Azure DDoS 防護(hù)參考體系結(jié)構(gòu)

標(biāo)準(zhǔn)DDoS防護(hù)面向虛擬網(wǎng)絡(luò)中部署的服務(wù)。對(duì)于其他服務(wù)，將會(huì)應(yīng)用默認(rèn)的基本DDoS防護(hù)服務(wù)。以下參考體系結(jié)構(gòu)按場(chǎng)景進(jìn)行整理，體系結(jié)構(gòu)模式已分組在一起。

虛擬機(jī)(Windows/Linux)工作負(fù)荷

負(fù)載均衡的VM上運(yùn)行的應(yīng)用程序

針對(duì)如何通過在負(fù)載均衡器后的規(guī)模集中運(yùn)行多個(gè)Windows VM以提高可用性和可伸縮性，此參考體系結(jié)構(gòu)顯示了一組已經(jīng)過驗(yàn)證的做法?？蓪?duì)任何無狀態(tài)工作負(fù)荷（例如Web服務(wù)器）使用此體系結(jié)構(gòu)。

負(fù)載均衡VM上運(yùn)行的應(yīng)用程序的參考體系結(jié)構(gòu)示意圖

在此體系結(jié)構(gòu)中，工作負(fù)荷分布于多個(gè)VM實(shí)例上。有單個(gè)公共IP地址，并且Internet流量通過負(fù)載均衡器分布到這些VM。與公共IP關(guān)聯(lián)的Azure(Internet)負(fù)載均衡器的虛擬網(wǎng)絡(luò)上已啟用標(biāo)準(zhǔn)DDoS防護(hù)。

負(fù)載均衡器將傳入的Internet請(qǐng)求分配到VM實(shí)例。虛擬機(jī)規(guī)模集允許手動(dòng)或者基于預(yù)定義規(guī)則自動(dòng)擴(kuò)展或縮減VM的數(shù)量。如果資源遭受DDoS攻擊，此功能非常重要。有關(guān)此參考體系結(jié)構(gòu)的詳細(xì)信息，請(qǐng)參閱此文。

在Windows N層上運(yùn)行的應(yīng)用程序

有許多方法可用來實(shí)現(xiàn)N層體系結(jié)構(gòu)。下圖顯示了典型的三層Web應(yīng)用程序。此體系結(jié)構(gòu)是基于運(yùn)行負(fù)載均衡的VM以實(shí)現(xiàn)可伸縮性和可用性一文構(gòu)建的。Web層和業(yè)務(wù)層都使用負(fù)載均衡的VM。

Windows N層上運(yùn)行的應(yīng)用程序的參考體系結(jié)構(gòu)示意圖

在此體系結(jié)構(gòu)中，已在虛擬網(wǎng)絡(luò)上啟用標(biāo)準(zhǔn)DDoS防護(hù)。虛擬網(wǎng)絡(luò)中的所有公共IP將得到第3層和第4層DDoS防護(hù)。要獲得第7層防護(hù)，請(qǐng)部署WAF SKU中的應(yīng)用程序網(wǎng)關(guān)。有關(guān)此參考體系結(jié)構(gòu)的詳細(xì)信息，請(qǐng)參閱此文。

備注

不支持在公共IP后面運(yùn)行單個(gè)VM的情況。

PaaS Web應(yīng)用程序

此參考體系結(jié)構(gòu)顯示了在單個(gè)區(qū)域中運(yùn)行Azure應(yīng)用服務(wù)應(yīng)用程序。此體系結(jié)構(gòu)顯示了針對(duì)使用Azure應(yīng)用服務(wù)和Azure SQL數(shù)據(jù)庫的Web應(yīng)用程序運(yùn)用的一套經(jīng)過證實(shí)的做法。已針對(duì)故障轉(zhuǎn)移場(chǎng)景設(shè)置了備用區(qū)域。

PaaS Web應(yīng)用程序的參考體系結(jié)構(gòu)示意圖

Azure流量管理器將傳入的請(qǐng)求路由到某個(gè)區(qū)域中的應(yīng)用程序網(wǎng)關(guān)。在正常操作期間，它會(huì)將請(qǐng)求路由到活動(dòng)區(qū)域中的應(yīng)用程序網(wǎng)關(guān)。如果該區(qū)域不可用，流量管理器會(huì)故障轉(zhuǎn)移到備用區(qū)域中的應(yīng)用程序網(wǎng)關(guān)。

從Internet發(fā)往Web應(yīng)用程序的所有流量通過流量管理器路由到應(yīng)用程序網(wǎng)關(guān)公共IP地址。在此場(chǎng)景中，應(yīng)用服務(wù)（Web應(yīng)用）本身不直接面向外部，且受應(yīng)用程序網(wǎng)關(guān)的保護(hù)。

我們建議配置應(yīng)用程序網(wǎng)關(guān)WAF SKU（預(yù)防模式）來幫助防范第7層（HTTP/HTTPS/Web套接字）攻擊。此外，Web應(yīng)用配置為僅接受來自應(yīng)用程序網(wǎng)關(guān)IP地址的流量。

有關(guān)此參考體系結(jié)構(gòu)的詳細(xì)信息，請(qǐng)參閱此文。

針對(duì)非Web PaaS服務(wù)的緩解措施

Azure上的HDInsight

此參考體系結(jié)構(gòu)顯示如何為Azure HDInsight群集配置標(biāo)準(zhǔn)DDoS防護(hù)。確保HDInsight群集已鏈接到虛擬網(wǎng)絡(luò)，并在該虛擬網(wǎng)絡(luò)上啟用了DDoS防護(hù)。

“HDInsight”和“高級(jí)設(shè)置”窗格，其中包含虛擬網(wǎng)絡(luò)設(shè)置

用于啟用DDoS防護(hù)的選項(xiàng)

在此體系結(jié)構(gòu)中，從Internet發(fā)往HDInsight群集的流量路由到與HDInsight網(wǎng)關(guān)負(fù)載均衡器關(guān)聯(lián)的公共IP。然后，網(wǎng)關(guān)負(fù)載均衡器直接將流量發(fā)送到頭節(jié)點(diǎn)或工作節(jié)點(diǎn)。由于已在HDInsight虛擬網(wǎng)絡(luò)上啟用標(biāo)準(zhǔn)DDoS防護(hù)，虛擬網(wǎng)絡(luò)中的所有公共IP將得到第3層和第4層DDoS防護(hù)。此參考體系結(jié)構(gòu)可與N層和多區(qū)域參考體系結(jié)構(gòu)相結(jié)合。

有關(guān)此參考體系結(jié)構(gòu)的詳細(xì)信息，請(qǐng)參閱使用Azure虛擬網(wǎng)絡(luò)擴(kuò)展Azure HDInsight文檔。

備注

虛擬網(wǎng)絡(luò)中使用公共IP的PowerApps或API管理的Azure應(yīng)用服務(wù)環(huán)境都原生不受支持。