Azure DDoS 防護(hù)參考體系結(jié)構(gòu)

標(biāo)準(zhǔn)DDoS防護(hù)面向虛擬網(wǎng)絡(luò)中部署的服務(wù)。對于其他服務(wù)，將會應(yīng)用默認(rèn)的基本DDoS防護(hù)服務(wù)。以下參考體系結(jié)構(gòu)按場景進(jìn)行整理，體系結(jié)構(gòu)模式已分組在一起。

虛擬機(jī)(Windows/Linux)工作負(fù)荷

負(fù)載均衡的VM上運(yùn)行的應(yīng)用程序

針對如何通過在負(fù)載均衡器后的規(guī)模集中運(yùn)行多個Windows VM以提高可用性和可伸縮性，此參考體系結(jié)構(gòu)顯示了一組已經(jīng)過驗證的做法?？蓪θ魏螣o狀態(tài)工作負(fù)荷（例如Web服務(wù)器）使用此體系結(jié)構(gòu)。

負(fù)載均衡VM上運(yùn)行的應(yīng)用程序的參考體系結(jié)構(gòu)示意圖

在此體系結(jié)構(gòu)中，工作負(fù)荷分布于多個VM實例上。有單個公共IP地址，并且Internet流量通過負(fù)載均衡器分布到這些VM。與公共IP關(guān)聯(lián)的Azure(Internet)負(fù)載均衡器的虛擬網(wǎng)絡(luò)上已啟用標(biāo)準(zhǔn)DDoS防護(hù)。

負(fù)載均衡器將傳入的Internet請求分配到VM實例。虛擬機(jī)規(guī)模集允許手動或者基于預(yù)定義規(guī)則自動擴(kuò)展或縮減VM的數(shù)量。如果資源遭受DDoS攻擊，此功能非常重要。有關(guān)此參考體系結(jié)構(gòu)的詳細(xì)信息，請參閱此文。

在Windows N層上運(yùn)行的應(yīng)用程序

有許多方法可用來實現(xiàn)N層體系結(jié)構(gòu)。下圖顯示了典型的三層Web應(yīng)用程序。此體系結(jié)構(gòu)是基于運(yùn)行負(fù)載均衡的VM以實現(xiàn)可伸縮性和可用性一文構(gòu)建的。Web層和業(yè)務(wù)層都使用負(fù)載均衡的VM。

Windows N層上運(yùn)行的應(yīng)用程序的參考體系結(jié)構(gòu)示意圖

在此體系結(jié)構(gòu)中，已在虛擬網(wǎng)絡(luò)上啟用標(biāo)準(zhǔn)DDoS防護(hù)。虛擬網(wǎng)絡(luò)中的所有公共IP將得到第3層和第4層DDoS防護(hù)。要獲得第7層防護(hù)，請部署WAF SKU中的應(yīng)用程序網(wǎng)關(guān)。有關(guān)此參考體系結(jié)構(gòu)的詳細(xì)信息，請參閱此文。

備注

不支持在公共IP后面運(yùn)行單個VM的情況。

PaaS Web應(yīng)用程序

此參考體系結(jié)構(gòu)顯示了在單個區(qū)域中運(yùn)行Azure應(yīng)用服務(wù)應(yīng)用程序。此體系結(jié)構(gòu)顯示了針對使用Azure應(yīng)用服務(wù)和Azure SQL數(shù)據(jù)庫的Web應(yīng)用程序運(yùn)用的一套經(jīng)過證實的做法。已針對故障轉(zhuǎn)移場景設(shè)置了備用區(qū)域。

PaaS Web應(yīng)用程序的參考體系結(jié)構(gòu)示意圖

Azure流量管理器將傳入的請求路由到某個區(qū)域中的應(yīng)用程序網(wǎng)關(guān)。在正常操作期間，它會將請求路由到活動區(qū)域中的應(yīng)用程序網(wǎng)關(guān)。如果該區(qū)域不可用，流量管理器會故障轉(zhuǎn)移到備用區(qū)域中的應(yīng)用程序網(wǎng)關(guān)。

從Internet發(fā)往Web應(yīng)用程序的所有流量通過流量管理器路由到應(yīng)用程序網(wǎng)關(guān)公共IP地址。在此場景中，應(yīng)用服務(wù)（Web應(yīng)用）本身不直接面向外部，且受應(yīng)用程序網(wǎng)關(guān)的保護(hù)。

我們建議配置應(yīng)用程序網(wǎng)關(guān)WAF SKU（預(yù)防模式）來幫助防范第7層（HTTP/HTTPS/Web套接字）攻擊。此外，Web應(yīng)用配置為僅接受來自應(yīng)用程序網(wǎng)關(guān)IP地址的流量。

有關(guān)此參考體系結(jié)構(gòu)的詳細(xì)信息，請參閱此文。

針對非Web PaaS服務(wù)的緩解措施

Azure上的HDInsight

此參考體系結(jié)構(gòu)顯示如何為Azure HDInsight群集配置標(biāo)準(zhǔn)DDoS防護(hù)。確保HDInsight群集已鏈接到虛擬網(wǎng)絡(luò)，并在該虛擬網(wǎng)絡(luò)上啟用了DDoS防護(hù)。

“HDInsight”和“高級設(shè)置”窗格，其中包含虛擬網(wǎng)絡(luò)設(shè)置

用于啟用DDoS防護(hù)的選項

在此體系結(jié)構(gòu)中，從Internet發(fā)往HDInsight群集的流量路由到與HDInsight網(wǎng)關(guān)負(fù)載均衡器關(guān)聯(lián)的公共IP。然后，網(wǎng)關(guān)負(fù)載均衡器直接將流量發(fā)送到頭節(jié)點(diǎn)或工作節(jié)點(diǎn)。由于已在HDInsight虛擬網(wǎng)絡(luò)上啟用標(biāo)準(zhǔn)DDoS防護(hù)，虛擬網(wǎng)絡(luò)中的所有公共IP將得到第3層和第4層DDoS防護(hù)。此參考體系結(jié)構(gòu)可與N層和多區(qū)域參考體系結(jié)構(gòu)相結(jié)合。

有關(guān)此參考體系結(jié)構(gòu)的詳細(xì)信息，請參閱使用Azure虛擬網(wǎng)絡(luò)擴(kuò)展Azure HDInsight文檔。

備注

虛擬網(wǎng)絡(luò)中使用公共IP的PowerApps或API管理的Azure應(yīng)用服務(wù)環(huán)境都原生不受支持。