Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Firewall ist ein verwalteter, cloudbasierter Netzwerksicherheitsdienst, der Azure Virtual Network Ressourcen schützt. Es ist eine vollständig zustandsbehaftete Firewalldienst mit integrierter Hochverfügbarkeit und uneingeschränkter Cloudskalierbarkeit.
Wenn Sie Azure verwenden, ist zustellbarkeit eine gemeinsame Verantwortung. Microsoft bietet eine Reihe von Funktionen zur Unterstützung von Resilienz und Wiederherstellung. Sie sind dafür verantwortlich, zu verstehen, wie diese Funktionen in allen von Ihnen verwendeten Diensten funktionieren, und die Funktionen auswählen, die Sie benötigen, um Ihre Geschäftsziele und Uptime-Ziele zu erfüllen.
In diesem Artikel wird beschrieben, wie Sie Azure Firewall widerstandsfähig für eine Vielzahl potenzieller Ausfälle und Probleme machen, einschließlich vorübergehender Fehler, Ausfall von Verfügbarkeitszonen und Regionsausfällen. Darüber hinaus werden die Resilienz während der Wartung des Diensts beschrieben und einige wichtige Informationen zum Servicelevelvertrag (Firewall Service Level Agreement, SLA) erläutert.
Bereitstellungsempfehlungen für die Produktion
Informationen zum Bereitstellen von Azure Firewall zur Unterstützung der Zuverlässigkeitsanforderungen Ihrer Lösung und wie sich die Zuverlässigkeit auf andere Aspekte Ihrer Architektur auswirkt, finden Sie unter Architecture best practices for Azure Firewall in the Azure Well-Architected Framework.
Übersicht über die Zuverlässigkeitsarchitektur
Eine Instanz bezieht sich auf eine Einheit auf VM-Ebene der Firewall. Jede Instanz stellt die Infrastruktur dar, die Datenverkehr verarbeitet und Firewallprüfungen durchführt.
Um eine hohe Verfügbarkeit einer Firewall zu erreichen, stellt Azure Firewall automatisch mindestens zwei Instanzen bereit, ohne dass Eingriff oder Konfiguration erforderlich ist. Die Firewall wird automatisch aufskaliert, wenn der durchschnittliche Durchsatz, der CPU-Verbrauch und die Verbindungsnutzung vordefinierte Schwellenwerte erreichen. Weitere Informationen finden Sie unter Azure Firewall Performance. Die Plattform verwaltet automatisch die Instanzerstellung, Systemüberwachung und den Austausch von fehlerhaften Instanzen.
Um vor Server- und Server-Rackfehlern zu schützen, verteilt Azure Firewall Instanzen automatisch über mehrere Fehlerdomänen innerhalb einer Region.
Das folgende Diagramm zeigt eine Firewall mit zwei Instanzen:
Um Redundanz und Verfügbarkeit während Rechenzentrumsfehlern zu erhöhen, ermöglicht Azure Firewall automatisch Zonenredundanz in Regionen, die mehrere Verfügbarkeitszonen unterstützen, und verteilt Instanzen über mindestens zwei Verfügbarkeitszonen.
Resilienz für vorübergehende Fehler
Vorübergehende Fehler sind kurze, zeitweilige Fehler in Komponenten. Sie treten häufig in einer verteilten Umgebung wie der Cloud auf und sind ein normaler Bestandteil von Vorgängen. Vorübergehende Fehler korrigieren sich nach kurzer Zeit. Es ist wichtig, dass Ihre Anwendungen vorübergehende Fehler behandeln können, in der Regel durch Wiederholen betroffener Anforderungen.
Alle in der Cloud gehosteten Anwendungen sollten den Azure richtlinien für die vorübergehende Fehlerbehandlung befolgen, wenn sie mit allen in der Cloud gehosteten APIs, Datenbanken und anderen Komponenten kommunizieren. Weitere Informationen finden Sie unter Empfehlungen zur Behandlung vorübergehender Fehler.
