快出海  > 微软云  >  Azure DDoS 防护参考体系结构

Azure DDoS 防护参考体系结构

来源:Microsoft Azure
作者:Microsoft Azure
时间:2020-12-01

标准DDoS防护面向虚拟网络中部署的服务。对于其他服务,将会应用默认的基本DDoS防护服务。以下参考体系结构按场景进行整理,体系结构模式已分组在一起。

虚拟机(Windows/Linux)工作负荷

负载均衡的VM上运行的应用程序

针对如何通过在负载均衡器后的规模集中运行多个Windows VM以提高可用性和可伸缩性,此参考体系结构显示了一组已经过验证的做法。可对任何无状态工作负荷(例如Web服务器)使用此体系结构。

image-9.png

负载均衡VM上运行的应用程序的参考体系结构示意图

在此体系结构中,工作负荷分布于多个VM实例上。有单个公共IP地址,并且Internet流量通过负载均衡器分布到这些VM。与公共IP关联的Azure(Internet)负载均衡器的虚拟网络上已启用标准DDoS防护。

负载均衡器将传入的Internet请求分配到VM实例。虚拟机规模集允许手动或者基于预定义规则自动扩展或缩减VM的数量。如果资源遭受DDoS攻击,此功能非常重要。有关此参考体系结构的详细信息,请参阅此文。

在Windows N层上运行的应用程序

有许多方法可用来实现N层体系结构。下图显示了典型的三层Web应用程序。此体系结构是基于运行负载均衡的VM以实现可伸缩性和可用性一文构建的。Web层和业务层都使用负载均衡的VM。

image-10.png

Windows N层上运行的应用程序的参考体系结构示意图

在此体系结构中,已在虚拟网络上启用标准DDoS防护。虚拟网络中的所有公共IP将得到第3层和第4层DDoS防护。要获得第7层防护,请部署WAF SKU中的应用程序网关。有关此参考体系结构的详细信息,请参阅此文。

备注

不支持在公共IP后面运行单个VM的情况。

PaaS Web应用程序

此参考体系结构显示了在单个区域中运行Azure应用服务应用程序。此体系结构显示了针对使用Azure应用服务和Azure SQL数据库的Web应用程序运用的一套经过证实的做法。已针对故障转移场景设置了备用区域。

image-11.png

PaaS Web应用程序的参考体系结构示意图

Azure流量管理器将传入的请求路由到某个区域中的应用程序网关。在正常操作期间,它会将请求路由到活动区域中的应用程序网关。如果该区域不可用,流量管理器会故障转移到备用区域中的应用程序网关。

从Internet发往Web应用程序的所有流量通过流量管理器路由到应用程序网关公共IP地址。在此场景中,应用服务(Web应用)本身不直接面向外部,且受应用程序网关的保护。

我们建议配置应用程序网关WAF SKU(预防模式)来帮助防范第7层(HTTP/HTTPS/Web套接字)攻击。此外,Web应用配置为仅接受来自应用程序网关IP地址的流量。

有关此参考体系结构的详细信息,请参阅此文。

针对非Web PaaS服务的缓解措施

Azure上的HDInsight

此参考体系结构显示如何为Azure HDInsight群集配置标准DDoS防护。确保HDInsight群集已链接到虚拟网络,并在该虚拟网络上启用了DDoS防护。

image-12.png

“HDInsight”和“高级设置”窗格,其中包含虚拟网络设置

image-13.png

用于启用DDoS防护的选项

在此体系结构中,从Internet发往HDInsight群集的流量路由到与HDInsight网关负载均衡器关联的公共IP。然后,网关负载均衡器直接将流量发送到头节点或工作节点。由于已在HDInsight虚拟网络上启用标准DDoS防护,虚拟网络中的所有公共IP将得到第3层和第4层DDoS防护。此参考体系结构可与N层和多区域参考体系结构相结合。

有关此参考体系结构的详细信息,请参阅使用Azure虚拟网络扩展Azure HDInsight文档。

备注

虚拟网络中使用公共IP的PowerApps或API管理的Azure应用服务环境都原生不受支持。

版权说明

本文内容来自于Microsoft Azure,本站不拥有所有权,不承担相关法律责任。文章内容系作者个人观点,不代表快出海对观点赞同或支持。如有侵权,请联系管理员(hj@kchuhai.com)删除!

