DDoS Protection-referensarkitekturer
DDoS Protection Standard är utformat för tjänster som distribueras i ett virtuellt nätverk. För andra tjänster gäller standardvärdet DDoS Protection Basic-tjänsten. Följande referensarkitekturer ordnas efter scenarier, med arkitekturmönster grupperade tillsammans.
Arbetsbelastningar för virtuella Windows/Linux
Program som körs på belastningsutjämnade virtuella datorer
Den här referensarkitekturen visar en uppsättning beprövade metoder för att köra flera virtuella Windows-datorer i en skalningsuppsättning bakom en lastbalanserare för att förbättra tillgängligheten och skalbarheten. Den här arkitekturen kan användas för alla tillståndslösa arbetsbelastningar, till exempel en webbserver.
En arbetsbelastning distribueras över flera VM-instanser i den här arkitekturen. Det finns en enskild offentlig IP-adress och Internettrafiken distribueras till de virtuella datorerna via en lastbalanserare. DDoS Protection Standard är aktiverat på det virtuella nätverket i Azure-lastbalanseraren (Internet) som har den offentliga IP-adressen kopplad till sig.
Lastbalanseraren distribuerar inkommande Internetbegäranden till VM-instanserna. Med VM-skalningsuppsättningar kan antalet virtuella datorer skalas in eller ut manuellt eller automatiskt baserat på fördefinierade regler. Detta är viktigt om resursen är under DDoS-attack. Mer information om den här referensarkitekturen finns i den här artikeln.
Program som körs Windows på N-nivå
Det finns många sätt att implementera en arkitektur på N-nivå. Följande diagram visar ett typiskt webbprogram med tre nivåer. Den här arkitekturen bygger på artikeln Run load-balanced VMs for scalability and availability (Kör belastningsutjämnade virtuella datorer för skalbarhet och tillgänglighet). Webb- och företagsnivåer använder belastningsutjämnade virtuella datorer.
I den här arkitekturen DDoS Protection Standard aktiverat i det virtuella nätverket. Alla offentliga IP-adresser i det virtuella nätverket får DDoS-skydd för Layer 3 och 4. För Layer 7-skydd distribuerar Application Gateway i WAF-SKU:n. Mer information om den här referensarkitekturen finns i den här artikeln.
Anteckning
Scenarier där en enskild virtuell dator körs bakom en offentlig IP-adress stöds inte.
PaaS-webbprogram
Den här referensarkitekturen visar hur du Azure App Service ett program i en enda region. Den här arkitekturen visar en uppsättning beprövade metoder för ett webbprogram som använder Azure App Service och Azure SQL Database. En reservregion konfigureras för redundansscenarier.
Azure Traffic Manager dirigerar inkommande begäranden till Application Gateway i en av regionerna. Under normal drift dirigerar den begäranden till Application Gateway i den aktiva regionen. Om den regionen blir otillgänglig Traffic Manager du över till Application Gateway i reservregionen.
All trafik från Internet till webbappen dirigeras till den offentliga IP Application Gateway adressen via Traffic Manager. I det här scenariot är själva apptjänsten (webbappen) inte direkt externt riktad och skyddas av Application Gateway.
Vi rekommenderar att du konfigurerar Application Gateway WAF SKU (förhindra läge) för att skydda mot Layer 7-attacker (HTTP/HTTPS/WebSocket). Dessutom är webbappar konfigurerade för att endast godkänna trafik från den Application Gateway IP-adressen.
Mer information om den här referensarkitekturen finns i den här artikeln.
Skydda lokala resurser
Du kan utnyttja skalning, kapacitet och effektivitet i Azure DDoS Protection Standard för att skydda dina lokala resurser genom att vara värd för en offentlig IP-adress i Azure och omdirigera trafiken till serverplatsens ursprung till din lokala miljö.
Om du har en webbapp som tar emot trafik från Internet kan du vara värd för webbappen bakom Application Gateway och sedan skydda den med WAF mot Layer 7-webbattacker, till exempel SQL-ktion. Programmets backend-ursprung finns i din lokala miljö, som är ansluten via VPN.
Backend-resurserna i den lokala miljön exponeras inte för det offentliga Internet. Endast den offentliga IP-adressen för AppGW/WAF exponeras för Internet och PROGRAMMETs DNS-namn mappar till den offentliga IP-adressen.
När DDoS Protection Standard är aktiverat på det virtuella nätverket som innehåller AppGW/WAF, kommer DDoS Protection Standard att skydda ditt program genom att minimera felaktig trafik och dirigera den tänkta rena trafiken till ditt program.
Den här artikeln visar hur du kan använda DDoS Protection Standard tillsammans med Application Gateway för att skydda en webbapp som körs Azure VMware Solution.
Riskreducering för PaaS-tjänster som inte är webbaserade
HDInsight på Azure
Den här referensarkitekturen visar hur du konfigurerar DDoS Protection Standard för ett Azure HDInsight kluster. Kontrollera att HDInsight-klustret är länkat till ett virtuellt nätverk och DDoS Protection är aktiverat i det virtuella nätverket.
I den här arkitekturen dirigeras trafik till HDInsight-klustret från Internet till den offentliga IP-adress som är associerad med lastbalanseraren för HDInsight-gatewayen. Gatewayens lastbalanserare skickar sedan trafiken direkt till huvudnoderna eller arbetsnoderna. Eftersom DDoS Protection Standard är aktiverat i det virtuella HDInsight-nätverket får alla offentliga IP-adresser i det virtuella nätverket DDoS-skydd för Layer 3 och 4. Den här referensarkitekturen kan kombineras med referensarkitekturerna N-nivå och flera regioner.
Mer information om den här referensarkitekturen finns i dokumentationen Extend Azure HDInsight using an Azure Virtual Network (Utöka Azure HDInsight med hjälp av en Azure Virtual Network).
Anteckning
Azure App Service-miljön för Power Apps api-hantering i ett virtuellt nätverk med en offentlig IP-adress stöds inte båda inbyggt.
Nästa steg
- Lär dig hur du skapar en DDoS-skyddsplan.