Azure Bastion 是完全受控的平台即服務 (PaaS),您可以佈建它,以透過私人 IP 位址提供與虛擬機器的高安全性連線。 其直接透過 Azure 入口網站的 TLS,或透過本機電腦上原本安裝的原生 SSH 或 RDP 用戶端,為虛擬機器提供順暢的 RDP/SSH 連線。 當您透過 Azure Bastion 連線時,虛擬機不需要公用 IP 位址、代理程式或特殊客戶端軟體。
當您使用 Azure 時, 可靠性是共同的責任。 Microsoft 提供一系列功能來支援韌性和復原。 您有責任瞭解這些功能在您使用的所有服務中如何運作,並選取符合業務目標和正常運作時間目標所需的功能。
本文說明如何讓 Azure Bastion 能夠復原各種潛在中斷和問題,包括暫時性錯誤、可用性區域中斷和區域中斷。 它醒目提示 Azure Bastion 服務等級協定 (SLA) 的一些重要資訊。
重要
Azure Bastion 的可用性區域支援目前處於預覽狀態。 如需適用於 Beta 版、預覽版或尚未正式發行的 Azure 功能的法律條款,請參閱 Microsoft 適用於 azure 預覽版的補充使用規定。
可靠性的生產部署建議
針對生產工作負載,我們建議您:
- 使用基本版或更高版本的 SKU。
- 如果您的防禦主機位於支援的區域中,請啟用區域備援。
可靠性架構概觀
當您使用 Azure Bastion 時,您必須將 防禦主機 部署至 符合 Azure Bastion 需求的子網路。
堡壘主機具有特定數量的執行個體,這些執行個體有時也被稱為縮放單位。 每個執行個體都代表處理 Azure 堡壘主機連線的單一專用 VM。 平台會自動管理執行個體建立、健康情況監控和更換狀況不良的執行個體,因此您不會直接看到或管理 VM。
基本 SKU 只支援兩個執行個體。 標準和高級 SKU 支援主機擴充,您可以配置執行個體的數量,最少需要兩個執行個體。 當您新增更多執行個體時,堡壘主機可以容納更多並行用戶端連線。
對瞬態故障的彈性
暫時性錯誤是元件中的短暫間歇性失敗。 它們經常出現在雲端等分散式環境中,而且是作業的一般部分。 暫時性錯誤會在短時間內自行修正。 請務必確保您的應用程式能妥善處理暫時性錯誤,通常透過重試受影響的請求來進行。
所有雲端裝載的應用程式在與任何雲端裝載的 API、資料庫和其他元件通訊時,都應該遵循 Azure 暫時性錯誤處理指引。 如需詳細資訊,請參閱 處理暫時性錯誤的建議。
如果暫時性故障影響您的虛擬機器或堡壘主機,使用 SSH 和 RDP 協定的用戶端通常會自動重試。
對可用性區域故障的抵抗力
可用性區域 是 Azure 區域內物理上獨立的資料中心群組。 當某個區域失敗時,服務可以切換至其他區域之一。
Bastion 支援在區域備援或區域性設定中的可用性區域:
區域備援: 區域備援防禦主機透過將其執行個體分散到多個 可用性區域來實現彈性和可靠性。 您可以選取希望用於堡壘主機的可用性區域。
下圖顯示區域備援堡壘主機,其執行個體分散在三個區域中:
如果您指定的可用性區域比有實例更多,Azure Bastion 會將實例分散到盡可能多的區域。
區域: 區域堡壘主機及其所有執行個體都位於您選取的單一可用性區域中。
重要
只有在跨區域延遲太高而無法滿足您的需求,以及您確認該延遲不符合您的需求後,才建議固定至單一可用性區域。 區域資源本身不會提供可用性區域中斷的復原能力。 若要改善區域性資源的復原能力,您必須明確將個別資源部署到多個可用性區域,並設定流量路由和容錯移轉。 欲了解更多資訊,請參閱 區域資源與區域韌性。
需求
地區支援: 區域和區域備援堡壘主機可以部署到下列區域:
美洲 歐洲 中東 非洲 亞太地區 加拿大中部 北歐 卡達中部 南非北部 澳大利亞東部 美國中部 瑞典中部 以色列中部 南韓中部 美國東部 英國南部 美國東部 2 西歐 美國西部 2 挪威東部 美國東部 2 EUAP 義大利北部 墨西哥中部 西班牙中部 存貨單位: 若要將防禦主機設定為區域性或區域備援,您必須使用基本、標準或進階 SKU 進行部署。
公網IP位址: Azure Bastion 需要標準 SKU 區域備援公用 IP 位址。
成本
使用 Azure Bastion 的可用性區域支援不需要額外成本。 會根據堡壘主機的 SKU 以及其使用的執行個體數目來計算費用。 如需詳細資訊,請參閱 Azure Bastion 定價。
設定可用性區域支援
