Architektury referencyjne usługi DDoS Protection

Usługa DDoS Protection Standard jest przeznaczona dla usług wdrożonych w sieci wirtualnej. Następujące architektury referencyjne są rozmieszczane według scenariuszy, z pogrupowane razem wzorce architektury.

Uwaga

Zasoby chronione obejmują publiczne adresy IP dołączone do maszyny wirtualnej IaaS (z wyjątkiem pojedynczej maszyny wirtualnej działającej za publicznym adresem IP), Load Balancer (klasyczne & moduły równoważenia obciążenia w warstwie Standardowa), Application Gateway (w tym zapora, zapora, bastion, VPN Gateway, Service Fabric lub wirtualne urządzenie sieciowe oparte na IaaS (WUS) . Ochrona obejmuje również publiczne zakresy adresów IP wprowadzone na platformę Azure za pośrednictwem niestandardowych prefiksów adresów IP (BYOIPs). Usługi PaaS (wielodostępne), które obejmują Azure App Service Environment for Power Apps lub API Management w sieci wirtualnej z publicznym adresem IP, nie są obecnie obsługiwane.

Obciążenia maszyn wirtualnych (Windows/Linux)

Aplikacja uruchomiona na maszynach wirtualnych ze zrównoważonym obciążeniem

Ta architektura referencyjna przedstawia zestaw sprawdzonych rozwiązań dotyczących uruchamiania wielu maszyn wirtualnych Windows w zestawie skalowania za modułem równoważenia obciążenia w celu zwiększenia dostępności i skalowalności. Ta architektura może być używana dla dowolnego obciążenia bezstanowego, takiego jak serwer internetowy.

Diagram of the reference architecture for an application running on load-balanced VMs

W tej architekturze obciążenie jest rozkładane na wiele wystąpień maszyny wirtualnej. Istnieje jeden publiczny adres IP, a ruch internetowy jest dystrybuowany do maszyn wirtualnych za pośrednictwem modułu równoważenia obciążenia. Usługa DDoS Protection w warstwie Standardowa jest włączona w sieci wirtualnej modułu równoważenia obciążenia platformy Azure (Internet), który ma skojarzony z nim publiczny adres IP.

Moduł równoważenia obciążenia dystrybuuje przychodzące żądania internetowe do wystąpień maszyn wirtualnych. Zestawy skalowania maszyn wirtualnych umożliwiają ręczne skalowanie maszyn wirtualnych lub w poziomie albo automatyczne na podstawie wstępnie zdefiniowanych reguł. Jest to ważne, jeśli zasób jest objęty atakiem DDoS. Aby uzyskać więcej informacji na temat tej architektury referencyjnej, zobacz ten artykuł.

Aplikacja działająca w warstwie N Windows

Istnieje wiele sposobów implementowania architektury n-warstwowej. Na poniższym diagramie przedstawiono typową aplikację internetową trójwarstwową. Ta architektura opiera się na artykule Uruchamianie maszyn wirtualnych ze zrównoważonym obciążeniem w celu zapewnienia skalowalności i dostępności. Warstwy internetowa i biznesowa używają maszyn wirtualnych z równoważeniem obciążenia.

Diagram of the reference architecture for an application running on Windows N-tier

W tej architekturze usługa DDoS Protection Standard jest włączona w sieci wirtualnej. Wszystkie publiczne adresy IP w sieci wirtualnej uzyskują ochronę przed atakami DDoS dla warstwy 3 i 4. W przypadku ochrony w warstwie 7 wdróż Application Gateway w jednostce SKU zapory aplikacji internetowej. Aby uzyskać więcej informacji na temat tej architektury referencyjnej, zobacz Windows aplikacji N-warstwowej na platformie Azure.

Uwaga

Scenariusze, w których jedna maszyna wirtualna jest uruchomiona za publicznym adresem IP, nie są obsługiwane. Środki zaradcze DDoS mogą nie być inicjowane natychmiast po wykryciu ataku DDoS. W związku z tym pojedyncze wdrożenie maszyny wirtualnej, które nie może skalować w poziomie, spadnie w takich przypadkach.

Aplikacja internetowa PaaS

Ta architektura referencyjna pokazuje uruchamianie aplikacji Azure App Service w jednym regionie. Ta architektura przedstawia zestaw sprawdzonych rozwiązań dla aplikacji internetowej, która używa Azure App Service i Azure SQL Database. Region rezerwowy jest konfigurowany na potrzeby scenariuszy trybu failover.

Diagram of the reference architecture for a PaaS web application

Azure Traffic Manager kieruje żądania przychodzące do Application Gateway w jednym z regionów. Podczas normalnych operacji kieruje żądania do Application Gateway w aktywnym regionie. Jeśli ten region stanie się niedostępny, Traffic Manager przełączenie w tryb failover w celu Application Gateway w regionie rezerwowym.

