Azure DDoS 防護參考體系結構

標準DDoS防護面向虛擬網(wǎng)絡中部署的服務。對于其他服務，將會應用默認的基本DDoS防護服務。以下參考體系結構按場景進行整理，體系結構模式已分組在一起。

虛擬機(Windows/Linux)工作負荷

負載均衡的VM上運行的應用程序

針對如何通過在負載均衡器后的規(guī)模集中運行多個Windows VM以提高可用性和可伸縮性，此參考體系結構顯示了一組已經(jīng)過驗證的做法?？蓪θ魏螣o狀態(tài)工作負荷（例如Web服務器）使用此體系結構。

負載均衡VM上運行的應用程序的參考體系結構示意圖

在此體系結構中，工作負荷分布于多個VM實例上。有單個公共IP地址，并且Internet流量通過負載均衡器分布到這些VM。與公共IP關聯(lián)的Azure(Internet)負載均衡器的虛擬網(wǎng)絡上已啟用標準DDoS防護。

負載均衡器將傳入的Internet請求分配到VM實例。虛擬機規(guī)模集允許手動或者基于預定義規(guī)則自動擴展或縮減VM的數(shù)量。如果資源遭受DDoS攻擊，此功能非常重要。有關此參考體系結構的詳細信息，請參閱此文。

在Windows N層上運行的應用程序

有許多方法可用來實現(xiàn)N層體系結構。下圖顯示了典型的三層Web應用程序。此體系結構是基于運行負載均衡的VM以實現(xiàn)可伸縮性和可用性一文構建的。Web層和業(yè)務層都使用負載均衡的VM。

Windows N層上運行的應用程序的參考體系結構示意圖

在此體系結構中，已在虛擬網(wǎng)絡上啟用標準DDoS防護。虛擬網(wǎng)絡中的所有公共IP將得到第3層和第4層DDoS防護。要獲得第7層防護，請部署WAF SKU中的應用程序網(wǎng)關。有關此參考體系結構的詳細信息，請參閱此文。

備注

不支持在公共IP后面運行單個VM的情況。

PaaS Web應用程序

此參考體系結構顯示了在單個區(qū)域中運行Azure應用服務應用程序。此體系結構顯示了針對使用Azure應用服務和Azure SQL數(shù)據(jù)庫的Web應用程序運用的一套經(jīng)過證實的做法。已針對故障轉移場景設置了備用區(qū)域。

PaaS Web應用程序的參考體系結構示意圖

Azure流量管理器將傳入的請求路由到某個區(qū)域中的應用程序網(wǎng)關。在正常操作期間，它會將請求路由到活動區(qū)域中的應用程序網(wǎng)關。如果該區(qū)域不可用，流量管理器會故障轉移到備用區(qū)域中的應用程序網(wǎng)關。

從Internet發(fā)往Web應用程序的所有流量通過流量管理器路由到應用程序網(wǎng)關公共IP地址。在此場景中，應用服務（Web應用）本身不直接面向外部，且受應用程序網(wǎng)關的保護。

我們建議配置應用程序網(wǎng)關WAF SKU（預防模式）來幫助防范第7層（HTTP/HTTPS/Web套接字）攻擊。此外，Web應用配置為僅接受來自應用程序網(wǎng)關IP地址的流量。

有關此參考體系結構的詳細信息，請參閱此文。

針對非Web PaaS服務的緩解措施

Azure上的HDInsight

此參考體系結構顯示如何為Azure HDInsight群集配置標準DDoS防護。確保HDInsight群集已鏈接到虛擬網(wǎng)絡，并在該虛擬網(wǎng)絡上啟用了DDoS防護。

“HDInsight”和“高級設置”窗格，其中包含虛擬網(wǎng)絡設置

用于啟用DDoS防護的選項

在此體系結構中，從Internet發(fā)往HDInsight群集的流量路由到與HDInsight網(wǎng)關負載均衡器關聯(lián)的公共IP。然后，網(wǎng)關負載均衡器直接將流量發(fā)送到頭節(jié)點或工作節(jié)點。由于已在HDInsight虛擬網(wǎng)絡上啟用標準DDoS防護，虛擬網(wǎng)絡中的所有公共IP將得到第3層和第4層DDoS防護。此參考體系結構可與N層和多區(qū)域參考體系結構相結合。

有關此參考體系結構的詳細信息，請參閱使用Azure虛擬網(wǎng)絡擴展Azure HDInsight文檔。

備注

虛擬網(wǎng)絡中使用公共IP的PowerApps或API管理的Azure應用服務環(huán)境都原生不受支持。