Implementieren Sie für Anwendungen, die eine Verbindung über Azure Firewall herstellen, wiederholungslogik mit exponentiellem Backoff, um potenzielle vorübergehende Verbindungsprobleme zu behandeln. Azure Firewall stellt durch seine zustandsbehaftete Architektur sicher, dass legitime Verbindungen während kurzer Netzwerkunterbrechungen aktiv bleiben.
Bei Skalierungsvorgängen, die fünf bis sieben Minuten dauern, behält die Firewall vorhandene Verbindungen bei, während neue Firewallinstanzen hinzugefügt werden, um erhöhte Last zu verarbeiten.
Ausfallsicherheit bei Ausfällen von Verfügbarkeitszonen
Verfügbarkeitszonen sind physisch getrennte Gruppen von Rechenzentren innerhalb einer Azure Region. Wenn eine Zone ausfällt, erfolgt ein Failover der Dienste zu einer der verbleibenden Zonen.
Azure Firewall wird automatisch als zonenredundant in Regionen bereitgestellt, die mehrere Verfügbarkeitszonen unterstützen. Eine Firewall ist zonenredundant, wenn Sie sie über mindestens zwei Verfügbarkeitszonen bereitstellen.
Azure Firewall unterstützt sowohl Zonenredundanz- als auch Zonenbereitstellungsmodelle:
Zone-redundant: In Regionen, die Verfügbarkeitszonen unterstützen, verteilt Azure Firewallinstanzen automatisch über mehrere Verfügbarkeitszonen (mindestens zwei). Azure verwaltet den Lastenausgleich und das Failover zwischen Zonen automatisch. Dieses Bereitstellungsmodell ist die Standardeinstellung für alle neuen Firewalls.
Zonenredundante Firewalls haben eine Vereinbarung zum Servicelevel (Service Level Agreement, SLA) für die höchste Uptime. Verwenden Sie sie für Produktionsworkloads, die eine maximale Verfügbarkeit erfordern.
Das folgende Diagramm zeigt eine zonenredundante Firewall mit drei Instanzen, die über drei Verfügbarkeitszonen verteilt sind:
Hinweis
Alle Firewallbereitstellungen in Regionen mit mehreren Verfügbarkeitszonen sind automatisch zonenredundant. Diese Regel gilt für Bereitstellungen über das Azure Portal und API-basierte Bereitstellungen (Azure CLI, PowerShell, Bicep, ARM-Vorlagen, Terraform).
Zonal: In bestimmten Szenarien, in denen Kapazitätsbeschränkungen bestehen oder Latenzanforderungen wichtig sind, können Sie Azure Firewall mithilfe von API-basierten Tools (Azure CLI, PowerShell, Bicep, ARM-Vorlagen, Terraform) in einer bestimmten Verfügbarkeitszone bereitstellen. Sie stellen alle Instanzen einer Zonenfirewall innerhalb dieser Zone bereit.
Das folgende Diagramm zeigt eine Zonenfirewall mit drei Instanzen, die in derselben Verfügbarkeitszone bereitgestellt werden:
Von Bedeutung
Sie können nur zonalbereitstellungen über API-basierte Tools erstellen. Sie können sie nicht über das Azure Portal konfigurieren. Vorhandene Zonenfirewallbereitstellungen werden in Zukunft zu zonenredundanten Bereitstellungen migriert. Verwenden Sie wann immer möglich zonenredundante Bereitstellungen, um die höchstmögliche Verfügbarkeit gemäß SLA zu erreichen. Eine zonale Firewall allein bietet keine Resilienz bei einem Ausfall der Verfügbarkeitszone.
Migration vorhandener Bereitstellungen
Zuvor sind Azure Firewall Bereitstellungen, die nicht als zonenredundant oder zonal konfiguriert sind, nonzonal oder regional. Im gesamten Kalenderjahr 2026 migriert Azure alle vorhandenen nichtzonalen Firewallbereitstellungen zu zonenredundanten Bereitstellungen in Regionen, die mehrere Verfügbarkeitszonen unterstützen.
Anforderungen
- Region support: Azure Firewall unterstützt Verfügbarkeitszonen in all Regionen, die Verfügbarkeitszonen unterstützen, in denen der Azure Firewall Dienst verfügbar ist.
- Alle Ebenen von Azure Firewall unterstützen Verfügbarkeitszonen.
