Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Azure Bastion to w pełni zarządzana platforma jako usługa (PaaS), którą aprowizujesz w celu zapewnienia połączeń o wysokim poziomie zabezpieczeń z maszynami wirtualnymi za pośrednictwem prywatnego adresu IP. Zapewnia bezproblemową łączność RDP/SSH z maszynami wirtualnymi bezpośrednio za pośrednictwem protokołu TLS z witryny Azure Portal lub za pośrednictwem natywnego klienta SSH lub RDP, który jest już zainstalowany na komputerze lokalnym. Podczas nawiązywania połączenia za pośrednictwem usługi Azure Bastion maszyny wirtualne nie potrzebują publicznego adresu IP, agenta ani specjalnego oprogramowania klienckiego.
W przypadku korzystania z platformy Azure niezawodność jest wspólną odpowiedzialnością. Firma Microsoft oferuje szereg możliwości wspierania odporności systemów i odzyskiwania. Odpowiadasz za zrozumienie sposobu działania tych możliwości we wszystkich używanych usługach oraz wybór możliwości potrzebnych do osiągnięcia twoich celów biznesowych i celów dostępności.
W tym artykule opisano, jak usługa Azure Bastion jest odporna na różne potencjalne awarie i problemy, w tym przejściowe błędy, awarie stref dostępności i awarie regionów. Wyróżnia kluczowe informacje o umowie dotyczącej poziomu usług (SLA) usługi Azure Bastion.
Ważne
Obsługa strefy dostępności dla usługi Azure Bastion jest obecnie dostępna w wersji zapoznawczej. Zapoznaj się z dodatkowymi warunkami użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które znajdują się w wersji beta, w wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Zalecenia dotyczące wdrażania produkcyjnego pod kątem niezawodności
W przypadku obciążeń produkcyjnych zalecamy:
- Użyj podstawowej wersji SKU lub nowszej.
- Włącz nadmiarowość strefy, jeśli host bastionu znajduje się w obsługiwanym regionie.
Omówienie architektury niezawodności
W przypadku korzystania z usługi Azure Bastion należy wdrożyć hosta bastionu w podsieci spełniającej wymagania usługi Azure Bastion.
Host bastionu ma zdefiniowaną liczbę wystąpień, które są czasami nazywane jednostkami skalowania. Każda instancja reprezentuje pojedynczą, dedykowaną maszynę wirtualną, która obsługuje połączenia Azure Bastion. Platforma automatycznie zarządza tworzeniem wystąpień, monitorowaniem kondycji i zastępowaniem niesprawnych wystąpień, dzięki czemu maszyny wirtualne nie są widoczne ani zarządzane bezpośrednio przez użytkownika.
Jednostka SKU Podstawowa obsługuje dokładnie dwa wystąpienia. Warianty SKU w wersjach Standardowa i Premium obsługują skalowanie hostów, gdzie można skonfigurować liczbę instancji, z minimalną liczbą dwóch. Po dodaniu większej liczby instancji, host bastionu może obsługiwać dodatkowe współbieżne połączenia klienckie.
Odporność na błędy przejściowe
Błędy przejściowe to krótkie, przerywane usterki w komponentach. Występują one często w środowisku rozproszonym, takich jak chmura, i są one normalną częścią operacji. Błędy przejściowe naprawiają się po krótkim czasie. Ważne jest, aby aplikacje mogły obsługiwać błędy przejściowe, zwykle ponawiając próby żądań, których dotyczy problem.
Wszystkie aplikacje hostowane w chmurze powinny postępować zgodnie ze wskazówkami dotyczącymi obsługi błędów przejściowych platformy Azure podczas komunikowania się z dowolnymi interfejsami API hostowanymi w chmurze, bazami danych i innymi składnikami. Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące obsługi błędów przejściowych.
Jeśli przejściowe błędy wpływają na maszynę wirtualną lub hosta bastionu, klienci korzystający z protokołów SSH (Secure Sockets Host) i Remote Desktop Protocol (RDP) zwykle ponawiają próbę automatycznie.
Odporność na błędy strefy dostępności
Strefy dostępności są fizycznie oddzielnymi grupami centrów danych w regionie świadczenia usługi Azure. Gdy jedna strefa ulegnie awarii, usługi mogą przejść w tryb failover do jednej z pozostałych stref.
Usługa Azure Bastion obsługuje strefy dostępności zarówno w konfiguracjach strefowo nadmiarowych, jak i strefowych:
Strefowo redundantny: Host bastionu strefowo redundantny osiąga odporność i niezawodność, rozmieszczając swoje instancje w wielu strefach dostępności. Należy wybrać strefy dostępności, których chcesz użyć dla hosta bastionu.
