Azure DDoS 防護參考體系結構,azure ad介紹

Azure保護參考架構

標準DDoS保護適用于部署在虛擬網絡中的服務。對于其他服務，將應用默認的基本DDoS保護服務。以下參考體系結構是按場景組織的，并且體系結構模式已經分組在一起。

虛擬機(Windows/Linux)工作負載

在負載平衡的虛擬機上運行的應用程序

此參考體系結構展示了一組行之有效的實踐，說明如何通過在負載平衡器后的集中規模中運行多個Windows虛擬機來提高可用性和可擴展性。這種架構可以用于任何無狀態的工作負載，比如Web服務器。

在負載平衡虛擬機上運行的應用的參考架構圖

在這種架構中，工作負載分布在多個虛擬機實例中。只有一個公共IP地址，互聯網流量通過負載平衡器分配給這些虛擬機。已在與公共IP關聯的Azure(Internet)負載平衡器的虛擬網絡上啟用標準DDoS保護。

負載平衡器將傳入的互聯網請求分發到虛擬機實例。虛擬機規模集允許根據預定義的規則手動或自動擴展或減少虛擬機的數量。如果資源受到DDoS攻擊，這個功能非常重要。有關該參考架構的詳細信息，請參考本文。

在Windows N層上運行的應用程序

有許多方法可以實現N層架構。下圖顯示了一個典型的三層Web應用程序。這個架構基于文章運行負載平衡的VM來實現可伸縮性和可用性。Web層和業務層都使用負載平衡的虛擬機。

在n層Windows上運行的應用的參考體系結構示意圖

在此架構中，虛擬網絡上啟用了標準DDoS保護。虛擬網絡中的所有公共IP將受到第3層和第4層DDoS的保護。對于第7層保護，在WAF SKU部署應用網關。有關該參考架構的詳細信息，請參考本文。

評論

不支持在公共IP后運行單個虛擬機。

PaaS Web應用程序

該參考架構展示了在單個區域中運行的Azure應用程序服務應用程序。這個架構展示了一組使用Azure應用服務和Azure SQL數據庫的Web應用程序的成熟實踐。已經為故障轉移場景設置了備用區域。

PaaS Web應用參考架構示意圖

Azure traffic manager將傳入的請求路由到區域中的應用程序網關。在正常操作期間，它將請求路由到活動區域中的應用網關。如果該區域不可用，流量管理器將故障轉移到備用區域中的應用網關。

從互聯網到Web應用程序的所有流量都通過流量管理器路由到應用程序網關的公共IP地址。在這種情況下，應用程序服務(Web應用程序)本身并不直接在外部，而是受應用程序網關的保護。

我們建議配置應用網關WAF SKU(預防模式)，以幫助防止第7層(HTTP/HTTPS/Web套接字)攻擊。此外，Web應用程序被配置為只接受來自應用程序網關的IP地址的流量。

有關該參考架構的詳細信息，請參考本文。

針對非Web PaaS服務的緩解措施

高清Azure洞察

該參考架構展示了如何為Azure HDInsight集群配置標準DDoS保護。確保HDInsight集群鏈接到虛擬網絡，并且在虛擬網絡上啟用了DDoS保護。

HDInsight和高級設置面板，其中包含虛擬網絡設置。

啟用DDoS保護的選項

在這種架構中，從互聯網到HDInsight集群的流量被路由到與HDInsight網關負載平衡器相關聯的公共IP。然后，網關負載均衡器直接將流量發國際快遞頭節點或工作節點。由于HDInsight虛擬網絡上已啟用標準DDoS保護，虛擬網絡中的所有公共IP將受到第3層和第4層DDoS保護。此參考體系結構可以與N層和多區域參考體系結構結合使用。

有關此參考架構的詳細信息，請參考使用Azure虛擬網絡擴展Azure HDInsight的文檔。

評論

在虛擬網絡中，無論是使用公共IP的PowerApps，還是由API管理的Azure應用服務環境，都不是原生支持的。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。