Azure 虛擬網路 是你在雲端網路的邏輯表示。 您可以使用虛擬網路來定義您自己的私人IP位址空間,並將網路分割成子網。 虛擬網路可做為信任界限來裝載您的計算資源,例如 Azure 虛擬機器和負載平衡器。
當您使用 Azure 時, 可靠性是共同的責任。 Microsoft 提供一系列功能來支援韌性和復原。 您有責任瞭解這些功能在您使用的所有服務中如何運作,並選取符合業務目標和正常運作時間目標所需的功能。
本文說明如何讓虛擬網路對各種潛在中斷與問題具備韌性,包括暫時性故障、可用性區域中斷及區域中斷。 同時說明如何利用備份來從其他類型的問題中復原,並強調虛擬網路服務等級協議(SLA)的一些重要資訊。
可靠性的生產部署建議
欲了解更多如何部署虛擬網路以支援解決方案可靠性需求,以及可靠性如何影響架構其他面向的資訊,請參閱 Azure Well-Architected 框架中的 Azure 虛擬網路架構最佳實務。
可靠性架構概觀
虛擬網路是 Azure 中數個核心網路元件之一。 當您建立虛擬網路時,您會建立一組共同定義網路設定的資源。 這些資源包括下列網路元件:
NSG 和應用程式安全組,可限制網路部分之間的通訊
用戶定義的路由,可控制流量流動的方式
負載平衡器,可分散網路內的流量
公用IP位址,可提供與互聯網之間的連線能力
網路介面卡,可提供 Azure 虛擬機(VM) 的網路連線能力
私人端點,可提供 Azure 服務和虛擬網路外部資源的私人連線
虛擬網路允許其所承載的資源之間的直接私密 IP 通訊。 若要啟用混合式雲端案例並安全地將您的資料中心延伸至 Azure,您可以透過 Azure VPN 閘道或 Azure ExpressRoute 將虛擬網路連結至內部部署網路。
您也可以部署 設備,例如 ExpressRoute 閘道、VPN 閘道和防火牆。 設備提供服務來支援您的網路需求,例如連線到內部部署環境,或提供複雜的流量控制。
最後,您會部署自己的元件,例如執行應用程式或資料庫的 VM,以及其他提供虛擬網路整合的 Azure 服務。
如需 Azure 中網路功能的詳細資訊,請參閱 網路架構設計。
對瞬態故障的彈性
暫時性錯誤是元件中的短暫間歇性失敗。 它們經常出現在雲端等分散式環境中,而且是作業的一般部分。 暫時性錯誤會在短時間內自行修正。 請務必讓您的應用程式能處理暫時性錯誤,這通常是透過重試受影響的要求來進行。
所有雲端裝載的應用程式在與任何雲端裝載的 API、資料庫和其他元件通訊時,都應該遵循 Azure 暫時性錯誤處理指引。 如需詳細資訊,請參閱 處理暫時性錯誤的建議。
暫時性錯誤通常不會影響虛擬網路。 不過,暫時性錯誤可能會影響虛擬網路內部署的資源。 請檢閱您所使用的每個資源的可靠性指南,以瞭解其處理瞬態錯誤的行為。
對可用性區域故障的抵抗力
可用性區域 是 Azure 區域內物理上獨立的資料中心群組。 當某個區域發生故障時,服務可以切換至其他剩餘的區域。
虛擬網路及其子網橫跨部署所在區域內的所有可用性區域。 您不需要設定任何項目來啟用此支援。
您不需要將虛擬網路或子網分割為可用性區域,以容納區域資源。 例如,如果您設定區域 VM,當您選取 VM 的可用性區域時,就不需要考慮虛擬網路。 其他區域性資源也是如此。
區域支援
區域備援虛擬網路可以部署到 支援可用性區域的任何區域。
費用
Azure 虛擬網路的區域備援不需要額外的成本。
設定可用性區域支援
當虛擬網路部署在支援可用性區域的區域中時,系統會自動設定區域備援。
區域失敗期間的行為
虛擬網路被設計為能夠抵抗區域故障。 當區域變成無法使用時,虛擬網路會自動將虛擬網路要求重新路由傳送至其餘區域。 此過程是流暢無瑕的,不需要您採取任何行動。
不過,虛擬網路內的任何資源都必須個別考慮,因為每個資源在遺失可用性區域期間可能會有不同的行為集。 查看 每個資源的可靠性指南 ,以瞭解其對可用性區域的支援及當區域無法使用時的行為。
區域復原
當區域復原時,Microsoft起始容錯回復程式,以確保虛擬網路能夠繼續在復原區域中運作。 故障回復過程是自動的,無需您採取任何行動。
不過,您應該確認您在虛擬網路內部署之任何資源的容錯回復行為。 如需詳細資訊,請參閱 每個資源的可靠性指南。
測試區域失敗
虛擬網路平臺會管理跨可用性區域的虛擬網路流量路由、故障轉移和容錯回復。 由於此功能是完全管理的,您不需要驗證可用區的故障程序。
對區域範圍故障的復原能力
虛擬網路是單一區域服務。 如果區域變成無法使用,您的虛擬網路也無法使用。
自訂多區域解決方案,以實現復原能力
您可以在多個區域中建立虛擬網路。 您也可以選擇藉由將這些網路對等互連在一起,來連線這些網路。
藉由在多個區域中建立虛擬網路和其他資源,您可以復原區域性中斷。 不過,您必須考慮下列因素:
流量路由: 如果您在虛擬網路中裝載因特網面向服務,您必須決定如何在您的區域和元件之間路由傳送連入流量。 透過 Azure 流量管理員和 Azure Front Door 等服務,您可以根據您指定的規則來路由傳送因特網流量。
容錯移轉:如果 Azure 區域無法使用,您通常需要透過在狀況良好的區域處理流量來容錯移轉。 流量管理員和 Azure Front Door 提供因特網應用程式的故障轉移功能。
管理: 每個虛擬網路都是個別的資源,而且必須與其他虛擬網路分開設定和管理。
IP 位址空間: 決定如何在建立多個虛擬網路時配置IP位址。 您可以在不同區域中使用相同的私人IP位址空間來建立多個虛擬網路。 不過,您無法對等互連或連線兩個具有相同位址空間的虛擬網路到您的內部部署網路,因為它會造成路由問題。 如果您打算建立多網路設計,IP 位址規劃是一個重要的考慮。
虛擬網路不需要大量資源來運行。 您可以叫用 Azure API,在不同區域中建立具有相同位址空間的虛擬網路。 不過,若要重新建立與受影響區域中的類似環境,您必須重新部署 VM 和其他資源。 如果您有內部部署連線,例如在混合式部署中,您必須部署新的 VPN 閘道實例,並連線到您的內部部署網路。
如需 Web 應用程式多區域網路架構的詳細資訊,請參閱 使用流量管理員、Azure 防火牆和 Azure 應用程式閘道進行多重區域負載平衡。
備份與還原
虛擬網路不會儲存需要備份的資料。 不過,如果您需要重新建立虛擬網路,您可以使用 Bicep、Azure Resource Manager 範本或 Terraform 來建立虛擬網路設定的快照集。 如需詳細資訊,請參閱 建立 Azure 虛擬網路。
服務等級協定
Azure 服務的服務等級協定 (SLA) 描述服務的預期可用性,以及解決方案必須符合才能達到該可用性預期的條件。 如需詳細資訊,請參閱 在線服務的 SLA。
由於提供服務的性質,虛擬網路沒有定義的服務等級協定。