Azure DDoS koruması-dayanıklı çözümler tasarlama
Bu makale BT karar mekanizmaları ve güvenlik personeli içindir. Azure, ağ ve güvenlik hakkında bilgi sahibi olduğunuzu bekliyor. DDoS, uygulama kaynaklarını tüketmeye çalışan bir saldırı türüdür. Amaç, uygulamanın kullanılabilirliğini ve meşru istekleri işleme yeteneğini etkiler. Saldırılar, boyut ve etki açısından daha karmaşık ve daha büyük hale geliyor. DDoS saldırıları internet üzerinden genel olarak erişilebilen herhangi bir uç noktasını hedefleyebilir. Dağıtılmış hizmet reddi (DDoS) dayanıklılığı için tasarlamak, çeşitli hata modlarında planlama ve tasarlama gerektirir. Azure, DDoS saldırılarına karşı sürekli koruma sağlar. Bu koruma, varsayılan olarak ve ek maliyet olmadan Azure platformunda tümleşiktir.
Azure DDoS koruma standardı , platformda Core DDoS korumasına ek olarak ağ saldırılarına karşı gelişmiş DDoS azaltma özellikleri sağlar. Belirli Azure kaynaklarınızı korumak için otomatik olarak ayarlanır. Yeni sanal ağların oluşturulması sırasında korumanın etkinleştirilmesi basittir. Ayrıca, oluşturulduktan sonra yapılabilir ve uygulama ya da kaynak değişikliği gerektirmez.
Temel en iyi yöntemler
Aşağıdaki bölümler Azure 'da DDoS-dayanıklı hizmetler oluşturmaya yönelik öngörülü rehberlik sağlar.
Güvenlik için tasarlama
Tasarımın, bir uygulamanın tüm yaşam döngüsünün tamamında, tasarım ve uygulama ile dağıtım ve işlemlere kadar öncelikli olduğundan emin olun. Uygulamalar görece düşük bir istek hacmine izin veren hatalara sahip olabilir ve bu da hizmet kesintisi oluşmasına neden olur.
Microsoft Azure üzerinde çalışan bir hizmetin korunmasına yardımcı olmak için, uygulama mimarinizi iyi bir şekilde kavramanız ve yazılım kalitesinin beşile ilgili olarak odaklanmanız gerekir. Tipik trafik birimlerini, uygulama ve diğer uygulamalar arasındaki bağlantı modelini ve genel İnternet 'e açık olan hizmet uç noktalarını bilmeniz gerekir.
Bir uygulamanın, uygulamanın kendisi için hedeflenen bir hizmet reddine yetecek kadar dayanıklı olmasını sağlamak, en önemli öneme sahiptir. Güvenlik ve gizlilik, güvenlik geliştirme yaşam döngüsü (SDL)Ile başlayan Azure platformunda yerleşik olarak bulunur. SDL her geliştirme aşamasında güvenliği adresleyen ve Azure 'un sürekli olarak daha güvenli hale getirmek için güncelleştirilmesini sağlar.
Ölçeklenebilirlik için tasarım
Ölçeklenebilirlik, sistemin artan yükü işleyebilme konusunda ne kadar iyi bir sistem olabilir. Uygulamalarınızı, özellikle de DDoS saldırısı durumunda, yükseltilmiş bir yükün talebini karşılayacak şekilde ölçeklendirmek üzere tasarlayın. Uygulamanız bir hizmetin tek bir örneğine bağımlıysa, tek bir hata noktası oluşturur. Birden çok örneği sağlamak, sisteminizi daha dayanıklı ve daha ölçeklenebilir hale getirir.
Azure App Serviceiçin, birden çok örnek sunan bir App Service planı seçin. Azure Cloud Services için, rollerinizin her birini birden çok örnekkullanacak şekilde yapılandırın. Azure sanal makineleriçin, sanal makıne (VM) mimarinizin bırden fazla VM içerdiğinden ve her VM 'nin bir kullanılabilirlik kümesineeklendiğinden emin olun. Otomatik ölçeklendirme özellikleri için Sanal Makine Ölçek Kümeleri kullanmanızı öneririz.
Derinlemesine savunma
Derinlemesine savunma 'nın arkasındaki fikir, farklı savunma stratejileri kullanarak riskleri yönetmenizde yarar vardır. Bir uygulamadaki güvenlik savunmaları katmanlama, başarılı bir saldırı olasılığını azaltır. Azure platformunun yerleşik yeteneklerini kullanarak uygulamalarınız için güvenli tasarımlar uygulamanızı öneririz.
