Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Brama sieci wirtualnej platformy Azure zapewnia bezpieczną łączność między siecią wirtualną platformy Azure i innymi sieciami — siecią lokalną lub inną siecią wirtualną na platformie Azure.
Platforma Azure udostępnia dwa typy bram sieci wirtualnej:
Bramy usługi Azure ExpressRoute używają połączeń prywatnych, które nie przechodzą przez publiczny Internet.
Bramy wirtualnej sieci prywatnej (VPN) platformy Azure używają szyfrowanych tuneli przez Internet.
Jako składnik platformy Azure brama sieci wirtualnej zapewnia zróżnicowane możliwości obsługi wymagań dotyczących niezawodności.
W przypadku korzystania z platformy Azure niezawodność jest wspólną odpowiedzialnością. Firma Microsoft oferuje szereg możliwości wspierania odporności systemów i odzyskiwania. Odpowiadasz za zrozumienie, jak te możliwości działają w ramach wszystkich używanych usług oraz za wybór tych, które są potrzebne do osiągnięcia Twoich celów biznesowych i celów dotyczących niezawodności.
W tym artykule opisano, jak zapewnić odporność bramy sieci wirtualnej na różne potencjalne awarie i problemy, w tym przejściowe błędy, przerwy w działaniu strefy dostępności, awarie regionów i planowaną konserwację usługi. Wyróżnia także kluczowe informacje dotyczące umowy o poziomie usługi (SLA) dla bramy sieci wirtualnej.
Aby wyświetlić informacje o usłudze Azure VPN Gateway, wybierz odpowiedni typ bramy sieci wirtualnej na początku tej strony.
Ważne
W tym artykule opisano niezawodność bram sieci wirtualnej usługi ExpressRoute, które są składnikami systemu ExpressRoute opartymi na platformie Azure.
Jednak w przypadku korzystania z usługi ExpressRoute należy zaprojektować całą architekturę sieci — nie tylko bramę — aby spełnić wymagania dotyczące odporności. Zazwyczaj używasz wielu lokalizacji, znanych również jako lokalizacje wymiany ruchu, i włączasz wysoką dostępność i szybkie przełączanie awaryjne dla składników lokalnych. Aby uzyskać więcej informacji, zobacz Projektowanie i tworzenie architektury usługi ExpressRoute pod kątem odporności.
Aby wyświetlić informacje o bramach usługi ExpressRoute, wybierz odpowiedni typ bramy sieci wirtualnej na początku tej strony.
Ważne
W tym artykule opisano niezawodność bram sieci wirtualnej, które są składnikami opartymi na platformie Azure usługi Azure VPN Gateway.
Jednak w przypadku korzystania z sieci VPN należy zaprojektować całą architekturę sieci — nie tylko bramę — aby spełnić wymagania dotyczące odporności. Odpowiadasz za zarządzanie niezawodnością Twojej strony połączenia sieci VPN, w tym urządzenia klienckie w przypadku konfiguracji punkt-do-sieci oraz zdalne urządzenia sieci VPN dla konfiguracji sieć-do-sieci. Aby uzyskać więcej informacji na temat konfiguracji infrastruktury w celu zapewnienia wysokiej dostępności, odnieś się do Projektowanie łączności bramy zapewniającej wysoką dostępność dla połączeń między lokalizacjami i sieciami wirtualnymi.
Platforma Azure Well-Architected Framework udostępnia zalecenia dotyczące niezawodności, wydajności, zabezpieczeń, kosztów i operacji. Aby zrozumieć, jak te obszary wpływają na siebie i współtworzyć niezawodne rozwiązanie usługi ExpressRoute, zobacz Najlepsze rozwiązania dotyczące architektury dla usługi ExpressRoute w przewodniku Well-Architected Framework.
Aby zapewnić wysoką niezawodność bram sieci wirtualnej w środowisku produkcyjnym, zastosuj następujące rozwiązania:
Włącz nadmiarowość strefy , jeśli zasoby usługi VPN Gateway znajdują się w obsługiwanym regionie. Wdróż usługę VPN Gateway przy użyciu obsługiwanych jednostki SKU (VpnGw1AZ lub nowszych), aby zapewnić dostęp do funkcji redundancji strefowej.
Użyj publicznych adresów IP SKU Standardowa.