Na poniższym diagramie przedstawiono hosta bastionu strefowo nadmiarowego z wystąpieniami rozmieszczonymi w trzech strefach:
Jeśli określisz więcej stref dostępności niż masz wystąpień, usługa Azure Bastion rozkłada wystąpienia na tyle stref, ile zdoła.
Strefowy: Strefowy host bastionowy i wszystkie jego instancje znajdują się w jednej, przez ciebie wybranej strefie dostępności.
Ważne
Przypinanie do pojedynczej strefy dostępności jest zalecane tylko wtedy, gdy opóźnienie między strefami jest zbyt wysokie dla Twoich potrzeb i po sprawdzeniu, czy opóźnienie nie spełnia wymagań. Sam zasób strefowy nie zapewnia odporności na awarię strefy dostępności. Aby zwiększyć odporność zasobu strefowego, należy wyraźnie wdrożyć oddzielne zasoby w wielu strefach dostępności i skonfigurować routing ruchu oraz mechanizm przełączenia awaryjnego. Aby uzyskać więcej informacji, zobacz Zasoby strefowe i odporność strefy.
Wymagania
Obsługa regionów: Hosty bastionowe strefowe i strefowo-nadmiarowe można wdrożyć w następujących regionach świata:
Ameryka Europa Bliski Wschód Afryka Azja i Pacyfik Kanada Środkowa Europa Północna Katar Środkowy Północna Republika Południowej Afryki Australia Wschodnia Środkowe stany USA Szwecja Środkowa Izrael Środkowy Korea Środkowa Wschodnie stany USA Południowe Zjednoczone Królestwo Wschodnie stany USA 2 Europa Zachodnia Zachodnie stany USA 2 Norwegia Wschodnia Wschodnie stany USA 2 — EUAP Włochy Północne Meksyk Środkowy Hiszpania Środkowa SKU: Aby skonfigurować hosty bastionu jako strefowe lub strefowo nadmiarowe, należy wdrożyć z użyciem SKU w wersji Podstawowej, Standardowej lub Premium.
Publiczny adres IP: Usługa Azure Bastion wymaga strefowo-zduplikowanego publicznego adresu IP w warstwie Standard.
Koszt
Nie ma dodatkowych kosztów korzystania z obsługi strefy dostępności dla usługi Azure Bastion. Opłaty są naliczane na podstawie SKU bastion hosta i liczby używanych instancji. Aby uzyskać informacje, zobacz Cennik usługi Azure Bastion.
Skonfiguruj wsparcie dla strefy dostępności.
Wdróż nowego hosta bastionu z obsługą strefy dostępności: Podczas wdrażania nowego hosta bastionu w regionie obsługującym strefy dostępności należy wybrać określone strefy, do których chcesz wdrożyć.
Aby zapewnić redundancję stref, musisz wybrać wiele stref.
Wybierając, które strefy dostępności chcesz używać, faktycznie wybierasz logiczną strefę dostępności. W przypadku wdrażania innych składników obciążenia w innej subskrypcji platformy Azure mogą one użyć innego logicznego numeru strefy dostępności, aby uzyskać dostęp do tej samej fizycznej strefy dostępności. Aby uzyskać więcej informacji, zobacz Strefy dostępności fizycznej i logicznej.
Istniejące hosty bastionu: Nie można zmienić konfiguracji strefy dostępności istniejącego hosta bastionu. Zamiast tego należy utworzyć hosta bastionu z nową konfiguracją i usunąć stary.
Zachowanie, gdy wszystkie strefy są w dobrej kondycji
W tej sekcji opisano, czego można oczekiwać, gdy hosty bastionu są skonfigurowane pod kątem obsługi strefy dostępności, a wszystkie strefy dostępności działają.
Routing ruchu między strefami: Po zainicjowaniu sesji SSH lub RDP można ją kierować do instancji Azure Bastion w dowolnej z wybranych stref dostępności.
W przypadku skonfigurowania redundancji strefowej na hoście bastionu, sesja może zostać wysłana do instancji bastionu w strefie dostępności różniącej się od tej, w której znajduje się maszyna wirtualna, z którą nawiązywane jest połączenie. Na poniższym diagramie żądanie od użytkownika jest wysyłane do instancji Azure Bastion w strefie 2, chociaż maszyna wirtualna znajduje się w strefie 1.
Wskazówka
W większości scenariuszy opóźnienie między strefami nie jest znaczące. Jeśli jednak masz niezwykle rygorystyczne wymagania dotyczące opóźnień dla obciążeń, powinieneś wdrożyć dedykowanego hosta bastionowego w jednej strefie w strefie dostępności maszyny wirtualnej. Należy pamiętać, że ta konfiguracja nie zapewnia nadmiarowości strefy i nie zalecamy jej dla większości klientów.
Replikacja danych między strefami: Ponieważ usługa Azure Bastion nie przechowuje stanu, nie ma danych do replikacji między strefami.