Örneğin, saldırı riski uygulamanın boyutuyla (yüzey alanı) artar. açık ıp adresi alanını ve yük dengeleyiciler üzerinde gerekli olmayan dinleme bağlantı noktalarını (Azure Load Balancer ve Azure Application Gateway) kapatmak için bir onay listesi kullanarak yüzey alanını azaltabilirsiniz. Ağ güvenlik grupları (NSG 'ler) , saldırı yüzeyini azaltmak için başka bir yoldur. Uygulama yapısının doğal bir uzantısı olarak güvenlik kuralları oluşturma ve ağ güvenliğini yapılandırma karmaşıklığını en aza indirmek için hizmet etiketlerini ve uygulama güvenlik gruplarını kullanabilirsiniz.
Mümkün olduğunda Azure hizmetlerini bir Sanal ağda dağıtmanız gerekir. Bu uygulama, hizmet kaynaklarının özel IP adresleri üzerinden iletişim kurmasına izin verir. Bir sanal ağdan gelen Azure hizmet trafiği, varsayılan olarak kaynak IP adresleri olarak genel IP adreslerini kullanır. Hizmet uç noktalarının kullanılması, hizmet trafiğini bir sanal ağdan Azure hizmetine ERIŞIRKEN kaynak IP adresleri olarak sanal ağ özel adreslerini kullanacak şekilde geçer.
Müşterilerin Şirket içi kaynaklarını Azure 'daki kaynaklarıyla birlikte saldırıya uğradığını görtik. Şirket içi bir ortamı Azure 'a bağlıyorsanız, şirket içi kaynakların açık internet 'te etkilenme olasılığını en aza indirmenizi öneririz. Azure 'un ölçek ve gelişmiş DDoS koruma özelliklerini kullanarak Azure 'da iyi bilinen genel varlıkları dağıtabilirsiniz. Bu genel olarak erişilebilen varlıklar, DDoS saldırıları için genellikle bir hedef olduğundan, bunları Azure 'a koymak, şirket içi kaynaklarınızın etkisini azaltır.
DDoS koruması için Azure teklifleri
Azure 'da ağ saldırılarına karşı koruma sağlayan iki DDoS hizmeti teklifi vardır (katman 3 ve 4): DDoS koruması temel ve DDoS koruma standardı.
DDoS koruması temel
Temel koruma, hiçbir ek ücret ödemeden Azure ile varsayılan olarak tümleşiktir. Küresel olarak dağıtılan Azure ağının ölçeği ve kapasitesi, her zaman açık trafik izleme ve gerçek zamanlı risk azaltma aracılığıyla ortak ağ katmanı saldırılarına karşı savunma sağlar. DDoS koruması temel, Kullanıcı Yapılandırması veya uygulama değişikliği gerektirmez. DDoS koruması temel, Azure DNS gibi PaaS hizmetleri de dahil olmak üzere tüm Azure hizmetlerini korumanıza yardımcı olur.
Azure 'da temel DDoS koruması hem yazılım hem de donanım bileşenlerinden oluşur. Yazılım denetim düzlemi, saldırı trafiğini çözümleyen ve kaldıracak donanım gereçlerinde ne zaman, nerede ve ne tür trafiğe göz atacağını belirler. Denetim düzlemi, altyapı genelinde bir DDoS koruma ilkesini temel alarak bu kararı sağlar. Bu ilke, tüm Azure müşterilerine statik olarak ayarlanır ve evrensel olarak uygulanır.
Örneğin, DDoS koruma ilkesi, korumanın hangi trafik biriminde tetikleneceğini belirtir. (Yani, kiracının trafiği, temizleme gereçlerine göre yönlendirilmelidir.) İlke daha sonra, temizleme gereçlerinin saldırıyı nasıl azaltmalıdır .
Azure DDoS koruması temel hizmeti, Azure platformunun altyapısının ve korumasının korunmasını hedeflemektedir. Çok kiracılı bir ortamda birden çok müşteriyi etkileyebilecek önemli bir oranı aştığında trafiği azaltır. Uyarı veya müşteri başına özelleştirilmiş ilke sağlamaz.
