DDoS Protection referenční architektury

Článek
09/03/2021
4 min ke čtení

DDoS Protection Standard je určený pro služby, které jsou nasazené ve virtuální síti. Pro ostatní služby platí výchozí služba DDoS Protection Basic. Následující referenční architektury jsou uspořádané podle scénářů a jsou seskupeny pomocí schémat architektury.

úlohy virtuálních počítačů (Windows/Linux)

Aplikace spuštěná na virtuálních počítačích s vyrovnáváním zatížení

tato referenční architektura ukazuje sadu osvědčených postupů pro spuštění více Windowsch virtuálních počítačů v sadě škálování za nástroj pro vyrovnávání zatížení, aby se zlepšila dostupnost a škálovatelnost. Tuto architekturu je možné použít pro jakékoli bezstavové úlohy, jako je například webový server.

Diagram referenční architektury pro aplikaci spuštěnou na virtuálních počítačích s vyrovnáváním zatížení

V této architektuře jsou úlohy distribuované napříč několika instancemi virtuálního počítače. V nástroji pro vyrovnávání zatížení je k virtuálním počítačům distribuována jedna veřejná IP adresa a Internetová data. Ve virtuální síti nástroje pro vyrovnávání zatížení Azure (Internet) je povolený DDoS Protection Standard, ke kterému je přidružená veřejná IP adresa.

Nástroj pro vyrovnávání zatížení distribuuje příchozí internetové požadavky do instancí virtuálních počítačů. Virtual Machine Scale Sets umožňuje, aby byl počet virtuálních počítačů v ručním nebo na základě předdefinovaných pravidel škálované nebo automaticky rozložen. To je důležité, pokud je prostředek pod útokem DDoS. Další informace o této referenční architektuře najdete v tomto článku.

aplikace běžící na Windows N-vrstvou

N-vrstvou architekturu je možné implementovat mnoha způsoby. Následující diagram znázorňuje typickou webovou aplikaci na třech úrovních. Tato architektura je založena na článku spuštění virtuálních počítačů s vyrovnáváním zatížení pro zajištění škálovatelnosti a dostupnosti. Webové a obchodní vrstvy používají virtuální počítače s vyrovnáváním zatížení.

Diagram referenční architektury pro aplikaci běžící na Windows N-vrstvou

V této architektuře je ve virtuální síti povolená DDoS Protection Standard. Všechny veřejné IP adresy ve virtuální síti získají DDoS ochranu pro vrstvu 3 a 4. V případě ochrany vrstvy 7 nasaďte Application Gateway v SKU WAF. Další informace o této referenční architektuře najdete v tomto článku.

Poznámka

Scénáře, ve kterých je jeden virtuální počítač spuštěný za veřejnou IP adresou, se nepodporují.

Webová aplikace PaaS

Tato referenční architektura ukazuje spuštění aplikace Azure App Service v jedné oblasti. tato architektura ukazuje sadu osvědčených postupů pro webovou aplikaci, která používá Azure App Service a Azure SQL Database. Pohotovostní oblast je nastavená pro scénáře převzetí služeb při selhání.

Diagram referenční architektury pro webovou aplikaci v PaaS

Azure Traffic Manager směruje příchozí požadavky do Application Gateway v jedné z oblastí. Během normálních operací směruje požadavky na Application Gateway v aktivní oblasti. pokud tato oblast nebude k dispozici, Traffic Manager převezme Application Gateway v pohotovostní oblasti.

Veškerý provoz z Internetu určeného do webové aplikace je směrován do Application Gateway veřejné IP adresy prostřednictvím Traffic Manager. V tomto scénáři se služba App Service (samotná webová aplikace) přímo netýká a chrání ji Application Gateway.

Doporučujeme, abyste nakonfigurovali Application Gateway WAF SKU (režim prevence), která vám umožní chránit proti útokům vrstvy 7 (HTTP/HTTPS/WebSocket). Kromě toho jsou webové aplikace nakonfigurované tak, aby přijímaly jenom přenosy z Application Gateway IP adresy.

Další informace o této referenční architektuře najdete v tomto článku.

Ochrana místních prostředků

K ochraně místních prostředků můžete využít škálování, kapacitu a efektivitu Azure DDoS Protection Standard, a to díky hostování veřejné IP adresy v Azure a přesměrování provozu na back-end Server do místního prostředí.

Ochrana premch prostředků

pokud máte webovou aplikaci, která přijímá provoz z internetu, můžete hostovat webovou aplikaci za Application Gateway a chránit ji pomocí WAF proti webovým útokům vrstvy 7, jako je například vkládání SQL. Back-endové zdroje vaší aplikace budou v místním prostředí, které je připojené přes síť VPN.

Back-endové prostředky v místním prostředí nebudou zpřístupněny veřejnému Internetu. K Internetu se zveřejňuje jenom veřejná IP adresa AppGW/WAF a název DNS vaší aplikace se mapuje na tuto veřejnou IP adresu.

Pokud je ve virtuální síti povolená služba DDoS Protection Standard, která obsahuje AppGW/WAF, DDoS Protection Standard bude chránit vaše aplikace tím, že bude zmírnit špatný provoz a bude do vaší aplikace směrovat předpokládaný čistý provoz.

V tomto článku se dozvíte, jak můžete použít DDoS Protection Standard vedle Application Gateway k ochraně webové aplikace běžící na řešení Azure VMware.

Zmírnění rizik pro jiné než webové služby PaaS Services

HDInsight v Azure

Tato referenční architektura ukazuje konfiguraci DDoS Protection standard pro cluster Azure HDInsight. Ujistěte se, že je cluster HDInsight propojený s virtuální sítí a že DDoS Protection je ve virtuální síti povolený.

Podokna HDInsight a rozšířená nastavení s nastavením virtuální sítě

Výběr pro povolení DDoS Protection

V této architektuře je provoz určený pro cluster HDInsight z Internetu směrován do veřejné IP adresy přidružené k nástroji pro vyrovnávání zatížení brány HDInsight. Nástroj pro vyrovnávání zatížení brány pak pošle provoz na hlavní uzly nebo pracovní uzly přímo. Vzhledem k tomu, že je ve virtuální síti HDInsight povolený DDoS Protection Standard, všechny veřejné IP adresy ve virtuální síti získají DDoS ochranu pro vrstvu 3 a 4. Tuto referenční architekturu je možné kombinovat s referenčními architekturami N-vrstvých a více oblastí.

Další informace o této referenční architektuře najdete v tématu věnovaném rozšiřování Azure HDInsight pomocí dokumentace k azure Virtual Network .