Microsoft Azure Kullanılabilirlik Alanları, her biri bağımsız güç, soğutma ve ağ içeren bir veya daha fazla veri merkezine sahip bir Azure bölgesi içinde ayrı fiziksel konumlardır. Bir bölgedeki kullanılabilirlik bölgelerinin fiziksel ayrımı, uygulama ve verilerde bölge hatalarının etkisini sınırlar. Bu makalede sunulan başvuru mimarisi, uygulama kullanılabilirliğini artırmak için kullanılabilirlik alanları kullanan bir dağıtım olan bir bölgesel dağıtımı için en iyi yöntemleri gösterir. Bir bölgesel dağıtımı birçok tür uygulama için uygundur. burada gösterilen belirli örnek, sanal makinelerde (vm 'ler) çalışan ve Microsoft SQL Server veritabanı kullanan bir web uygulamasının çok sayıda dağıtımdır.
Bu yaklaşım, dayanıklılığı çok önemli olan yüksek kullanılabilirlik senaryolarında kullanılır. HA mimarisi sayesinde, yüksek dayanıklılık, düşük gecikme süresi ve maliyet arasında bir denge vardır. Bu mimari, yüksek dayanıklılık sağlamak için bölgeler arasında yayılan gereksiz kaynakları kullanır. Bölgeler arasında trafik yönlendirilebilir ve bu da bir bölge hatasının etkilerini en aza indirir. Bir bölge başarısız olursa, diğer bölgelerdeki kaynaklar başarısız bölge kurtarana kadar trafiği artışlarını devralarak. Bu, yüksek düzeyde dayanıklılık sağlar.
Kaynakların çoğu etkin olarak kullanıldığından bu mimari kaynakların verimli bir şekilde kullanılmasını sağlar. pasif SQL Server dışındaki tüm kaynaklar istekleri işlemek için kullanılır. pasif SQL Server, yalnızca etkin SQL Server başarısız olursa etkin hale gelir.
Bölgesel olarak yedekli Azure Application Gateway ve bölge yedekli yük dengeleyici, trafiği kullanılabilir kaynaklara dağıtır.
Bu mimarinin bir Visio dosyasını indirin.
Mimari
mimari, bir SQL Server veritabanı kullanan bir hizmet olarak altyapı (ıaas) web uygulaması için yüksek kullanılabilirlik sağlamak üzere birden çok bölge arasında yayılan kaynakları kullanır. Bölgesel olarak yedekli Application Gateway, trafiği Web katmanındaki VM 'lere yönlendirir. Bölge yedekli yük dengeleyici, Web katmanındaki VM 'lerden etkin SQL Server trafiği yönlendirir. Bölge hatası durumunda, Application Gateway diğer kullanılabilir bölgelerdeki VM 'lere yönlendirir. Bölgeler arasında yönlendirme, bölge içindeki yönlendirmeden daha yüksek gecikme süresine sahiptir.
etkin SQL Server, bölge hatası veya yerel hata nedeniyle kullanılamaz hale gelirse, pasif bir SQL Server etkin SQL Server hale gelir. bölgesel olarak yedekli yük dengeleyici, yeni etkin SQL Server yük devretmeyi algılar ve trafiği buna yönlendirir.
Aşağıda Bölge 1 hatası gösterilmektedir.
Bu mimarinin bir Visio dosyasını indirin.
Application Gateway, bölgesel olarak yedekli bir bölgedir. Bölge 1 başarısızlığından etkilenmez ve kullanılabilir VM 'Leri belirlemede sistem durumu araştırmalarını kullanır. Bölge 1 kullanılamaz durumda, trafiği yalnızca kalan iki bölgeye yönlendirir. Bölgesel olarak yedekli yük dengeleyici Ayrıca Bölge 1 arızasından etkilenmez ve etkin SQL Server konumunu öğrenmek için sistem durumu araştırmalarını kullanır. bu örnekte, yük dengeleyici etkin SQL Server Bölge 3 olduğunu algılar ve trafiği buna yönlendirir.
Kullanılabilirlik Alanları arasında kaynakların yayılması, bir uygulamayı planlı bakımda korur. VM 'Ler üç Kullanılabilirlik Alanları dağıtıldığında, aslında üç güncelleştirme etki alanı arasında yayılır. Azure platformu, farklı bölgelerdeki VM 'Lerin aynı anda güncel olmamasını sağlamak için bu dağıtımı güncelleştirme etki alanları genelinde tanır.