部署具有可用性區域支援的新防禦主機: 當您 在支援可用性區域的區域中部署新的防禦主機時,請選取要部署的特定區域。
針對區域備援,您必須選取多個區域。
當您選取要使用的可用性區域時,實際上會選取 邏輯可用性區域。 如果您在不同的 Azure 訂用帳戶中部署其他工作負載元件,他們可能會使用不同的邏輯可用性區域號碼來存取相同的實體可用性區域。 如需詳細資訊,請參閱實體和邏輯可用性區域。
現有的防禦主機: 無法變更現有防禦主機的可用性區域組態。 相反地,您需要使用新組態建立防禦主機,並刪除舊組態。
所有區域都狀況良好時的行為
本節說明當堡壘主機配置為可用性區支持且所有可用性區域運行正常時,會發生什麼情況。
區域之間的流量路由: 當您起始 SSH 或 RDP 工作階段時,它可以路由傳送至所選任何可用性區域中的 Azure Bastion 實例。
如果您在堡壘主機上設定區域備援,則工作階段可能會傳送至與您正在連線的虛擬機器不同的可用性區域中的堡壘執行個體。 在下圖中,雖然虛擬機位於區域 1,但來自使用者的要求會傳送至區域 2 中的 Azure Bastion 實例:
小提示
在大部分情況下,跨區域延遲量並不顯著。 不過,如果您的工作負載有異常嚴格的延遲需求,則應在虛擬機器的可用性區域中部署專用的單一區域防禦主機。 請記住,此設定不提供區域備援,而且我們不建議大多數客戶使用。
區域之間的資料複寫: 由於 Azure Bastion 不會儲存狀態,因此區域之間沒有要複寫的資料。
區域失敗期間的行為
本節說明當堡壘主機設定為可用性區域支援,且發生可用性區域中斷時,可以預期什麼情況。
偵測和回應: 當您使用區域備援時,Azure Bastion 會偵測並回應可用性區域中的失敗。 您不需要執行任何動作來起始可用性區域容錯移轉。
針對區域備援執行個體,Bastion 會盡最大努力取代因區域中斷而遺失的任何執行個體。 不過,無法保證執行個體會被取代。
- 通知:Microsoft 不會在區域關閉時自動通知您。 不過,你可以使用 Azure Resource Health 監控單一資源的健康狀況,並設定資源 健康警示 來通知你問題。 你也可以使用 Azure Service Health 來了解整體服務的健康狀況,包括任何區域故障,並設定 服務健康警示 來通知你問題。
作用中要求: 當可用性區域無法使用時,在發生錯誤可用性區域中使用 Azure Bastion 實例的任何 RDP 或 SSH 連線都會終止,且需要重試。
如果您要連線的 VM 不在受影響的可用性區域中,它會繼續執行。 若要了解更多虛擬機的區域降級經驗,請參閱 虛擬機的可靠性 - 區域失敗期間的行為。
預期停機時間: 預期的停機時間取決於防禦主機使用的可用區域組態。
區域備援: 當服務回復作業時,可能會發生少量停機。 此停機時間通常為幾秒鐘。
區域性: 在可用區域復原之前,您的執行個體無法使用。
預期資料遺失: 由於 Azure Bastion 不會儲存狀態,因此在區域失敗期間預期不會遺失資料。
流量重新路由傳送:當您使用區域備援時,新的連線會在運作狀況良好的可用性區域中使用 Azure Bastion 執行個體。 整體而言,Azure Bastion 仍可運作。
區域復原
當可用性區域復原時,Azure Bastion 會自動還原可用性區域中的執行個體,並正常在執行個體之間重新路由傳送流量。
測試區域失敗
Azure Bastion 平台負責管理區域冗餘堡壘主機的流量路由、故障轉移和故障回復。 由於此功能完全受控,因此您不需要起始任何專案或驗證可用性區域失敗程式。
對區域範圍故障的復原能力
Azure Bastion 會部署在虛擬網路或對等互連虛擬網路內,並與 Azure 區域相關聯。 Azure Bastion 是單一區域服務。 如果區域不可用,您的堡壘主機也將不可用。
Bastion 支援連接到全域對等互連虛擬網路中的虛擬機器,但如果裝載堡壘主機的區域無法使用,您將不能使用堡壘主機。 為了提高復原能力,如果您將整體解決方案部署到每個區域中具有個別虛擬網路的多個區域,您應該將 Azure Bastion 部署到每個區域。
如果您在另一個 Azure 區域中有災害復原網站,請務必將 Azure Bastion 部署到該區域中的虛擬網路。
服務等級協定
Azure 服務的服務等級協定 (SLA) 描述服務的預期可用性,以及解決方案必須符合才能達到該可用性預期的條件。 如需詳細資訊,請參閱 在線服務的 SLA。