Skonfiguruj tryb aktywny-aktywny pod kątem wyższej dostępności, gdy zdalne urządzenia sieci VPN obsługują ten tryb.
Zaimplementuj odpowiednie monitorowanie przy użyciu usługi Azure Monitor, aby zbierać i wyświetlać metryki usługi VPN Gateway.
Omówienie architektury niezawodności
W usłudze ExpressRoute należy wdrożyć składniki w środowisku lokalnym, lokalizacjach komunikacji równorzędnej i na platformie Azure. Te składniki obejmują następujące elementy:
Obwody i połączenia:Obwód usługi ExpressRoute składa się z dwóch połączeń za pośrednictwem jednej lokalizacji peeringowej do Microsoft Enterprise Edge. W przypadku korzystania z dwóch połączeń można uzyskać łączność aktywno-aktywną. Jednak ta konfiguracja nie chroni przed awariami na poziomie lokacji.
Sprzęt lokalny klienta (CPE): Ten sprzęt obejmuje routery brzegowe i urządzenia klienckie. Upewnij się, że procesor CPE został zaprojektowany tak, aby był odporny i może szybko odzyskiwać dane, gdy występują problemy z innymi częściami infrastruktury usługi ExpressRoute.
Lokacje: Obwody są ustanawiane za pośrednictwem miejsca, które jest fizycznym punktem wymiany ruchu. Witryny są projektowane z myślą o wysokiej dostępności i mają wbudowaną nadmiarowość we wszystkich warstwach. Jednak lokacje reprezentują jedną lokalizację fizyczną, więc mogą wystąpić problemy. Aby ograniczyć ryzyko awarii witryny, usługa ExpressRoute zapewnia opcje odporności witryny, które mają różne poziomy ochrony.
Brama sieci wirtualnej platformy Azure: Na platformie Azure utworzysz bramę sieci wirtualnej , która działa jako punkt zakończenia dla co najmniej jednego obwodu usługi ExpressRoute w sieci wirtualnej platformy Azure.
Na poniższym diagramie przedstawiono dwie różne konfiguracje usługi ExpressRoute, z których każda ma jedną bramę sieci wirtualnej, skonfigurowaną pod kątem różnych poziomów odporności między lokacjami.
Sieć VPN wymaga wdrożenia składników zarówno w środowisku lokalnym, jak i na platformie Azure:
Składniki lokalne: Wdrażane składniki zależą od tego, czy używasz konfiguracji typu punkt-lokacja, czy lokacja-lokacja.
Konfiguracje site-to-site wymagają lokalnego urządzenia sieci VPN, którego wdrażanie, konfigurowanie i zarządzanie leży w Twojej gestii.
Konfiguracje punkt-lokacja wymagają wdrożenia aplikacji klienckiej sieci VPN na urządzeniu zdalnym, na przykład laptopa lub komputera stacjonarnego, i zaimportowania profilu użytkownika do klienta sieci VPN. Każde połączenie typu punkt-lokacja ma własny profil użytkownika. Odpowiadasz za wdrażanie i konfigurowanie urządzeń klienckich.
Aby uzyskać więcej informacji na temat różnic, zobacz Topologia i projektowanie usługi VPN Gateway.
Brama sieci wirtualnej platformy Azure: Na platformie Azure tworzysz bramę sieci wirtualnej, nazywaną również bramą sieci VPN, która działa jako punkt zakończenia połączeń sieci VPN.
Brama sieci lokalnej: Konfiguracja sieci VPN typu lokacja-lokacja wymaga również bramy sieci lokalnej, która reprezentuje zdalne urządzenie sieci VPN. Brama sieci lokalnej przechowuje następujące informacje:
Publiczny adres IP lokalnego urządzenia sieci VPN w celu ustanowienia połączeń z usługą Internet Key Exchange (IKE) fazy 1 i fazy 2
Lokalne sieci IP na potrzeby routingu statycznego
Adres IP protokołu Border Gateway (BGP) zdalnego peera na potrzeby dynamicznego routingu
Na poniższym diagramie przedstawiono kluczowe składniki sieci VPN, które łączą się ze środowiskiem lokalnym z platformą Azure.