VM 'Leri Kullanılabilirlik Alanları arasında çoğaltarak uygulamalarınızı ve verilerinizi bir bölge hatasından koruyabilirsiniz. Azure 'un sektörde en iyi% 99,99 VM çalışma süresi hizmet düzeyi sözleşmesini (SLA) karşılaması. Bkz. kullanılabilirlik alanları kullanarak yüksek kullanılabilirlik için çözüm oluşturma.
Mimari aşağıdaki bileşenlere sahiptir.
Genel
Kaynak grupları. Kaynak grupları , Azure kaynaklarını, ömür, sahip veya diğer ölçütlere göre yönetilebilmeleri için gruplamak üzere kullanılır.
Azure kullanılabilirlik alanları. Kullanılabilirlik alanları , her biri bağımsız güç, soğutma ve ağ içeren bir veya daha fazla veri merkezine sahip bir Azure bölgesi içinde ayrı fiziksel konumlardır. Uygulamalar bölgelere sanal makineler yerleştirilerek, bir bölgedeki hatalara dayanıklı hale gelir.
Ağ ve Yük Dengeleme
- Sanal ağ ve alt ağlar. Her Azure VM, her katman için bir alt ağ olan alt ağlara bölünalabilecek bir sanal ağa dağıtılır.
- Application Gateway. Azure Application Gateway , katman 7 yük dengeleyicidir. Bu mimaride, bölgesel olarak yedekli bir Application Gateway HTTP isteklerini Web ön ucuna yönlendirir. Application Gateway Ayrıca, uygulamayı yaygın güvenlik açıklarından ve güvenlik açıklarından koruyan bir Web uygulaması güvenlik duvarı (WAF) sağlar. Application Gateway v2 SKU 'SU bölgeler arası yedekliliği destekler. Tek bir Application Gateway dağıtımı, birden çok ağ geçidi örneği çalıştırabilir. Üretim iş yükleri için en az iki çalıştırın. Daha fazla bilgi için bkz. Otomatik ölçeklendirme ve bölgesel olarak yedekli Application Gateway v2 ve Application Gateway yüksek kullanılabilirliği ve ölçeklenebilirliği nasıl destekler?.
- Azure Load Balancer. Azure Load Balancer, 4. katmanda çalışan bir yük dengeleyicidir. Bu mimaride, bölgesel olarak yedekli bir Azure Standart Load Balancer , ağ trafiğini web katmanından SQL Server yönlendirir. Bölgesel olarak yedekli yük dengeleyici belirli bir bölgeye sabitlenmediği için, uygulama ağ trafiğini bir bölge hatası durumunda dağıtmaya devam eder. bölgesel olarak yedekli yük dengeleyici, etkin SQL Server kullanılamaz duruma gelmesi durumunda kullanılabilirlik sağlamak için kullanılır. Azure Load Balancer standart SKU 'su, bölgeler arası yedekliliği destekler. Daha fazla bilgi için bkz. Standart Load Balancer ve kullanılabilirlik alanları.
- Ağ güvenlik grupları (NSG 'ler). Ağ güvenlik grubu , sanal ağ içindeki ağ trafiğini kısıtlamak için kullanılır. Bu mimaride, Web katmanı yalnızca genel IP uç noktasından gelen trafiği kabul eder. Ayrıca, veritabanı katmanı Web katmanı alt ağı dışında herhangi bir alt ağdan gelen trafiği kabul etmez.
- DDoS koruması. Azure platformu, dağıtılmış hizmet reddi (DDoS) saldırılarına karşı koruma sağlar. Ek koruma için, gelişmiş DDoS koruması özelliklerine sahip Azure DDoS koruma standardıkullanmanızı öneririz. Bkz. güvenlik konuları.
- Azuresavunma. Azure savunma, sanal ağ içindeki VM 'lere güvenli ve sorunsuz Uzak Masaüstü Protokolü (RDP) ve Secure Shell (SSH) erişimi sağlar. Bu, sanal ağ içindeki VM 'lerin açığa çıkarılan genel IP adreslerini sınırlandırırken erişim sağlar. Azure savunma, aynı sanal ağ içindeki tüm VM 'lere erişim sağlamak için sağlanan bir VM 'ye uygun maliyetli bir alternatif sağlar.