DDoS Koruması Standart
Standart koruma, gelişmiş DDoS azaltma özellikleri sağlar. Bir sanal ağdaki belirli Azure kaynaklarınızı korumaya yardımcı olmak üzere otomatik olarak ayarlanır. Korumanın, yeni veya mevcut bir sanal ağda etkinleştirilmesi basittir ve uygulama veya kaynak değişikliği gerektirmez. Günlük, uyarı ve telemetri dahil olmak üzere temel hizmet üzerinde çeşitli avantajları vardır. Aşağıdaki bölümlerde, Azure DDoS koruması standart hizmetinin temel özellikleri ana hatlarıyla verilmiştir.
Uyarlamalı gerçek zamanlı ayarlama
Azure DDoS koruması temel hizmeti, müşterileri korumanıza ve diğer müşterilerin etkilerini önlemeye yardımcı olur. Örneğin, altyapı genelindeki DDoS koruma ilkesinin tetikleme hızından daha küçük olan bir hizmetin tipik bir birimi için sağlanması halinde, müşterinin kaynaklarına yönelik bir DDoS saldırısı fark etmeyebilir. Daha genel olarak, son saldırıların karmaşıklığı (örneğin, çok vektör DDoS) ve kiracıların uygulamaya özgü davranışları, müşteri başına, özelleştirilmiş koruma ilkeleri için çağrı. Hizmet, bu özelleştirmeyi iki öngörü kullanarak gerçekleştirir:
Katman 3 ve 4 için müşteri başına (IP başına) trafik desenlerini otomatik öğrenme.
Azure 'un ölçeğinin önemli miktarda trafiğe artışlarını devralarak izin verdiğinden emin olmak için hatalı pozitif sonuçları en aza indirir.
DDoS koruması telemetrisi, izleme ve uyarı
DDoS koruma standardı, DDoS saldırısı süresince Azure izleyici aracılığıyla zengin telemetri sunar. DDoS korumasının kullandığı Azure Izleyici ölçümlerinden herhangi biri için uyarıları yapılandırabilirsiniz. azure izleyici tanılama arabirimi aracılığıyla, gelişmiş analiz için azure Depolama ile birlikte günlük 'i splunk (azure Event Hubs), azure izleyici günlükleri ve azure ile tümleştirebilirsiniz.
DDoS risk azaltma ilkeleri
Azure Portal ölçümleri İzle' yi seçin > . Ölçümler bölmesinde, kaynak grubunu seçin, ortak IP adresi kaynak türünü SEÇIN ve Azure genel IP adresinizi seçin. DDoS ölçümleri kullanılabilir ölçümler bölmesinde görünür.
DDoS koruması standardı, korumalı kaynağın her genel IP 'si için, DDoS özellikli olan sanal ağdaki üç etkin Azaltma ilkesi (TCP SYN, TCP ve UDP) uygular. DDoS risk azaltma tetiklenecek ölçüm gelen paketleri seçerek ilke eşiklerini görüntüleyebilirsiniz.
İlke eşikleri, makine öğrenimi tabanlı ağ trafiği profili oluşturma yoluyla otomatik olarak yapılandırılır. Yalnızca ilke eşiği aşıldığında saldırı altında bir IP adresi için DDoS azaltma durumu oluşur.
DDoS saldırısı kapsamındaki bir IP adresi ölçümü
Genel IP adresi saldırı altındaysa, DDoS koruması için DDoS saldırısının altındaki ölçüm değeri, saldırı trafiği üzerinde hafifletme uygular.
Bu ölçüm üzerinde bir uyarı yapılandırmanızı öneririz. Ardından, genel IP adresinizde etkin bir DDoS azaltma işlemi gerçekleştiriliyorsa size bildirilecek.
Daha fazla bilgi için bkz. Azure DDoS Koruması Standard'ı Azure portal.
Kaynak saldırıları için web uygulaması güvenlik duvarı
Uygulama katmanında yapılan kaynak saldırılarına özgü olarak, web uygulamalarının güvenliğini sağlamak için bir web uygulaması güvenlik duvarı (WAF) yapılandırmanız gerekir. WAF; uygulama ekleme, siteler arası betik SQL DDoS ve diğer Katman 7 saldırılarını engellemek için gelen web trafiğini inceler. Azure, web uygulamalarınızı yaygın açıklardan Application Gateway güvenlik açıklarına karşı merkezi bir koruma için waf'ın bir özelliğidir. Azure iş ortaklarının, Azure Market aracılığıyla ihtiyaçlarınıza daha uygun olan başka WAF teklifleri vardır.
