beschikbaarheid van toepassingen.
Een regio die beschikbaarheidszones ondersteunt, heeft doorgaans drie afzonderlijke zones (bijvoorbeeld Zone 1, Zone 2 en Zone 3). Niet alle Azure-regio's ondersteunen beschikbaarheidszones. Voor Azure Firewall bepalen beschikbaarheidszones hoe firewallexemplaren in een regio worden geplaatst en hoe tolerant de firewall is voor zonegebonden fouten.
Zone-redundantie
Azure Firewall maakt gebruik van een zone-redundant implementatiemodel om de tolerantie, beschikbaarheid en beveiliging tegen zonefouten te verbeteren.
Huidig gedrag:
- Alle nieuwe Azure Firewall-implementaties die niet expliciet zones specificeren (dat wil gezegd, ingesteld op Geen) zijn standaard zoneredundant in regio's die beschikbaarheidszones ondersteunen.
- Alle bestaande firewalls zonder een opgegeven zone (dus ingesteld op Geen) worden platform-gemigreerd om zoneredundant (ZR) te worden.
- Alle bestaande firewalls die in één zone zijn geïmplementeerd , worden momenteel niet gemigreerd.
- U hoeft geen beheerdersactie uit te voeren om te migreren.
Definities
Azure Firewall-implementatieopties vallen in de volgende categorieën.
| Implementatietype | Description |
|---|---|
| Zoneredundant (ZR) | Firewall wordt geïmplementeerd in meerdere beschikbaarheidszones (twee of meer). |
| Enkelvoudige zone (één zone) | Firewall geïmplementeerd in één zone (bijvoorbeeld alleen zone 1). |
| Regionaal (geen zones) | Firewall geplaatst op geen enkel zone. Het platform migreert deze firewalls automatisch naar zone-redundant. |
Sommige regio's bieden geen ondersteuning voor beschikbaarheidszones. In deze regio's blijft Azure Firewall als regionale resource implementeren.
Platformmigratie van bestaande firewalls
Azure Firewall migreert actief bestaande niet-ZR-firewalls om zone-redundant te worden:
- Migratie is automatisch en transparant.
- Er is geen downtime of beheerdersactie vereist.
Informatie over zone-eigenschappen na migratie
Na de migratie:
- Voor compatibiliteit met eerdere versies wordt de migratiestatus (dat wil zeggen, bijgewerkte zoneconfiguratie) niet onmiddellijk weergegeven in de eigenschappen van de ARM-sjabloon, JSON of Azure Resource Group (ARG).
- De firewall is nog steeds zone-redundant op de back-end.
- De platforminfrastructuur beheert zoneredundantie onafhankelijk van de eigenschappen van de ARM-sjabloon.
Beschikbaarheidszones configureren in Azure Firewall
U kunt Azure Firewall configureren voor het gebruik van beschikbaarheidszones tijdens de implementatie om de beschikbaarheid en betrouwbaarheid te verbeteren. Gebruik Azure Portal, Azure PowerShell of andere implementatiemethoden om deze configuratie in te stellen.
Azure-portal gebruiken
- Azure Portal biedt standaard geen optie om specifieke beschikbaarheidszones te selecteren bij het maken van een nieuwe Azure Firewall. Azure Firewall wordt standaard geïmplementeerd als zone-redundant, waarbij wordt voldaan aan vereisten voor zoneredundantie.
API's gebruiken
- Geef geen zones op tijdens de implementatie. De back-end configureert de firewall standaard automatisch als zone-redundant.
- Als u specifieke zones opgeeft tijdens de implementatie via DE API, worden de opgegeven zones gehonoreerd.
Azure PowerShell gebruiken
U kunt beschikbaarheidszones configureren met behulp van Azure PowerShell. In het volgende voorbeeld ziet u hoe u een firewall maakt in zones 1, 2 en 3.
Wanneer u een standaard openbaar IP-adres maakt zonder een zone op te geven, wordt dit standaard geconfigureerd als zone-redundant. Standaard openbare IP-adressen kunnen worden gekoppeld aan alle zones of aan één zone.
Een firewall kan niet in één zone worden geïmplementeerd terwijl het openbare IP-adres zich in een andere zone bevindt. U kunt echter een firewall implementeren in een specifieke zone en deze koppelen aan een zoneredundant openbaar IP-adres, of zowel de firewall als het openbare IP-adres in dezelfde zone implementeren voor nabijheidsdoeleinden.
$rgName = "Test-FW-RG"
$vnet = Get-AzVirtualNetwork `
-Name "Test-FW-VN" `
-ResourceGroupName $rgName
$pip1 = New-AzPublicIpAddress `
-Name "AzFwPublicIp1" `
-ResourceGroupName "Test-FW-RG" `
-Sku "Standard" `
-Location "eastus" `
-AllocationMethod Static `
-Zone 1,2,3
New-AzFirewall `
-Name "azFw" `
-ResourceGroupName $rgName `
-Location "eastus" `
-VirtualNetwork $vnet `
-PublicIpAddress @($pip1) `
-Zone 1,2,3
Beperkingen
- Azure Firewall met beschikbaarheidszones wordt alleen ondersteund in regio's die beschikbaarheidszones bieden.
- In regio's met zonebeperkingen vanwege capaciteitsbeperkingen mislukt het implementeren van een zone-redundante firewall. In dergelijke gevallen kunt u de firewall implementeren in één zone of in beschikbare zones om door te gaan met de implementatie.
- Zonebeperkingen worden beschreven op de pagina bekende problemen met Azure Firewall .
Door beschikbaarheidszones te configureren, kunt u hogere beschikbaarheid bereiken en ervoor zorgen dat uw netwerkbeveiligingsinfrastructuur toleranter is.
SLA (Service Level-overeenkomsten)
- Wanneer u Azure Firewall implementeert als zone-redundant (twee of meer beschikbaarheidszones), krijgt u een SLA van 99,99% uptime.
- Een SLA van 99,95% uptime is van toepassing op regionale implementaties in regio's die geen ondersteuning bieden voor beschikbaarheidszones.
Zie de Azure Firewall Service Level Agreement (SLA) en Azure Firewall-functies per SKU voor meer informatie.