相关文章
Azure Monitor 概述
Azure Monitor 概述
Azure Monitor提供用于收集、分析和处理来自云与本地环境的遥测数据的综合解决方案,可将应用程序和服务的可用性和性能最大化。它可以帮助你了解应用程序的性能,并主动识别影响应用程序及其所依赖资源的问题。
2天前
在 Azure 中选择适当的 MySQL Server 选项
在 Azure 中选择适当的 MySQL Server 选项
在Azure中,MySQL服务器工作负荷可以在托管的虚拟机基础结构即服务(IaaS)中运行,或者作为托管的平台即服务(PaaS)运行。在IaaS和PaaS之间选择时,必须决定是要管理数据库、应用修补程序并进行备份,还是要将这些操作委托给Azure。
2天前
Azure SQL 数据库:如何手动设置发送心跳信号防止数据库连接过期
Azure SQL 数据库:如何手动设置发送心跳信号防止数据库连接过期
应用客户端需要先通过Azure网关(Gateway)才能连接到Azure上的PaaS数据库(例如Azure SQL Database,MySQL Database on Azure等),网关连接的默认设置是四分钟,若四分钟内无数据包发送,该连接会过期。
5天前
Azure Active Directory:RBAC 如何更新已有自定义角色的可分配范围
Azure Active Directory:RBAC 如何更新已有自定义角色的可分配范围
基于角色的访问控制(RBAC)是在Azure资源管理器基础上构建的授权系统,针对Azure中的资源提供精细的访问权限管理。
5天前
Azure Active Directory:如何自定义角色属性以限制用户访问活动日志
Azure Active Directory:如何自定义角色属性以限制用户访问活动日志
管理员有时需要根据组织的需求限制Azure AD用户访问特定资源的权限,本文描述的是如何而设置RBAC role以允许用户读取Azure Monitor中除活动日志以外的所有信息。
5天前
服务商推荐 更多 >
太平洋电信股份有限公司
太平洋电信
太平洋电信为游戏、电商等客户提供低延时、高可靠的多点互联、企业上云、全球移动应用测试、主机托管等服务。通过与澳大利亚电信合作,凭借在全球丰富的海缆网络资源及多年的国际化运营经验,助力企业业务出海布局。 更多产品详情,请访问官方网站:https:www.t-pbs.com
云服务
北京云中融信网络科技有限公司
融云
融云为全球开发者和企业提供 IM即时通讯和实时音视频通信云服务,独立的海外数据中心,全球 30 万+应用的通信选择。一套 SDK 解决所有通信场景,快速集成,1天实现跨国互动,实时沟通,助力应用出海
云服务
凝视数科(北京)科技有限公司
Appstare
Apple Search Ads 代投,美国真人积分墙,FB | GG代投代运营
推广
EBANX
EBANX
EBANX是一家拥有拉丁美洲DNA的全球金融科技公司。 该公司成立于2012年,在跨境电子商务交易流程中提供端到端支付解决方案,为渴望在全世界扩展的全球商家提供100多种拉丁美洲本地支付选项。 EBANX已帮助500多家商家扩展到拉丁美洲,超过4000万拉丁美洲人获得了全球服务和产品。
支付
Lotusia 新加坡企业咨询
Lotusia 新加坡企业咨询
新加坡注册公司,开设银行账户,公司法定秘书,公司会计年审,税务咨询与合规,法定审计,企业家新加坡身份,公司咨询与新加坡相关商业服务
本地化推广
深圳哈希信息技术有限公司
哈希信息
深圳哈希信息技术有限公司成立于2018年,是国内领先的智能网络服务提供商,基于软件定义网络、下一代网络协议、大数据等技术研发面向不同行业领域的产品和解决方案,秉着“专业、创新、信任、分享“的核心价值观,致力为客户提供一个高效可靠的流量云平台。公司对外提供分发云(CDN)、加速云(动态加速)、安全云(防DDOS&云WAF)、流量云(广告交易)、边缘云、短信云等多个云产品,帮助游戏/资讯等互联网公司构建、加速和更好的保护核心业务。
云服务变现
小程序
公众号
商务合作
投稿采访
出海管家