- Zonenredundante Firewalls erfordern standardmäßige öffentliche IP-Adressen, die als zonenredundant konfiguriert sind.
- Zonal-Firewalls (bereitgestellt über API-basierte Tools) erfordern standardmäßige öffentliche IP-Adressen und können so konfiguriert werden, dass sie entweder zonenredundant oder zonal in derselben Zone wie die Firewall sind.
Kosten
Es gibt keine zusätzlichen Kosten für zonenredundante Firewallbereitstellungen.
Konfigurieren der Unterstützung von Verfügbarkeitszonen
In diesem Abschnitt wird die Verfügbarkeitszonenkonfiguration für Ihre Firewalls erläutert.
Erstellen Sie eine neue Firewall: Alle neuen Bereitstellungen von Azure Firewall in Regionen mit mehreren Verfügbarkeitszonen sind standardmäßig automatisch zonenredundant. Diese Regel gilt sowohl für portalbasierte als auch für API-basierte Bereitstellungen.
Zone-redundant (Standard): Wenn Sie eine neue Firewall in einer Region mit mehreren Verfügbarkeitszonen bereitstellen, verteilt Azure Instanzen automatisch über mindestens zwei Verfügbarkeitszonen hinweg. Eine zusätzliche Konfiguration ist nicht erforderlich. Weitere Informationen finden Sie unter Deploy Azure Firewall mithilfe des Azure Portals.
- Azure portal: stellt automatisch zonenredundante Firewalls bereit. Sie können über das Portal keine bestimmte Verfügbarkeitszone auswählen.
- API-basierte Tools (Azure CLI, PowerShell, Bicep, ARM-Vorlagen, Terraform): Standardmäßig zonenredundante Firewalls bereitstellen. Sie können optional Zonen für die Bereitstellung angeben.
Weitere Informationen zum Bereitstellen einer zonenredundanten Firewall finden Sie unter Deploy an Azure Firewall with availability zones.
Zonal (nur API-basierte Tools): Um eine Firewall in einer bestimmten Verfügbarkeitszone bereitzustellen (z. B. aufgrund von Kapazitätseinschränkungen in einer Region), verwenden Sie API-basierte Tools wie Azure CLI, PowerShell, Bicep, ARM-Vorlagen oder Terraform. Geben Sie eine einzelne Zone in Ihrer Bereitstellungskonfiguration an. Diese Option ist über das Azure-Portal nicht verfügbar.
Hinweis
Wenn Sie auswählen, welche Verfügbarkeitszonen verwendet werden sollen, wählen Sie tatsächlich die logische Verfügbarkeitszone aus. Wenn Sie andere Workloadkomponenten in einem anderen Azure-Abonnement bereitstellen, verwenden sie möglicherweise eine andere logische Verfügbarkeitszonenummer, um auf dieselbe physische Verfügbarkeitszone zuzugreifen. Weitere Informationen finden Sie unter Physische und logische Verfügbarkeitszonen.
Vorhandene Firewalls: Alle vorhandenen nichtzonalen (regionalen) Firewallbereitstellungen werden automatisch zu zonenredundanten Bereitstellungen in Regionen migriert, die mehrere Verfügbarkeitszonen unterstützen. Vorhandene Zonenfirewallbereitstellungen (angeheftet an eine bestimmte Zone) werden zu zonenredundanten Bereitstellungen zu einem zukünftigen Zeitpunkt migriert.
Kapazitätsbeschränkungen: Wenn eine Region keine Kapazität für eine zonenredundante Bereitstellung hat (mindestens zwei Verfügbarkeitszonen erforderlich), schlägt die Bereitstellung fehl. In diesem Szenario können Sie eine Zonenfirewall mithilfe von API-basierten Tools in einer bestimmten Verfügbarkeitszone bereitstellen.
Verhalten, wenn alle Zonen fehlerfrei sind
In diesem Abschnitt wird beschrieben, was Sie erwarten müssen, wenn Azure Firewall mit Unterstützung der Verfügbarkeitszone konfiguriert ist und alle Verfügbarkeitszonen betriebsbereit sind.