Diagram zawiera dwie sekcje: środowisko lokalne i platformę Azure. Środowisko lokalne zawiera sieć VPN typu punkt-lokacja i sieć VPN typu lokacja-lokacja. Każda sieć VPN zawiera trzech klientów, którzy wskazują bramę sieci wirtualnej na platformie Azure. To połączenie w sieci VPN typu lokacja-lokacja przechodzi również przez urządzenie sieci VPN łączące się z bramą sieci lokalnej na platformie Azure. Brama sieci lokalnej łączy się z bramą sieci wirtualnej na platformie Azure. Brama sieci wirtualnej zawiera dwa publiczne adresy IP i dwie maszyny wirtualne pełniące rolę bramy.
Brama sieci wirtualnej
Brama usługi ExpressRoute zawiera co najmniej dwie maszyny wirtualne bramy, które są podstawowymi maszynami wirtualnymi używanymi przez bramę do przetwarzania ruchu usługi ExpressRoute.
Brama sieci wirtualnej VPN zawiera dokładnie dwie maszyny wirtualne bramy (VM), które są bazowymi maszynami wirtualnymi używanymi przez bramę do przetwarzania ruchu VPN.
Nie widać ani nie można bezpośrednio zarządzać maszynami wirtualnymi bramy. Platforma automatycznie zarządza tworzeniem maszyn wirtualnych bramy, monitorowaniem ich kondycji oraz zastępowaniem uszkodzonych maszyn wirtualnych bramy. Aby zapewnić ochronę przed awariami serwera i szafy serwerowej, Azure automatycznie dystrybuuje VMy bram w wielu domenach błędów w danym regionie. Jeśli szafa serwerowa ulegnie awarii, platforma Azure automatycznie migruje bramowe maszyny wirtualne z tego klastra do innego klastra.
Konfigurujesz SKU bramy. Każda jednostka SKU obsługuje inny poziom przepływności i inną liczbę obwodów. W przypadku korzystania z jednostki SKU ErGwScale (wersja zapoznawcza) usługa ExpressRoute automatycznie skaluje bramę, dodając więcej maszyn wirtualnych bramy. Aby uzyskać więcej informacji, zobacz Bramy sieci wirtualnej usługi ExpressRoute.
Brama domyślnie działa w trybie aktywny-aktywny, który obsługuje wysoką dostępność twojego połączenia. Opcjonalnie można przełączyć się na tryb aktywny-pasywny , ale ta konfiguracja zwiększa ryzyko awarii wpływającej na łączność. Aby uzyskać więcej informacji, zobacz Połączenia aktywne-aktywne.
Zazwyczaj ruch sieciowy jest kierowany przez bramę sieci wirtualnej. Jeśli jednak używasz funkcji FastPath, ruch ze środowiska lokalnego pomija bramę. Takie podejście zwiększa przepływność i zmniejsza opóźnienie. Brama pozostaje niezbędna, ponieważ konfiguruje trasowanie ruchu.
Konfigurujesz SKU bramy. Każda jednostka SKU obsługuje inny poziom przepływności i inną liczbę połączeń sieci VPN. Aby uzyskać więcej informacji, zobacz Gateway SKUs.
W zależności od wymagań dotyczących wysokiej dostępności bramę można skonfigurować w jednym z dwóch trybów:
Aktywne wstrzymanie: Jedna maszyna wirtualna bramy przetwarza ruch, a druga maszyna wirtualna bramy pozostaje w stanie wstrzymania.
Aktywny-aktywny: Obie maszyny wirtualne bramy przetwarzają ruch jednocześnie. Ten tryb nie zawsze jest możliwy, ponieważ przepływy połączeń mogą być asymetryczne.
Aby uzyskać więcej informacji, zobacz Projektowanie wysokodostępnej łączności bram dla połączeń między lokalizacjami i połączeń sieci wirtualnych.
Aby chronić przed awariami stref dostępności, można rozdystrybuować maszyny wirtualne bramy w wielu strefach. Ta dystrybucja zapewnia automatyczne przełączenie na tryb awaryjny w regionie i utrzymuje łączność podczas prac konserwacyjnych lub awarii stref. Aby uzyskać więcej informacji, zobacz Odporność na błędy strefy dostępności.