Cały ruch z Internetu kierowany do aplikacji internetowej jest kierowany do publicznego adresu IP Application Gateway za pośrednictwem Traffic Manager. W tym scenariuszu sama usługa App Service (aplikacja internetowa) nie jest bezpośrednio skierowana zewnętrznie i jest chroniona przez Application Gateway.

Zalecamy skonfigurowanie jednostki SKU zapory aplikacji internetowej Application Gateway (tryb zapobiegania) w celu ochrony przed atakami w warstwie 7 (HTTP/HTTPS/WebSocket). Ponadto aplikacje internetowe są skonfigurowane tak, aby akceptowały tylko ruch z Application Gateway adresu IP.

Aby uzyskać więcej informacji na temat tej architektury referencyjnej, zobacz Aplikacja internetowa o wysokiej dostępności w wielu regionach.

Środki zaradcze dla usług PaaS innych niż sieci Web

Usługa HDInsight na platformie Azure

Ta architektura referencyjna przedstawia konfigurowanie usługi DDoS Protection w warstwie Standardowa dla klastra usługi Azure HDInsight. Upewnij się, że klaster usługi HDInsight jest połączony z siecią wirtualną i że usługa DDoS Protection jest włączona w sieci wirtualnej.

Selection for enabling DDoS Protection

W tej architekturze ruch kierowany do klastra usługi HDInsight z Internetu jest kierowany do publicznego adresu IP skojarzonego z modułem równoważenia obciążenia bramy usługi HDInsight. Moduł równoważenia obciążenia bramy wysyła następnie ruch do węzłów głównych lub węzłów roboczych bezpośrednio. Ponieważ usługa DDoS Protection Standard jest włączona w sieci wirtualnej usługi HDInsight, wszystkie publiczne adresy IP w sieci wirtualnej uzyskują ochronę przed atakami DDoS dla warstwy 3 i 4. Ta architektura referencyjna może być połączona z architekturami referencyjnymi N-warstwowymi i wieloregionowymi.

Aby uzyskać więcej informacji na temat tej architektury referencyjnej, zobacz dokumentację Rozszerzanie usługi Azure HDInsight przy użyciu usługi Azure Virtual Network.

Uwaga

Azure App Service Environment for Power Apps lub API Management w sieci wirtualnej z publicznym adresem IP nie są obsługiwane natywnie.

Topologia sieci piasty i szprych z usługami Azure Firewall i Azure Bastion

Ta architektura referencyjna zawiera szczegóły topologii piasty i szprych z Azure Firewall wewnątrz centrum jako strefy DMZ dla scenariuszy wymagających centralnej kontroli nad aspektami zabezpieczeń. Azure Firewall jest zarządzaną zaporą jako usługą i jest umieszczana we własnej podsieci. Usługa Azure Bastion jest wdrażana i umieszczana we własnej podsieci.

Istnieją dwie szprychy, które są połączone z koncentratorem przy użyciu komunikacji równorzędnej sieci wirtualnej i nie ma łączności szprychy do szprych. Jeśli potrzebujesz łączności szprychy, musisz utworzyć trasy do przesyłania dalej ruchu z jednej szprychy do zapory, która może następnie kierować ją do drugiej szprychy.

Screenshot showing Hub-and-spoke architecture with firewall, bastion, and DDoS Protection Standard

Usługa Azure DDoS Protection w warstwie Standardowa jest włączona w sieci wirtualnej koncentratora. W związku z tym wszystkie publiczne adresy IP, które znajdują się wewnątrz centrum, są chronione przez plan DDoS Standard. W tym scenariuszu zapora w centrum pomaga kontrolować ruch przychodzący z Internetu, podczas gdy publiczny adres IP zapory jest chroniony. Usługa Azure DDoS Protection w warstwie Standardowa chroni również publiczny adres IP bastionu.

Usługa DDoS Protection Standard jest przeznaczona dla usług wdrożonych w sieci wirtualnej. Aby uzyskać więcej informacji, zobacz Wdrażanie dedykowanej usługi platformy Azure w sieciach wirtualnych.

Uwaga

Usługa DDoS Protection w warstwie Standardowa chroni publiczne adresy IP zasobu platformy Azure. Usługa DDoS Protection w warstwie Podstawowa, która nie wymaga konfiguracji i jest domyślnie włączona, chroni tylko podstawową infrastrukturę platformy Azure (np. Azure DNS). Aby uzyskać więcej informacji, zobacz Omówienie usługi Azure DDoS Protection w warstwie Standardowa. Aby uzyskać więcej informacji na temat topologii piasty i szprych, zobacz Topologia sieci piasty i szprych.

Następne kroki