Azure DDoS 防护参考体系结构

标准DDoS防护面向虚拟网络中部署的服务。对于其他服务，将会应用默认的基本DDoS防护服务。以下参考体系结构按场景进行整理，体系结构模式已分组在一起。

虚拟机(Windows/Linux)工作负荷

负载均衡的VM上运行的应用程序

针对如何通过在负载均衡器后的规模集中运行多个Windows VM以提高可用性和可伸缩性，此参考体系结构显示了一组已经过验证的做法。可对任何无状态工作负荷（例如Web服务器）使用此体系结构。

负载均衡VM上运行的应用程序的参考体系结构示意图

在此体系结构中，工作负荷分布于多个VM实例上。有单个公共IP地址，并且Internet流量通过负载均衡器分布到这些VM。与公共IP关联的Azure(Internet)负载均衡器的虚拟网络上已启用标准DDoS防护。

负载均衡器将传入的Internet请求分配到VM实例。虚拟机规模集允许手动或者基于预定义规则自动扩展或缩减VM的数量。如果资源遭受DDoS攻击，此功能非常重要。有关此参考体系结构的详细信息，请参阅此文。

在Windows N层上运行的应用程序

有许多方法可用来实现N层体系结构。下图显示了典型的三层Web应用程序。此体系结构是基于运行负载均衡的VM以实现可伸缩性和可用性一文构建的。Web层和业务层都使用负载均衡的VM。

Windows N层上运行的应用程序的参考体系结构示意图

在此体系结构中，已在虚拟网络上启用标准DDoS防护。虚拟网络中的所有公共IP将得到第3层和第4层DDoS防护。要获得第7层防护，请部署WAF SKU中的应用程序网关。有关此参考体系结构的详细信息，请参阅此文。

备注

不支持在公共IP后面运行单个VM的情况。

PaaS Web应用程序

此参考体系结构显示了在单个区域中运行Azure应用服务应用程序。此体系结构显示了针对使用Azure应用服务和Azure SQL数据库的Web应用程序运用的一套经过证实的做法。已针对故障转移场景设置了备用区域。

PaaS Web应用程序的参考体系结构示意图

Azure流量管理器将传入的请求路由到某个区域中的应用程序网关。在正常操作期间，它会将请求路由到活动区域中的应用程序网关。如果该区域不可用，流量管理器会故障转移到备用区域中的应用程序网关。

从Internet发往Web应用程序的所有流量通过流量管理器路由到应用程序网关公共IP地址。在此场景中，应用服务（Web应用）本身不直接面向外部，且受应用程序网关的保护。

我们建议配置应用程序网关WAF SKU（预防模式）来帮助防范第7层（HTTP/HTTPS/Web套接字）攻击。此外，Web应用配置为仅接受来自应用程序网关IP地址的流量。

有关此参考体系结构的详细信息，请参阅此文。

针对非Web PaaS服务的缓解措施

Azure上的HDInsight

此参考体系结构显示如何为Azure HDInsight群集配置标准DDoS防护。确保HDInsight群集已链接到虚拟网络，并在该虚拟网络上启用了DDoS防护。

“HDInsight”和“高级设置”窗格，其中包含虚拟网络设置

用于启用DDoS防护的选项

在此体系结构中，从Internet发往HDInsight群集的流量路由到与HDInsight网关负载均衡器关联的公共IP。然后，网关负载均衡器直接将流量发送到头节点或工作节点。由于已在HDInsight虚拟网络上启用标准DDoS防护，虚拟网络中的所有公共IP将得到第3层和第4层DDoS防护。此参考体系结构可与N层和多区域参考体系结构相结合。

有关此参考体系结构的详细信息，请参阅使用Azure虚拟网络扩展Azure HDInsight文档。

备注

虚拟网络中使用公共IP的PowerApps或API管理的Azure应用服务环境都原生不受支持。