Odporność na błędy przejściowe
Błędy przejściowe to krótkotrwałe, sporadyczne awarie w komponentach. Występują one często w środowisku rozproszonym, takich jak chmura, i są one normalną częścią operacji. Błędy przejściowe naprawiają się po krótkim czasie. Ważne jest, aby aplikacje mogły obsługiwać błędy przejściowe, zwykle ponawiając próby żądań, których dotyczy problem.
Wszystkie aplikacje hostowane w chmurze powinny postępować zgodnie ze wskazówkami dotyczącymi obsługi błędów przejściowych platformy Azure podczas komunikowania się z dowolnymi interfejsami API hostowanymi w chmurze, bazami danych i innymi składnikami. Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące obsługi błędów przejściowych.
W przypadku aplikacji łączących się za pośrednictwem bramy sieci wirtualnej zaimplementuj mechanizm ponawiania prób z wykładniczym opóźnieniem, aby rozwiązać potencjalne przejściowe problemy z połączeniem. Stanowy charakter bram sieci wirtualnej zapewnia, że prawidłowe połączenia są utrzymywane podczas krótkich przerw w działaniu sieci.
W środowisku sieci rozproszonej błędy przejściowe mogą występować w wielu warstwach, w tym w następujących lokalizacjach:
- Środowisko na miejscu
- Lokacja brzegowa
- Internet
- Azure
Usługa ExpressRoute zmniejsza wpływ przejściowych błędów przy użyciu nadmiarowych ścieżek połączenia, szybkiego wykrywania błędów i automatycznego trybu failover. Należy jednak prawidłowo skonfigurować aplikacje i składniki lokalne, aby były odporne na różne problemy. Aby uzyskać kompleksowe strategie obsługi błędów, zobacz Projektowanie pod kątem wysokiej dostępności przy użyciu usługi ExpressRoute.
W przypadku poprawnej konfiguracji routingu adresów IP na urządzeniu lokalnym, ruch danych, taki jak Transmission Control Protocol (TCP), automatycznie przechodzi przez aktywne tunele IPsec w przypadku rozłączenia.
Błędy przejściowe mogą czasami wpływać na tunele IPsec lub przepływy danych TCP. W przypadku rozłączenia protokół IKE renegocjuje skojarzenia zabezpieczeń (SA) dla fazy 1 i 2 w celu ponownego utworzenia tunelu IPsec.
Odporność na błędy strefy dostępności
Strefy dostępności są fizycznie oddzielnymi grupami centrów danych w regionie świadczenia usługi Azure. Gdy jedna strefa ulegnie awarii, usługi mogą przejść w tryb failover do jednej z pozostałych stref.
Bramy sieci wirtualnej są automatycznie strefowo-redundantne, gdy spełniają one wymagania. Nadmiarowość strefy eliminuje każdą strefę jako punkt awarii i zapewnia najwyższy poziom odporności strefy. Bramy nadmiarowe w strefach zapewniają automatyczne przełączenie w regionie, utrzymując łączność podczas konserwacji lub awarii strefy.
Strefowo nadmiarowe maszyny wirtualne bramy usługi ExpressRoute są automatycznie dystrybuowane w co najmniej trzech strefach dostępności.
Na poniższym diagramie przedstawiono bramę sieci wirtualnej z redundancją strefową oraz trzema maszynami wirtualnymi rozłożonymi w różnych strefach dostępności.
Uwaga / Notatka
Obwody lub połączenia nie obejmują konfiguracji strefy dostępności. Te zasoby znajdują się w obiektach brzegowych sieci, które nie są przeznaczone do używania stref dostępności.
W usłudze VPN Gateway nadmiarowość stref oznacza, że maszyny wirtualne dla bramy są automatycznie rozmieszczane w wielu strefach dostępności.
Na poniższym diagramie przedstawiono strefowo nadmiarową bramę sieci wirtualnej z dwiema maszynami wirtualnymi bramy rozmieszczonymi w różnych strefach dostępności.
Uwaga / Notatka
Bramy sieci lokalnej nie wymagają konfiguracji strefy dostępności, ponieważ są one automatycznie odporne na strefy.
W przypadku korzystania z obsługiwanej jednostki SKU, nowo utworzone bramy są automatycznie redundantne strefowo. Zalecamy nadmiarowość strefową dla wszystkich obciążeń produkcyjnych.