Microsoft SQL Server
Always On kullanılabilirlik grupları SQL Server. SQL Server Always On kullanılabilirlik grubu, çoğaltmayı ve yük devretmeyi etkinleştirerek veri katmanında yüksek kullanılabilirlik sağlar. yük devretme için Windows sunucusu yük devretme kümesi (WSFC) teknolojisini kullanır.
Bulut tanığı. Yük devretme kümesi, çekirdekte daha fazla düğüm olması gerekir. bu durum, çekirdeğe sahip olarak bilinen bir durumdur. Kümede yalnızca iki düğüm varsa, bir ağ bölümü, her düğümün birincil düğüm olduğunu düşünmesine neden olabilir. Bu durumda, özellikleri bölmek ve çekirdek oluşturmak için bir tanık gerekir. Tanık, çekirdek oluşturmak için bir bağlama ayırıcı görevi gören paylaşılan disk gibi bir kaynaktır. bulut tanığı, Azure Blob Depolama kullanan bir tanık türüdür. Azure Blob Depolama, bölge hatasından etkilenmemesi için bölgesel olarak yedekli Depolama (zrs) kullanmalıdır.
Çekirdek kavramı hakkında daha fazla bilgi edinmek için bkz. küme ve havuz çekirdeğini anlama. Bulut tanığı hakkında daha fazla bilgi için bkz. Yük devretme kümesi Için bulut tanığı dağıtma.
Öneriler
Gereksinimleriniz, burada açıklanan mimariden farklı olabilir. Bu önerileri bir başlangıç noktası olarak kullanın.
vm 'leri yapılandırmayla ilgili öneriler için bkz. Azure 'da Windows VM çalıştırma.
Sanal ağları ve alt ağları tasarlama hakkında daha fazla bilgi için bkz. Azure sanal ağlarını planlayın ve tasarlayın.
Ağ Güvenlik Grupları
Katmanlar arasında trafiği kısıtlamak için NSG kurallarını kullanın. Bu mimaride, yalnızca Web katmanı veritabanı katmanıyla doğrudan iletişim kurabilir. Bu kuralı zorlamak için, veritabanı katmanının Web katmanı alt ağı dışındaki tüm gelen trafiği engellemesi gerekir.
- Sanal ağdan gelen tüm trafiği reddedin. (Kuraldaki VIRTUAL_NETWORK etiketini kullanın.)
- Web katmanı alt ağından gelen trafiğe izin verin.
- Veritabanı katmanı alt ağının kendisinden gelen trafiğe izin verin. Bu kural, veritabanı çoğaltması ve yük devretme için gerekli olan veritabanı VM 'Leri arasında iletişime olanak sağlar.
2 – 3 kuralını ilk kuraldan daha yüksek öncelikli olarak oluşturun, böylece geçersiz kılar.
SQL Server Always On kullanılabilirlik grupları
Microsoft SQL Server yüksek kullanılabilirlik için Always On kullanılabilirlik grupları önerilir. Diğer katmanlar, veritabanına bir kullanılabilirlik grubu dinleyicisi üzerinden bağlanır. Dinleyici; SQL istemcisinin, SQL Server fiziksel örneğinin adını bilmeden bağlantı kurmasına olanak sağlar. Veritabanına erişen VM’lerin etki alanına dahil edilmesi gerekir. Dinleyicinin sanal ağ adını IP adreslerine çözümlemek için istemci (bu durumda diğer bir katman), DNS kullanır.
SQL Server Always On kullanılabilirlik grubunu şu şekilde yapılandırın:
- Windows sunucusu yük devretme kümelemesi (WSFC) kümesi, SQL Server her zaman açık kullanılabilirlik grubu ve bir birincil çoğaltma oluşturun. Daha fazla bilgi için bkz. Always on kullanılabilirlik gruplarıyla çalışmayabaşlama.
- Statik özel IP adresli bir iç yük dengeleyici oluşturun.
- Bir kullanılabilirlik grubu dinleyicisi oluşturun ve dinleyicinin DNS adını bir iç yük dengeleyicinin IP adresiyle eşleyin.
- SQL Server dinleme bağlantı noktası (varsayılan olarak 1433 numaralı TCP bağlantı noktası) için bir yük dengeleyici kuralı oluşturun. Yük dengeleyici kuralı, Doğrudan Sunucu Dönüşü olarak da adlandırılan kayan IP’yi etkinleştirmelidir. Böylece VM doğrudan istemciye yanıt verebilir, bu da birincil çoğaltma ile doğrudan bağlantı kurulabilmesini sağlar.
