在部署期间,可将 Azure 防火墙配置为跨多个可用性区域,以提高可用性。
此功能支持以下方案:
- 可以将可用性提高到 99.99% 的正常运行时间。 有关详细信息,请参阅 Azure 防火墙的服务级别协议 (SLA)。 如果选择了两个或更多个可用性区域,则可以提供 99.99% 的运行时间 SLA。
- 还可以仅仅出于相互更靠近的原因,将 Azure 防火墙关联到特定的区域,并享用服务标准 99.95% SLA。
有关 Azure 防火墙可用性区域的详细信息,请参阅 SKU 提供的 Azure 防火墙功能。
在 Azure 防火墙中配置可用性区域
可将 Azure 防火墙配置为在部署期间使用可用性区域,以提高可用性和可靠性。 可以使用 Azure 门户、Azure PowerShell 或其他部署方法执行此配置。
使用 Azure 门户
- 默认情况下,Azure 门户不提供在创建新的 Azure 防火墙时选择特定可用性区域的选项。 默认情况下,Azure 防火墙部署为区域冗余,符合区域冗余要求。
使用 API
- 建议不要在部署期间指定任何区域,因为默认情况下,后端会自动将防火墙配置为区域冗余。
- 如果通过 API 在部署期间提供特定区域,则会遵循指定的区域。
使用 Azure PowerShell
可以使用 Azure PowerShell 配置可用性区域。 以下示例演示如何在区域 1、2 和 3 中创建防火墙。
在不指定区域的情况下创建标准公共 IP 地址时,默认将其配置为区域冗余。 标准公共 IP 地址可以与所有区域或单个区域相关联。
请务必注意,防火墙不能部署在一个区域中,而其公共 IP 地址位于另一个区域中。 但是,可以在特定区域中部署防火墙并将其与区域冗余的公共 IP 地址相关联,或者在同一区域中部署防火墙和公共 IP 地址,以实现邻近性目的。
$rgName = "Test-FW-RG"
$vnet = Get-AzVirtualNetwork `
-Name "Test-FW-VN" `
-ResourceGroupName $rgName
$pip1 = New-AzPublicIpAddress `
-Name "AzFwPublicIp1" `
-ResourceGroupName "Test-FW-RG" `
-Sku "Standard" `
-Location "chinaeast" `
-AllocationMethod Static `
-Zone 1,2,3
New-AzFirewall `
-Name "azFw" `
-ResourceGroupName $rgName `
-Location "chinaeast" `
-VirtualNetwork $vnet `
-PublicIpAddress @($pip1) `
-Zone 1,2,3
局限性
- 只有提供可用性区域的区域中才支持具有可用性区域的 Azure 防火墙。
- 由于容量限制,在区域限制的区域中,部署区域冗余防火墙可能会失败。 在这种情况下,可以在单个区域或可用区域中部署防火墙,以便继续部署。
- 区域限制记录在 Azure 防火墙已知问题 页中。
通过配置可用性区域,可以实现更高的可用性,并确保网络安全基础结构更具弹性。