Datenverkehrsrouting zwischen Zonen: Das Datenverkehrsroutingverhalten hängt von der Konfiguration der Verfügbarkeitszone ab, die Ihre Firewall verwendet.
Zone-redundant: Azure Firewall verteilt eingehende Anforderungen automatisch über Instanzen in allen Zonen, die Ihre Firewall verwendet. Diese aktiv-aktive Konfiguration gewährleistet eine optimale Leistung und Lastverteilung unter normalen Betriebsbedingungen.
Zonal: Wenn Sie mehrere Zoneninstanzen in verschiedenen Zonen bereitstellen, müssen Sie das Datenverkehrsrouting mithilfe externer Lastenausgleichslösungen wie Azure Load Balancer oder Azure Traffic Manager konfigurieren.
Instanzverwaltung: Die Plattform verwaltet die Instanzplatzierung automatisch über die Zonen, die Ihre Firewall verwendet. Er ersetzt fehlgeschlagene Instanzen und verwaltet die konfigurierte Instanzanzahl. Die Gesundheitsüberwachung stellt sicher, dass nur gesunde Instanzen den Datenverkehr empfangen.
Datenreplikation zwischen zonen: Azure Firewall muss den Verbindungsstatus nicht über Verfügbarkeitszonen hinweg synchronisieren. Die Instanz, die die Anforderung verarbeitet, behält den Status der einzelnen Verbindungen bei.
Verhalten bei einem Zoneausfall
In diesem Abschnitt wird beschrieben, was Sie erwarten müssen, wenn Azure Firewall mit unterstützung der Verfügbarkeitszone konfiguriert ist und mindestens eine Verfügbarkeitszone nicht verfügbar ist.
Erkennung und Reaktion: Die Verantwortung für die Erkennung und Reaktion hängt von der Konfiguration von Verfügbarkeitszonen ab, die Ihre Firewall verwendet.
Zone-redundant: Für Instanzen, die für die Verwendung von Zonenredundanz konfiguriert sind, erkennt und reagiert die Azure Firewall-Plattform auf einen Fehler in einer Verfügbarkeitszone. Sie müssen kein Zonenfailover initiieren.
Zonal: Damit Firewalls als zonal konfiguriert sind, müssen Sie den Verlust einer Verfügbarkeitszone erkennen und ein Failover auf eine sekundäre Firewall initiieren, die Sie in einer anderen Verfügbarkeitszone erstellen.
- Benachrichtigung: Microsoft benachrichtigt Sie nicht automatisch, wenn eine Zone deaktiviert ist. Sie können jedoch Azure Service Health verwenden, um den Gesamtstatus des Diensts zu verstehen, einschließlich aller Zonenfehler, und Sie können Service Health Alerts einrichten, um Sie über Probleme zu informieren.
Aktive Verbindungen: Wenn eine Verfügbarkeitszone nicht verfügbar ist, werden Anfragen, die eine Verbindung mit einer Firewallinstanz in der fehlerhaften Verfügbarkeitszone herstellen, möglicherweise beendet und erfordern Wiederholungen.
Expected data loss: Während des Zonenfailovers wird kein Datenverlust erwartet, da Azure Firewall keine dauerhaften Kundendaten speichert.
Erwartete Downtime: Die Downtime hängt von der Konfiguration der Verfügbarkeitszone ab, die Ihre Firewall verwendet.
Zonenredundant: Erwarten Sie minimale Downtime (in der Regel einige Sekunden) während des Ausfalls einer Verfügbarkeitszone. Clientanwendungen sollten sich an die Vorgehensweisen für vorübergehende Fehler halten. Dazu gehört u. a. die Implementierung von Wiederholungsrichtlinien mit exponentiellem Backoff.
Zonal: Wenn eine Zone nicht verfügbar ist, bleibt Ihre Firewall bis zur Wiederherstellung der Verfügbarkeitszone nicht verfügbar.
Datenverkehrsumleitung: Das Verhalten für die Datenverkehrsumleitung hängt von der Konfiguration der Verfügbarkeitszone ab, die Ihre Firewall verwendet.
Zonenredundant: Datenverkehr wird automatisch an fehlerfreie Verfügbarkeitszonen umgeleitet. Bei Bedarf erstellt die Plattform neue Firewallinstanzen in fehlerfreien Zonen.
