Azure DDoS 防護(hù)參考體系結(jié)構(gòu),azure ad介紹

Azure保護(hù)參考架構(gòu)

標(biāo)準(zhǔn)DDoS保護(hù)適用于部署在虛擬網(wǎng)絡(luò)中的服務(wù)。對于其他服務(wù)，將應(yīng)用默認(rèn)的基本DDoS保護(hù)服務(wù)。以下參考體系結(jié)構(gòu)是按場景組織的，并且體系結(jié)構(gòu)模式已經(jīng)分組在一起。

虛擬機(jī)(Windows/Linux)工作負(fù)載

在負(fù)載平衡的虛擬機(jī)上運(yùn)行的應(yīng)用程序

此參考體系結(jié)構(gòu)展示了一組行之有效的實(shí)踐，說明如何通過在負(fù)載平衡器后的集中規(guī)模中運(yùn)行多個(gè)Windows虛擬機(jī)來提高可用性和可擴(kuò)展性。這種架構(gòu)可以用于任何無狀態(tài)的工作負(fù)載，比如Web服務(wù)器。

在負(fù)載平衡虛擬機(jī)上運(yùn)行的應(yīng)用的參考架構(gòu)圖

在這種架構(gòu)中，工作負(fù)載分布在多個(gè)虛擬機(jī)實(shí)例中。只有一個(gè)公共IP地址，互聯(lián)網(wǎng)流量通過負(fù)載平衡器分配給這些虛擬機(jī)。已在與公共IP關(guān)聯(lián)的Azure(Internet)負(fù)載平衡器的虛擬網(wǎng)絡(luò)上啟用標(biāo)準(zhǔn)DDoS保護(hù)。

負(fù)載平衡器將傳入的互聯(lián)網(wǎng)請求分發(fā)到虛擬機(jī)實(shí)例。虛擬機(jī)規(guī)模集允許根據(jù)預(yù)定義的規(guī)則手動(dòng)或自動(dòng)擴(kuò)展或減少虛擬機(jī)的數(shù)量。如果資源受到DDoS攻擊，這個(gè)功能非常重要。有關(guān)該參考架構(gòu)的詳細(xì)信息，請參考本文。

在Windows N層上運(yùn)行的應(yīng)用程序

有許多方法可以實(shí)現(xiàn)N層架構(gòu)。下圖顯示了一個(gè)典型的三層Web應(yīng)用程序。這個(gè)架構(gòu)基于文章運(yùn)行負(fù)載平衡的VM來實(shí)現(xiàn)可伸縮性和可用性。Web層和業(yè)務(wù)層都使用負(fù)載平衡的虛擬機(jī)。

在n層Windows上運(yùn)行的應(yīng)用的參考體系結(jié)構(gòu)示意圖

在此架構(gòu)中，虛擬網(wǎng)絡(luò)上啟用了標(biāo)準(zhǔn)DDoS保護(hù)。虛擬網(wǎng)絡(luò)中的所有公共IP將受到第3層和第4層DDoS的保護(hù)。對于第7層保護(hù)，在WAF SKU部署應(yīng)用網(wǎng)關(guān)。有關(guān)該參考架構(gòu)的詳細(xì)信息，請參考本文。

評(píng)論

不支持在公共IP后運(yùn)行單個(gè)虛擬機(jī)。

PaaS Web應(yīng)用程序

該參考架構(gòu)展示了在單個(gè)區(qū)域中運(yùn)行的Azure應(yīng)用程序服務(wù)應(yīng)用程序。這個(gè)架構(gòu)展示了一組使用Azure應(yīng)用服務(wù)和Azure SQL數(shù)據(jù)庫的Web應(yīng)用程序的成熟實(shí)踐。已經(jīng)為故障轉(zhuǎn)移場景設(shè)置了備用區(qū)域。

PaaS Web應(yīng)用參考架構(gòu)示意圖

Azure traffic manager將傳入的請求路由到區(qū)域中的應(yīng)用程序網(wǎng)關(guān)。在正常操作期間，它將請求路由到活動(dòng)區(qū)域中的應(yīng)用網(wǎng)關(guān)。如果該區(qū)域不可用，流量管理器將故障轉(zhuǎn)移到備用區(qū)域中的應(yīng)用網(wǎng)關(guān)。

從互聯(lián)網(wǎng)到Web應(yīng)用程序的所有流量都通過流量管理器路由到應(yīng)用程序網(wǎng)關(guān)的公共IP地址。在這種情況下，應(yīng)用程序服務(wù)(Web應(yīng)用程序)本身并不直接在外部，而是受應(yīng)用程序網(wǎng)關(guān)的保護(hù)。

我們建議配置應(yīng)用網(wǎng)關(guān)WAF SKU(預(yù)防模式)，以幫助防止第7層(HTTP/HTTPS/Web套接字)攻擊。此外，Web應(yīng)用程序被配置為只接受來自應(yīng)用程序網(wǎng)關(guān)的IP地址的流量。

有關(guān)該參考架構(gòu)的詳細(xì)信息，請參考本文。

針對非Web PaaS服務(wù)的緩解措施

高清Azure洞察

該參考架構(gòu)展示了如何為Azure HDInsight集群配置標(biāo)準(zhǔn)DDoS保護(hù)。確保HDInsight集群鏈接到虛擬網(wǎng)絡(luò)，并且在虛擬網(wǎng)絡(luò)上啟用了DDoS保護(hù)。

HDInsight和高級(jí)設(shè)置面板，其中包含虛擬網(wǎng)絡(luò)設(shè)置。

啟用DDoS保護(hù)的選項(xiàng)

在這種架構(gòu)中，從互聯(lián)網(wǎng)到HDInsight集群的流量被路由到與HDInsight網(wǎng)關(guān)負(fù)載平衡器相關(guān)聯(lián)的公共IP。然后，網(wǎng)關(guān)負(fù)載均衡器直接將流量發(fā)國際快遞頭節(jié)點(diǎn)或工作節(jié)點(diǎn)。由于HDInsight虛擬網(wǎng)絡(luò)上已啟用標(biāo)準(zhǔn)DDoS保護(hù)，虛擬網(wǎng)絡(luò)中的所有公共IP將受到第3層和第4層DDoS保護(hù)。此參考體系結(jié)構(gòu)可以與N層和多區(qū)域參考體系結(jié)構(gòu)結(jié)合使用。

有關(guān)此參考架構(gòu)的詳細(xì)信息，請參考使用Azure虛擬網(wǎng)絡(luò)擴(kuò)展Azure HDInsight的文檔。

評(píng)論

在虛擬網(wǎng)絡(luò)中，無論是使用公共IP的PowerApps，還是由API管理的Azure應(yīng)用服務(wù)環(huán)境，都不是原生支持的。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。