Requirements
- Obsługa regionów: Strefowo nadmiarowe bramy sieci wirtualnej są dostępne we wszystkich regionach, które obsługują strefy dostępności.
SKU: Aby brama sieci wirtualnej była strefowo nadmiarowa, musi używać SKU, które obsługuje nadmiarowość stref. W poniższej tabeli przedstawiono, które jednostki SKU obsługują nadmiarowość strefową.
Nazwa jednostki SKU Obsługuje strefy dostępności Standard Nie. HighPerformance Nie. UltraPerformance Nie. ErGw1Az Tak ErGw2Az Tak ErGw3Az Tak ErGwScale (wersja zapoznawcza) Tak
SKU: Aby brama sieci wirtualnej była strefowo nadmiarowa, musi używać SKU, które obsługuje nadmiarowość stref. Wszystkie warstwy usługi VPN Gateway obsługują redundancję stref z wyjątkiem jednostki SKU Podstawowa, przeznaczonej tylko dla środowisk deweloperskich. Aby uzyskać więcej informacji na temat opcji SKU, zobacz SKU bramy.
Publiczne adresy IP: Należy użyć publicznych adresów IP w warstwie SKU standardowej i skonfigurować je tak, aby były strefowo nadmiarowe.
Koszt
Bramy z nadmiarowością strefową dla usługi ExpressRoute wymagają określonych SKU, które mogą mieć wyższe stawki godzinowe w porównaniu do standardowych SKU bram, ze względu na ich ulepszone możliwości i charakterystykę wydajności. Aby uzyskać więcej informacji, zobacz Cennik usługi ExpressRoute.
Nie ma dodatkowych kosztów dla bramy wdrożonej w wielu strefach dostępności, jeśli używasz obsługiwanego SKU. Aby uzyskać więcej informacji, zobacz Cennik usługi VPN Gateway.
Konfiguruj obsługę stref dostępności
W tej sekcji opisano sposób konfigurowania nadmiarowości stref dla bram sieci wirtualnej.
- Utwórz nową bramę sieci wirtualnej, która obsługuje strefy dostępności. Nowe bramy sieci wirtualnej są automatycznie strefowo nadmiarowe, jeśli spełniają wymienione wcześniej wymagania. Aby uzyskać więcej informacji, zobacz Tworzenie strefowo nadmiarowej bramy sieci wirtualnej w strefach dostępności.
- Utwórz nową bramę sieci wirtualnej, która obsługuje strefy dostępności. Nowe bramy sieci wirtualnej są automatycznie strefowo nadmiarowe, jeśli spełniają wymienione wcześniej wymagania. Aby uzyskać więcej informacji, zobacz Tworzenie strefowo nadmiarowej bramy sieci wirtualnej w strefach dostępności.
- Zmień konfigurację strefy dostępności istniejącej bramy sieci wirtualnej. Bramy sieci wirtualnej, które zostały już utworzone, mogą nie mieć nadmiarowości strefowej. Możesz przeprowadzić migrację bramy niezonowej do bramy z nadmiarowością strefową przy minimalnym przestoju. Aby uzyskać więcej informacji, zobacz Migrowanie bram usługi ExpressRoute do jednostek SKU obsługujących strefy dostępności.
- Zmień konfigurację strefy dostępności istniejącej bramy sieci wirtualnej. Bramy sieci wirtualnej, które zostały już utworzone, mogą nie mieć nadmiarowości strefowej. Możesz przeprowadzić migrację bramy niezonowej do bramy z nadmiarowością strefową przy minimalnym przestoju. Aby uzyskać więcej informacji, zobacz Konsolidacja i migracja jednostek SKU.
Zachowanie, gdy wszystkie strefy są w dobrej kondycji
W poniższej sekcji opisano, czego można oczekiwać, gdy brama sieci wirtualnej jest skonfigurowana pod kątem nadmiarowości strefowej i wszystkie strefy dostępności działają.
Routing ruchu między strefami: Ruch ze środowiska lokalnego jest dystrybuowany między maszynami wirtualnymi w bramie we wszystkich strefach używanych przez twoją bramę. Ta konfiguracja aktywne-aktywne zapewnia optymalną wydajność i rozkład obciążenia w normalnych warunkach operacyjnych.