Web uygulaması güvenlik duvarları bile hacimsel ve durum tükenme saldırılarına karşı duyarlıdır. Yüksek hacimli saldırılardan ve protokol saldırılarından korunmaya yardımcı olmak için WAF sanal ağına DDoS Koruması Standart'ın etkinleştirilmesini kesinlikle öneririz. Daha fazla bilgi için DDoS Koruması başvuru mimarileri bölümüne bakın.
Koruma planlaması
DDoS saldırısı sırasında sistemin nasıl bir performans sergileyeceklerini anlamak için planlama ve hazırlık çok önemlidir. Olay yönetimi yanıt planı tasarlamak bu çabanın bir parçası.
DDoS Koruması Standart'nız varsa, İnternet'e yönelik uç noktaların sanal ağın üzerinde etkinleştirildiğinden emin olun. DDoS uyarılarını yapılandırmak, altyapınıza yönelik olası saldırıları sürekli olarak izlemenize yardımcı olur.
Uygulamalarınızı bağımsız olarak izleme. Bir uygulamanın normal davranışını anlama. Uygulama bir DDoS saldırısı sırasında beklendiği gibi davranmıyorsa harekete hazırlanma.
Simülasyonlar aracılığıyla test etme
Düzenli simülasyonlar gerçekleştirerek hizmetlerinizin bir saldırıya nasıl yanıt verdiğiyle ilgili varsayımlarınızı test etmek iyi bir uygulamadır. Test sırasında, hizmetlerinizin veya uygulamalarınızın beklendiği gibi çalışmaya devam edeceğini ve kullanıcı deneyimine herhangi bir kesinti yaşanmadan devam edeceğini onaylar. Hem teknoloji hem de süreç açısından boşlukları belirleme ve DDoS yanıt stratejisine dahil et. Üretim ortamı üzerindeki etkiyi en aza indirmek için bu tür testleri hazırlama ortamlarında veya yoğun olmayan saatlerde gerçekleştirmenizi öneririz.
Azure müşterilerinin simülasyonlar için DDoS Koruması özellikli genel uç noktalara karşı trafik oluştura bir arabirim oluşturmak için BreakingPoint Cloud ile iş ortağı oldu. BreakingPoint Cloud simülasyonunu kullanarak şunları sabilirsiniz:
Azure DDoS Koruması'nın Azure kaynaklarınızı DDoS saldırılarına karşı korumanıza nasıl yardımcı olduğunu doğrulayabilirsiniz.
DDoS saldırısı altındayken olay yanıt sürecinizi iyileştirebilirsiniz.
DDoS uyumluluğunu belgeleyebilirsiniz.
Ağ güvenlik ekiplerinizi eğitebilirsiniz.
Siber güvenlik, savunmada sürekli yenilik gerektirir. Azure DDoS Standart koruması, giderek daha karmaşık hale gelen DDoS saldırılarını azaltmak için etkili bir çözüme sahip son teknoloji bir tekliftir.
DDoS yanıt stratejisinin bileşenleri
Azure kaynaklarını hedef alan bir DDoS saldırısı genellikle kullanıcı açısından en az müdahale gerektirir. Yine de, olay yanıtı stratejisinin bir parçası olarak DDoS risk azaltmayı dahil etmek, iş sürekliliği üzerindeki etkiyi en aza indirmeye yardımcı olur.
Microsoft tehdit zekası
Microsoft kapsamlı bir tehdit zekası ağına sahip. Bu ağ, Microsoft çevrimiçi hizmetler, Microsoft iş ortakları ve internet güvenlik topluluğu içindeki ilişkileri destekleyen genişletilmiş bir güvenlik topluluğuna ilişkin ortak bilgileri kullanır.
Kritik bir altyapı sağlayıcısı olarak Microsoft, tehditler hakkında erken uyarılar alır. Microsoft tehdit zekasını kendi çevrimiçi hizmetler müşteri tabanından toplar. Microsoft, bu tehdit zekası ürünlerinin tüm Azure DDoS Koruması dahil ediyor.
Ayrıca Microsoft Dijital Suçlar Birimi (DCU), botnetlere karşı rahatsız edici stratejiler de gerçekleştiriyor. Botnet'ler DDoS saldırıları için ortak bir komut ve denetim kaynağıdır.
Azure kaynaklarınızı risk değerlendirmesi
Sürekli olarak DDoS saldırısına karşı risk kapsamınızı anlamak bir uygulamadır. Kendinize düzenli aralıklarla şu soruyu sorun:
Genel kullanıma açık olan yeni Azure kaynaklarının korunması gerekiyor?
