Azure DDoS 網路保護中的可靠性
本文說明 Azure DDoS 網路保護的可靠性支援,以及可用性區域和跨區域復原和商務持續性的區域復原能力。 如需更多關於 Azure 可靠性的詳細概觀,請參閱 Azure 可靠性。
可用性區域支援
Azure 可用性區域是每個 Azure 區域內至少三個實體上獨立的資料中心群組。 每個區域內的資料中心都配備了獨立的電源、冷卻和網路基礎結構。 可用性區域的作用是在一個區域受影響時 (例如本機區域失敗時),讓其餘兩個區域支援區域服務、容量和高可用性。
這類失敗的範圍可從軟體和硬體故障,擴及到如地震、淹水和火災的事件。 Azure 服務的備援和邏輯隔離功能可以容錯。 如需深入了解 Azure 的可用性區域,請參閱區域和可用性區域。
已啟用 Azure 可用性區域的服務是設計來提供正確的可靠性和彈性層級。 您可以透過兩種方式加以設定。 可採用區域備援 (可跨區域自動複寫) 或分區 (將執行個體釘選在特定區域)。 兩種方法可以結合使用。 如需區域與區域備援結構的詳細資訊,請參閱使用可用性分區和區域的建議 (部分機器翻譯)。
Azure DDoS 保護預設為 區域備援 ,並由服務本身管理。 您不需要自行設定或設定區域備援。
跨區域災害復原和商務持續性
災害復原 (DR)是指從重大影響事件中復原,例如自然災害或不成功的部署 (導致停機和資料遺失)。 無論原因為何,解決災害的最佳辦法是定義完善且經過測試的 DR 方案,以及主動支援 DR 的應用程式設計。 開始制定災害復原方案之前,請參閱設計災害復原策略的建議 (部分機器翻譯)。
Microsoft 在災害復原方面,採取共同責任模型。 在共同責任模型中,Microsoft 確保基準基礎結構和平台服務可供使用。 此時許多 Azure 服務不會自動複寫資料,或從故障區域恢復並交叉複寫到另一個已啟用的區域。 您需要為這些服務制定適合您工作負載的災害復原方案。 在 Azure 平台即服務 (PaaS) 供應項目上執行的多數服務,都有提供支援災害復原的功能和指導,您可以使用特定服務功能快速復原,制定災害復原方案。
多區域地理位置的災害復原
您可以選擇兩種方法之一,透過 VNet 管理 DDoS 保護的商務持續性。 第一種方法是被動的,第二種方法是主動的。
- 反應式商務持續性計劃。 虛擬網路是相當輕量型的資源。 在區域性中斷的情況下,您可以叫用 Azure API 來建立具有相同地址空間但位於不同區域的 VNet。 若要重新建立受影響區域中存在的相同環境,您必須進行 API 呼叫,以重新部署主要區域 VNet 資源。 如果內部部署連線可供使用,例如在混合式部署中,您必須部署新的 VPN 閘道,並聯機到您的內部部署網路。
注意
維護商務持續性的被動方法一律會因災害發生而無法存取主要區域資源的風險。 在此情況下,您必須重新建立所有主要區域的資源。
- 主動式商務持續性計劃。 您可以事先在兩個不同的區域中使用相同的私人IP位址空間和資源,建立兩個 VNet。 如果您要在 VNet 中裝載因特網對向服務,您可以設定 流量管理員 將流量異地路由傳送至作用中的區域。 不過,您無法將兩個具有相同位址空間的 VNet 連線到內部部署網路,因為這會導致路由問題。 在某個區域中發生災害和 VNet 遺失時,您可以將可用區域中的另一個 VNet 連線到內部部署網路的相符位址空間。
若要建立虛擬網路,請參閱 建立虛擬網路。
單一區域地理位置中的災害復原
針對災害案例中的單一區域地理位置,在服務中斷期間,虛擬網路和受影響區域中的資源仍無法存取。