Jeśli używasz programu FastPath do zoptymalizowanej wydajności, ruch ze środowiska lokalnego pomija bramę, co zwiększa przepływność i zmniejsza opóźnienie. Aby uzyskać więcej informacji, zobacz ExpressRoute FastPath.
Replikacja danych między strefami: Żadna replikacja danych nie występuje między strefami, ponieważ brama sieci wirtualnej nie przechowuje trwałych danych klienta.
Routing ruchu między strefami: Nadmiarowość strefy nie ma wpływu na sposób kierowania ruchu. Ruch jest kierowany między maszynami wirtualnymi bramy na podstawie konfiguracji klientów. Jeśli brama używa konfiguracji aktywne-aktywne i używa dwóch publicznych adresów IP, obie maszyny wirtualne bramy mogą odbierać ruch. W przypadku konfiguracji active-standby ruch jest kierowany do pojedynczej głównej maszyny wirtualnej bramy, wybranej przez platformę Azure.
Replikacja danych między strefami: Usługa VPN Gateway nie musi synchronizować stanu połączenia między strefami dostępności. W trybie aktywny-aktywny brama VM, która przetwarza połączenie VPN, jest odpowiedzialna za zarządzanie stanem połączenia.
- Zarządzanie maszynami wirtualnymi bramy: Platforma automatycznie wybiera strefy dla maszyn wirtualnych bramy i zarządza ich rozmieszczeniem w tych strefach. Monitorowanie kondycji gwarantuje, że tylko maszyny wirtualne bramy w dobrej kondycji odbierają ruch.
Zachowanie podczas awarii strefy
W poniższej sekcji opisano, czego można oczekiwać, gdy brama sieci wirtualnej jest skonfigurowana pod kątem nadmiarowości strefowej i występuje zakłócenie w strefie dostępności.
- Wykrywanie i reagowanie: Platforma Azure wykrywa awarię w strefie dostępności i reaguje na nie. Nie musisz inicjować trybu failover strefy.
- Powiadomienie: firma Microsoft nie powiadamia cię automatycznie, gdy strefa nie działa. Możesz jednak użyć usługi Azure Resource Health do monitorowania kondycji pojedynczego zasobu i skonfigurować alerty usługi Resource Health w celu powiadamiania o problemach. Możesz również użyć usługi Azure Service Health , aby zrozumieć ogólną kondycję usługi, w tym wszelkie błędy strefy, i skonfigurować alerty usługi Service Health w celu powiadamiania o problemach.
Aktywne żądania: Wszystkie aktywne żądania połączone za pośrednictwem maszyn wirtualnych bramy w strefie kończącej się niepowodzeniem zostaną zakończone. Aplikacje klienckie powinny ponowić próby żądań, postępując zgodnie ze wskazówkami dotyczącymi obsługi błędów przejściowych.
Oczekiwana utrata danych: Awarie stref nie powinny powodować utraty danych, ponieważ bramy sieci wirtualnej nie przechowują trwałych danych klientów.
Oczekiwany przestój: Podczas przestojów w strefach połączenia mogą wystąpić krótkie przerwy, które zwykle trwają do jednej minuty, gdy ruch jest redystrybuowany. Aplikacje klienckie powinny ponowić próby żądań, postępując zgodnie ze wskazówkami dotyczącymi obsługi błędów przejściowych.
Przekierowywanie ruchu: Platforma automatycznie dystrybuuje ruch do maszyn wirtualnych bramy w zdrowych strefach.
Połączenia z obsługą funkcji FastPath utrzymują zoptymalizowany routing w całym procesie failover, co zapewnia minimalny wpływ na działanie aplikacji.
- Przekierowywanie ruchu: Ruch jest automatycznie przekierowywany do drugiej maszyny wirtualnej bramy w innej strefie dostępności.
Odzyskiwanie strefy
Gdy problematyczna strefa dostępności odtworzy się, platforma Azure automatycznie przywraca maszyny wirtualne bramy działające w odzyskanej strefie i wraca do standardowego rozkładu ruchu we wszystkich strefach używanych przez bramę.
Testowanie pod kątem niepowodzeń strefy
Platforma Azure zarządza routingiem ruchu, przełączaniem trybu awaryjnego i powrotem po awarii dla strefowo nadmiarowych bram sieci wirtualnych. Ta funkcja jest w pełni zarządzana, więc nie trzeba inicjować ani weryfikować procesów awarii strefy dostępności.