Hizmette tek hata noktası var mı?
Hizmetler, geçerli müşterilerin hizmetine sunarken bir saldırının etkisini sınırlamak için nasıl yalıtılmış olabilir?
DDoS Koruması Standart'ın etkinleştirilmesi gereken ancak etkinleştirilmemiş sanal ağlar var mı?
Hizmetlerim birden çok bölgede yük devretme ile etkin mi/etkin mi?
Müşteri DDoS yanıt ekibi
DDoS yanıt ekibi oluşturmak, bir saldırıya hızlı ve etkili bir şekilde yanıt vermenin önemli bir adımıdır. Hem planlama hem de yürütmeyi denetleyecek kişileri belirleme. Bu DDoS yanıt ekibi, standart hizmetle ilgili Azure DDoS Koruması anlamalı. Ekibin, Microsoft destek ekibi de dahil olmak üzere iç ve dış müşterilerle koordine olarak bir saldırıyı belirleyeye ve hafifletene kadar emin olun.
DDoS yanıt takımınız için simülasyon alıştırmalarını hizmet kullanılabilirliği ve süreklilik planlamanın normal bir parçası olarak kullanmanızı öneririz. Bu alıştırmalar ölçek testi içerir.
Saldırı sırasında uyarılar
Azure DDoS Koruması Standart, DDoS saldırılarını kullanıcı müdahalesi olmadan tanımlar ve hafifleter. Korumalı bir genel IP'de etkin bir risk azaltma olduğunda, DDoS saldırısı altında veya altında ölçümde bir uyarı yapılandırarak bilgi almak için. Saldırının ölçeğini, bırakılan trafiği ve diğer ayrıntıları anlamak için diğer DDoS ölçümleri için uyarılar oluşturabilirsiniz.
Microsoft desteğine ne zaman başvur gerekir?
DDoS saldırısı sırasında korunan kaynağın performansının ciddi bir şekilde düşürülmüş olduğunu veya kaynağın kullanılabilir olmadığını bulur.
DDoS Koruması hizmetinin beklendiği gibi olmadığını düşünüyoruz.
DDoS Koruması hizmeti, yalnızca DDoS azaltmasını tetikleyen ölçüm değeri İlke (TCP/TCP SYN/UDP) korumalı genel IP kaynağında alınan trafikten daha düşükse risk azaltmaya başlar.
Ağ trafiğinizi önemli ölçüde artıran viral bir etkinlik planlıyorsunuz.
Bir aktör, kaynaklarınıza karşı bir DDoS saldırısı başlatmakla tehdit etmiştir.
Standart'tan bir IP veya IP aralığı listesine izin Azure DDoS Koruması. Trafiğin bir dış bulut WAF'den Azure'a yönlendirilen liste IP'sine izin vermek yaygın bir senaryodur.
İş açısından kritik bir etkisi olan saldırılar için bir önem derecesi -A destek bileti oluşturun.
Saldırı sonrası adımlar
Her zaman bir saldırı sonrası sonrası yapmak ve DDoS yanıt stratejisini gereken şekilde ayarlamak iyi bir stratejidir. Dikkat etmek gerekenler:
Ölçeklenebilir mimarinin olmaması nedeniyle hizmette veya kullanıcı deneyiminde herhangi bir kesinti oldu mu?
Hangi uygulamalar veya hizmetler en çok zarara neden oldu?
DDoS yanıt stratejisi ne kadar etkili oldu ve nasıl geliştirildi?
DDoS saldırısı altında olduğunu şüpheleniyorsanız normal iş kanallarınızı Azure Desteği.
DDoS Koruması başvuru mimarileri
DDoS Koruması Standart, bir sanal ağa dağıtılan hizmetler için tasarlanmıştır. Diğer hizmetler için varsayılan DDoS Koruması Temel hizmeti geçerlidir. Aşağıdaki başvuru mimarileri, mimari desenleri birlikte gruplandırarak senaryolara göre düzenlenmiştir.
Sanal makine (Windows/Linux) iş yükleri
Yük dengeli VM'lerde çalışan uygulama
Bu başvuru mimarisinde, kullanılabilirliği ve ölçeklenebilirliği geliştirmek için bir yük dengeleyicinin arkasındaki bir ölçek kümesinde birden çok sanal Windows çalıştırmaya yönelik kanıtlanmış bir dizi uygulama yer almaktadır. Bu mimari, web sunucusu gibi durum bilgisiz iş yükleri için kullanılabilir.