Not
Kayan IP etkin olduğunda ön uç bağlantı noktası, yük dengeleyici kuralındaki arka uç bağlantı noktası numarasıyla aynı olmalıdır.
SQL istemcisi bağlantı kurmayı denediğinde yük dengeleyici, bağlantı isteğini birincil çoğaltmaya yönlendirir. Başka bir çoğaltmaya yük devretme varsa, yük dengeleyici yeni istekleri otomatik olarak yeni bir birincil çoğaltmaya yönlendirir. daha fazla bilgi için bkz. Azure SQL Server vm 'lerde bir kullanılabilirlik grubu için yük dengeleyici yapılandırma.
Yük devretme, var olan istemci bağlantılarını kapatır. Yük devretme tamamlandıktan sonra yeni bağlantılar yeni birincil çoğaltmaya yönlendirilir.
Uygulamanız bu sayıdan çok daha fazlasını okuduğunda, salt okunur sorgulardan bazılarını ikincil çoğaltmaya yeniden yönlendirin. bkz. Bağlan salt bir çoğaltma.
Kullanılabilirlik grubu için el ile yük devretme işlemini zorlayarak dağıtımınızı test edin.
Kullanılabilirlik konusunda dikkat edilmesi gerekenler
Tek bir bölgede yüksek dayanıklılık sağlamak Kullanılabilirlik Alanları. daha yüksek kullanılabilirlik gerekiyorsa, yük devretme için Azure Traffic Manager kullanarak uygulamayı iki bölgede çoğaltmayı göz önünde bulundurun. Daha fazla bilgi için bkz. yüksek kullanılabilirlik için birden fazla Azure bölgesinde N katmanlı bir uygulamayı çalıştırma.
Tüm bölgeler Kullanılabilirlik Alanları desteklemez ve tüm bölgelerde tüm VM boyutları desteklenmez. Bölge içindeki her VM boyutu için desteklenen bölgeleri bulmak için aşağıdaki Azure CLı komutunu çalıştırın:
az vm list-skus --resource-type virtualMachines --zone false --location eastus -o table
Sanal Makine Ölçek Kümeleri, örtük kullanılabilirlik kümesi işlevi gören yerleştirme gruplarını otomatik olarak kullanır. Yerleştirme grupları hakkında daha fazla bilgi için bkz. Büyük sanal makine ölçek kümeleri ile çalışma.
Durum araştırmaları
Application Gateway ve Azure Load Balancer her ikisi de sanal makine örneklerinin kullanılabilirliğini izlemek için sistem durumu araştırmalarını kullanır.
- Application Gateway her zaman bir HTTP araştırması kullanır.
- Load Balancer HTTP veya TCP ile araştırmasını sağlayabilir. Genellikle, bir VM bir HTTP sunucusu çalıştırıyorsa, bir HTTP araştırması kullanın. Aksi halde TCP ' yi kullanın.
Bir araştırma zaman aşımı süresi içinde bir örneğe ulaşamadıysanız, ağ geçidi veya yük dengeleyici bu sanal makineye trafik göndermeyi durduruyor. Araştırma denetlemeye devam eder ve VM yeniden kullanılabilir hale geldiğinde VM 'yi arka uç havuzuna döndürür.
HTTP araştırmaları belirtilen yola bir HTTP GET isteği gönderir ve HTTP 200 yanıtını dinler. Bu yol, kök yolu ("/") veya uygulamanın sistem durumunu denetlemek için özel mantık uygulayan bir sistem durumu izleme uç noktası olabilir. Uç nokta anonim HTTP isteklerine izin vermelidir.
Sistem durumu araştırmaları hakkında daha fazla bilgi için bkz.
Bir sistem durumu araştırma uç noktası tasarlama hakkında konular için bkz. sistem durumu uç nokta izleme model.
Maliyetle ilgili konular
Maliyetleri tahmin etmek için Azure Fiyatlandırma hesaplayıcısı ' nı kullanın. Diğer bazı konular aşağıda verilmiştir.