Zachowanie podczas awarii strefy
W tej sekcji opisano, czego można oczekiwać, gdy hosty bastionu są skonfigurowane pod kątem obsługi strefy dostępności i występuje awaria strefy dostępności.
Wykrywanie i reagowanie: Korzystając z nadmiarowości strefowej, usługa Azure Bastion wykrywa i reaguje na błędy w strefie dostępności. Nie musisz nic robić, aby zainicjować przełączenie awaryjne w strefie dostępności.
W przypadku wystąpień strefowo nadmiarowych usługa Azure Bastion podejmuje najlepszą próbę zastąpienia wszelkich utraconych wystąpień z powodu awarii strefy. Nie ma jednak gwarancji, że wystąpienia zostaną zastąpione.
- Powiadomienie: firma Microsoft nie powiadamia cię automatycznie, gdy strefa nie działa. Możesz jednak użyć usługi Azure Resource Health do monitorowania kondycji pojedynczego zasobu i skonfigurować alerty usługi Resource Health w celu powiadamiania o problemach. Możesz również użyć usługi Azure Service Health , aby zrozumieć ogólną kondycję usługi, w tym wszelkie błędy strefy, i skonfigurować alerty usługi Service Health w celu powiadamiania o problemach.
Aktywne żądania: Gdy strefa dostępności jest niedostępna, wszystkie połączenia RDP lub SSH w toku, które korzystają z wystąpienia usługi Azure Bastion w uszkodzonej strefie dostępności, są przerywane i wymagają ponownego podjęcia próby.
Jeśli maszyna wirtualna, z którą nawiązujesz połączenie, nie znajduje się w strefie dostępności, której dotyczy problem, będzie nadal działać. Aby uzyskać więcej informacji na temat procesu utraty dostępności strefy dla maszyn wirtualnych, zobacz Niezawodność na maszynach wirtualnych — zachowanie podczas awarii strefy.
Oczekiwany przestój: Oczekiwany przestój zależy od konfiguracji strefy dostępności używanej przez hosta bastionu.
Strefowa redundancja: Podczas odzyskiwania operacji przez usługę może wystąpić niewielki przestój. Ten przestój zazwyczaj trwa kilka sekund.
Strefowego: Wystąpienie jest niedostępne do momentu odzyskania strefy dostępności.
Oczekiwana utrata danych: Ponieważ usługa Azure Bastion nie przechowuje stanu, nie ma oczekiwanej utraty danych podczas awarii strefy.
Przekierowywanie ruchu: Gdy korzystasz z zonowej nadmiarowości, nowe połączenia używają wystąpień usługi Azure Bastion w dobrych strefach dostępności. Ogólnie rzecz biorąc, usługa Azure Bastion pozostaje operacyjna.
Odzyskiwanie strefy
Gdy strefa dostępności zostanie odzyskana, usługa Azure Bastion automatycznie przywraca wystąpienia w strefie dostępności i przekierowuje ruch między wystąpieniami w zwykły sposób.
Testowanie pod kątem niepowodzeń strefy
Platforma Azure Bastion zarządza trasowaniem ruchu, przełączaniem awaryjnym oraz przywracaniem po awarii dla strefowo nadmiarowych hostów bastionu. Ponieważ ta funkcja jest w pełni zarządzana, nie trzeba inicjować ani sprawdzać procesów awarii strefy dostępności.
Odporność na awarie całego regionu
Usługa Azure Bastion jest wdrażana w sieciach wirtualnych lub równorzędnych sieciach wirtualnych i jest skojarzona z regionem świadczenia usługi Azure. Azure Bastion to usługa jednoregionowa. Jeśli region stanie się niedostępny, również host bastionu będzie niedostępny.
Usługa Azure Bastion obsługuje nawiązywanie połączenia z maszynami wirtualnymi w globalnie równorzędnych sieciach wirtualnych, ale jeśli region hostujący hosta bastionu jest niedostępny, nie będzie można użyć hosta bastionu. Aby zapewnić większą odporność, w przypadku wdrożenia ogólnego rozwiązania w wielu regionach z oddzielnymi sieciami wirtualnymi w każdym regionie należy wdrożyć usługę Azure Bastion w każdym regionie.
Jeśli masz lokację odzyskiwania po awarii w innym regionie świadczenia usługi Azure, pamiętaj, aby wdrożyć usługę Azure Bastion w sieci wirtualnej w tym regionie.
Umowa dotycząca poziomu usług
Umowa dotycząca poziomu usług (SLA) dla usług platformy Azure opisuje oczekiwaną dostępność każdej usługi oraz warunki, które rozwiązanie musi spełnić, aby osiągnąć te oczekiwania dotyczące dostępności. Aby uzyskać więcej informacji, zobacz Umowy SLA dotyczące usług online.