Bu mimaride, bir iş yükü birden çok VM örneğine dağıtılır. Tek bir genel IP adresi vardır ve İnternet trafiği bir yük dengeleyici aracılığıyla VM'lere dağıtılır. DDoS Koruması Standart, azure (internet) yük dengeleyicinin ilişkili genel IP'sini olan sanal ağın üzerinde etkinleştirilir.
Yük dengeleyici gelen internet isteklerini SANAL makine örneklerine dağıtır. Sanal makine ölçek kümeleri, sanal makine sayısının el ile veya önceden tanımlanmış kurallara göre otomatik olarak ölçeklendirilebilir veya devredilebilir. Kaynak DDoS saldırısı altında ise bu önemlidir. Bu başvuru mimarisi hakkında daha fazla bilgi için bu makaleye bakın.
N katmanlı Windows çalışan uygulama
N katmanlı mimari uygulamanın birçok yolu vardır. Aşağıdaki diyagramda tipik bir üç katmanlı web uygulaması yer amektedir. Bu mimari, ölçeklenebilirlik ve kullanılabilirlik için yük dengeli VM'ler çalıştırma makalesinde yer almaktadır. Web ve iş katmanları yük dengeli VM’leri kullanır.
Bu mimaride, sanal ağ üzerinde DDoS Koruma Standardı etkindir. Sanal ağdaki tüm genel IP 'Ler 3 ve 4. katman için DDoS koruması 'nı alır. Katman 7 koruması için WAF SKU 'sunda Application Gateway dağıtın. Bu başvuru mimarisi hakkında daha fazla bilgi için Bu makaleyebakın.
PaaS web uygulaması
Bu başvuru mimarisi, tek bir bölgede Azure App Service uygulamasının çalıştığını gösterir. bu mimari, Azure App Service ve Azure SQL Veritabanıkullanan bir web uygulaması için kanıtlanmış bir yöntemler kümesi gösterir. Yük devretme senaryoları için bir bekleme bölgesi ayarlanır.
Azure Traffic Manager, gelen istekleri bölgelerden birinde Application Gateway yönlendirir. Normal işlemler sırasında, istekleri etkin bölgede Application Gateway yönlendirir. bu bölge kullanılamaz duruma gelirse, Traffic Manager bekleme bölgesinde Application Gateway devreder.
İnternet 'ten Web uygulamasına giden tüm trafik, Traffic Manager üzerinden Application Gateway genel IP adresine yönlendirilir. Bu senaryoda, App Service (Web App) doğrudan dışarıdan verilmez ve Application Gateway tarafından korunur.
Katman 7 (HTTP/HTTPS/WebSocket) saldırılarına karşı korumaya yardımcı olmak için Application Gateway WAF SKU 'SU (mod engelleme) yapılandırmanızı öneririz. Ayrıca, Web Apps yalnızca Application Gateway IP adresinden gelen trafiği kabul edecek şekilde yapılandırılmıştır.
Bu başvuru mimarisi hakkında daha fazla bilgi için Bu makaleyebakın.
Web dışı PaaS hizmetleri için risk azaltma
Azure 'da HDInsight
Bu başvuru mimarisinde, Azure HDInsight kümesiIçin DDoS koruma standardı yapılandırma gösterilmektedir. HDInsight kümesinin bir sanal ağa bağlı olduğundan ve sanal ağ üzerinde DDoS korumasının etkinleştirildiğinden emin olun.
Bu mimaride, Internet 'ten HDInsight kümesine giden trafik, HDInsight ağ geçidi yük dengeleyicisiyle ilişkili genel IP 'ye yönlendirilir. Ağ Geçidi yük dengeleyici daha sonra trafiği baş düğümlere veya çalışan düğümlerine doğrudan gönderir. HDInsight sanal ağında DDoS koruması standardı etkinleştirildiğinden, sanal ağdaki tüm genel IP 'Ler 3. ve 4. katman için DDoS koruması 'nı alır. Bu başvuru mimarisi, N katmanlı ve çok bölgeli başvuru mimarileri ile birleştirilebilir.
Bu başvuru mimarisi hakkında daha fazla bilgi için Azure sanal ağ kullanarak Azure HDInsight 'ı genişletme bölümüne bakın.
Not
genel ıp 'si olan bir sanal ağda Power Apps veya apı yönetimi için Azure App Service Ortamı, yerel olarak desteklenmez.