Sanal Makine Ölçek Kümeleri
sanal makine ölçek kümeleri tüm Windows VM boyutlarında kullanılabilir. Yalnızca dağıttığınız Azure VM 'Leri için ve depolama ve ağ gibi tüketilen diğer temel altyapı kaynakları için ücretlendirilirsiniz. Sanal Makine Ölçek Kümeleri hizmeti için artımlı ücret alınmaz.
tek vm fiyatlandırma seçenekleri için bkz. Windows vm fiyatlandırması.
SQL Server
Azure SQL dbaas ' i seçerseniz, her zaman açık kullanılabilirlik grubu ve etki alanı denetleyicisi makineleri yapılandırmanız gerekmiyorsa maliyetleri azaltabilirsiniz. Tek bir veritabanından yönetilen örneğe kadar veya elastik havuzlardan başlayarak birkaç dağıtım seçeneği vardır. daha fazla bilgi için bkz. Azure SQL fiyatlandırması.
SQL server vm 'leri fiyatlandırma seçenekleri için bkz. SQL vm fiyatlandırması.
Azure Load Balancer
Yalnızca yapılandırılan yük dengeleme ve giden kural sayısı için ücretlendirilirsiniz. Gelen NAT kuralları ücretsizdir. Hiçbir kural yapılandırılmadığı zaman Standart Load Balancer için saatlik ücret alınmaz.
Daha fazla bilgi için Azure Mimari Çerçevesi makalesindeki maliyet bölümüne bakın.
Application Gateway
Application Gateway v2 SKU 'SU ile sağlanmalıdır ve birden çok Kullanılabilirlik Alanları yayılabilmelidir. V2 SKU 'SU ile fiyatlandırma modeli, tüketim ile çalıştırılır ve iki bileşene sahiptir: saatlik sabit fiyat ve tüketim tabanlı maliyet.
Daha fazla bilgi için Otomatik ölçeklendirme ve bölgesel olarak yedekli Application Gateway v2içindeki fiyatlandırma bölümüne bakın.
Güvenlik konuları
Azure’daki sanal ağlar birer trafik yalıtımı sınırdır. Varsayılan olarak, bir sanal ağdaki VM 'Ler, farklı bir sanal ağdaki VM 'lerle doğrudan iletişim kuramaz. Ancak, sanal ağ eşlemesikullanarak sanal ağları açık bir şekilde bağlayabilirsiniz.
Trafik kısıtlaması
İnternet 'ten gelen ve giden trafiği kısıtlamak için ağ güvenlik grupları (NSG 'ler) kullanın. Daha fazla bilgi için bkz. Microsoft bulut hizmetleri ve ağ güvenliği.
DMZ
Internet ve Azure sanal ağı arasında bir DMZ oluşturmak için bir ağ sanal gereci (NVA) eklemeyi düşünün. NVA; güvenlik duvarı, paket inceleme, denetim ve özel yönlendirme gibi ağ ile ilgili görevleri gerçekleştirebilen bir sanal gereci tanımlamak için kullanılan genel bir terimdir. Daha fazla bilgi için bkz. Azure ile şirket içi veri merkezi arasında ağ DMZ.
Şifreleme
Bekleyen hassas verileri şifreleyin ve veritabanı şifreleme anahtarlarını yönetmek için Azure Key Vault’u kullanın. Key Vault, şifreleme anahtarlarını donanım güvenlik modüllerinde (HSM’ler) depolayabilir. Daha fazla bilgi için bkz. Azure VM’lerde SQL Server için Azure Anahtar Kasası Tümleştirmeyi Yapılandırma. Ayrıca, Key Vault ' de veritabanı bağlantı dizeleri gibi uygulama gizli dizileri depolamanız önerilir.
DDoS koruması
Azure platformu, varsayılan olarak temel DDoS koruması sağlar. Bu temel koruma, Azure altyapısını korumaya yöneliktir. Temel DDoS koruması otomatik olarak etkin olsa da, Azure DDoS koruma standardıkullanmanızı öneririz. Standart koruma, tehditleri algılamak için uygulamanızın ağ trafiği desenlerine göre uyarlamalı ayarlama kullanır. Bu, altyapı genelindeki DDoS ilkelerine göre açıklanabilecek DDoS saldırılarına karşı azaltmaları uygulanmasını sağlar. Standart koruma Ayrıca Azure Izleyici aracılığıyla uyarı, telemetri ve analiz sağlar. Daha fazla bilgi için bkz. Azure DDoS koruması: en iyi uygulamalar ve başvuru mimarileri.