Odporność na awarie całego regionu
Brama sieci wirtualnej jest zasobem specyficznym dla jednego regionu. Jeśli region stanie się niedostępny, brama jest również niedostępna.
Uwaga / Notatka
Możesz użyć jednostki SKU usługi ExpressRoute w warstwie Premium, gdy zasoby platformy Azure są rozłożone w wielu regionach. Jednak jednostka SKU Premium nie ma wpływu na sposób konfigurowania bramy i nadal jest wdrażana w jednym regionie. Aby uzyskać więcej informacji, zobacz ExpressRoute overview (Omówienie usługi ExpressRoute).
Niestandardowe rozwiązania obejmujące wiele regionów w celu zapewnienia odporności
Niezależne ścieżki łączności ze środowiskiem platformy Azure można utworzyć przy użyciu co najmniej jednego z następujących podejść:
Utwórz wiele obwodów usługi ExpressRoute łączących się z bramami w różnych regionach świadczenia usługi Azure.
Użyj sieci VPN typu lokacja-lokacja jako kopii zapasowej dla ruchu prywatnego peeringowego.
Użyj łączności z Internetem jako rozwiązania zapasowego dla ruchu peeringowego firmy Microsoft.
Aby uzyskać więcej informacji, zobacz Projektowanie odzyskiwania po awarii przy użyciu prywatnego peeringu ExpressRoute.
Oddzielne bramy sieci VPN można wdrożyć w co najmniej dwóch różnych regionach. Każda brama jest podłączona do innej sieci wirtualnej, a bramy działają niezależnie. Nie ma interakcji ani replikacji konfiguracji lub stanu między nimi. Odpowiadasz również za skonfigurowanie klientów i urządzeń zdalnych w celu nawiązania połączenia z poprawną siecią VPN lub przełączenie się między sieciami VPN, jeśli jest to wymagane.
Odporność usługi na prace konserwacyjne
Platforma Azure regularnie konserwuje bramy sieci wirtualnej, aby zapewnić optymalną wydajność i bezpieczeństwo. W tych oknach obsługi mogą wystąpić pewne zakłócenia usługi, ale platforma Azure projektuje te działania w celu zminimalizowania wpływu na łączność.
Podczas planowanych operacji konserwacji w bramach sieci wirtualnej proces jest uruchamiany sekwencyjnie na maszynach wirtualnych bramy, a nie jednocześnie. Ten proces zapewnia, że brama VM zawsze pozostaje aktywna podczas konserwacji, co minimalizuje wpływ na istniejące połączenia.
Aby zmniejszyć prawdopodobieństwo nieoczekiwanych zakłóceń, można skonfigurować okna obsługi bramy w celu dostosowania ich do wymagań operacyjnych.
Aby uzyskać więcej informacji, zobacz Konfigurowanie konserwacji kontrolowanej przez klienta dla bram usługi ExpressRoute.
Aby uzyskać więcej informacji, zobacz Konfigurowanie okien obsługi dla bram sieci wirtualnej.
Umowa dotycząca poziomu usług
Umowa dotycząca poziomu usług (SLA) dla usług platformy Azure opisuje oczekiwaną dostępność każdej usługi oraz warunki, które rozwiązanie musi spełnić, aby osiągnąć te oczekiwania dotyczące dostępności. Aby uzyskać więcej informacji, zobacz Umowy SLA dotyczące usług online.
Usługa ExpressRoute zapewnia SLA o wysokiej dostępności, która gwarantuje wysoki czas działania dla Twoich połączeń. Różne umowy SLA dotyczące dostępności mają zastosowanie w przypadku wdrażania w wielu lokalizacjach komunikacji równorzędnej, jeśli używasz ExpressRoute Metro lub jeśli masz konfigurację dla jednej lokalizacji.
Wszystkie jednostki SKU bramy sieci VPN, poza podstawową jednostką SKU, kwalifikują się do wyższej dostępności SLA. Jednostka SKU "Podstawowa" zapewnia niższą dostępność SLA oraz ograniczone możliwości. Należy jej używać wyłącznie do testowania i rozwoju. Aby uzyskać więcej informacji, zobacz Jednostki SKU bramy: obciążenia produkcyjne i testowo-deweloperskie