Zonal: Wenn eine Zone nicht verfügbar ist, ist auch Ihre zonale Firewall nicht verfügbar. Wenn Sie über eine sekundäre Firewall in einer anderen Verfügbarkeitszone verfügen, sind Sie dafür verantwortlich, den Datenverkehr an diese Firewall umzuleiten.
Failback
Das Failbackverhalten hängt von der Konfiguration der Verfügbarkeitszone ab, die Ihre Firewall verwendet.
Zone-redundant: Nachdem die Verfügbarkeitszone wiederhergestellt wurde, verteilt Azure Firewall Instanzen automatisch für alle Zonen, die Ihre Firewall verwendet, und stellt einen normalen Lastenausgleich über Zonen hinweg wieder her.
Zonal: Nachdem die Verfügbarkeitszone wiederhergestellt wurde, sind Sie dafür verantwortlich, den Datenverkehr an die Firewall in der ursprünglichen Verfügbarkeitszone umzuleiten.
Test auf Zonenfehler
Die Optionen für Zonenfehlertests hängen von der Verfügbarkeitszonenkonfiguration Ihrer Firewall ab.
Zone-redundant: Die Azure Firewall-Plattform verwaltet Datenverkehrsrouting, Failover und Failback für zonenredundante Firewallressourcen. Dieses Feature ist vollständig verwaltet. Deshalb müssen Sie die Prozesse für ausgefallene Verfügbarkeitszonen weder einleiten noch überprüfen.
Zonal: Sie können Aspekte des Ausfalls einer Verfügbarkeitszone simulieren, indem Sie eine Firewall beenden. Verwenden Sie diesen Ansatz, um zu testen, wie andere Systeme und Lastenausgleichsmodule einen Ausfall in der Firewall behandeln. Weitere Informationen finden Sie unter Beenden und Starten von Azure Firewall.
Widerstandsfähigkeit bei regionalen Ausfällen
Azure Firewall ist ein Einzelregionendienst. Wenn die Region nicht verfügbar ist, ist Ihre Firewallressource ebenfalls nicht verfügbar.
Benutzerdefinierte Lösungen mit mehreren Regionen für Resilienz
Verwenden Sie separate Firewalls, um eine Architektur mit mehreren Regionen zu implementieren. Bei diesem Ansatz müssen Sie eine unabhängige Firewall in jeder Region bereitstellen, Datenverkehr an die entsprechende regionale Firewall weiterleiten und benutzerdefinierte Failoverlogik implementieren. Berücksichtigen Sie die folgenden Punkte:
Use Azure Firewall Manager for centralized policy management across multiple firewalls. Verwenden Sie die Firewallrichtlinienmethode für die zentrale Regelverwaltung für mehrere Firewallinstanzen.
Datenverkehrsrouting implementieren mithilfe von Traffic Manager oder Azure Front Door.
Eine Beispielarchitektur, die Multi-Region-Netzwerksicherheitsarchitekturen veranschaulicht, finden Sie unter Multi-region load balancing by using Traffic Manager, Azure Firewall, and Application Gateway.
Resilienz gegenüber Wartungsarbeiten an Diensten
Azure Firewall führt regelmäßig Dienstupgrades und andere Wartungsformen durch.
Sie können tägliche Wartungsfenster konfigurieren, um Upgradezeitpläne an Ihre betrieblichen Anforderungen anzupassen. Weitere Informationen finden Sie unter Konfigurieren von kundengesteuerter Wartung für Azure Firewall.
Service-Level-Vereinbarung
Der ServiceLevel-Vertrag (SLA) für Azure-Dienste beschreibt die erwartete Verfügbarkeit der einzelnen Dienste und die Bedingungen, die Ihre Lösung erfüllen muss, um diese Verfügbarkeitserwartungen zu erreichen. Weitere Informationen finden Sie unter Dienstleistungsvereinbarungen für Onlinedienste.
Azure Firewall bietet eine SLA für eine höhere Verfügbarkeit für zonenredundante Firewalls, die in zwei oder mehr Verfügbarkeitszonen bereitgestellt werden.