Azure DDoS 防護參考體系結(jié)構(gòu),azure ad介紹-ESG跨境

Azure DDoS 防護參考體系結(jié)構(gòu),azure ad介紹

Azure保護參考架構(gòu)

標準DDoS保護適用于部署在虛擬網(wǎng)絡(luò)中的服務(wù)。對于其他服務(wù)，將應(yīng)用默認的基本DDoS保護服務(wù)。以下參考體系結(jié)構(gòu)是按場景組織的，并且體系結(jié)構(gòu)模式已經(jīng)分組在一起。

虛擬機(Windows/Linux)工作負載

在負載平衡的虛擬機上運行的應(yīng)用程序

此參考體系結(jié)構(gòu)展示了一組行之有效的實踐，說明如何通過在負載平衡器后的集中規(guī)模中運行多個Windows虛擬機來提高可用性和可擴展性。這種架構(gòu)可以用于任何無狀態(tài)的工作負載，比如Web服務(wù)器。

在負載平衡虛擬機上運行的應(yīng)用的參考架構(gòu)圖

在這種架構(gòu)中，工作負載分布在多個虛擬機實例中。只有一個公共IP地址，互聯(lián)網(wǎng)流量通過負載平衡器分配給這些虛擬機。已在與公共IP關(guān)聯(lián)的Azure(Internet)負載平衡器的虛擬網(wǎng)絡(luò)上啟用標準DDoS保護。

負載平衡器將傳入的互聯(lián)網(wǎng)請求分發(fā)到虛擬機實例。虛擬機規(guī)模集允許根據(jù)預(yù)定義的規(guī)則手動或自動擴展或減少虛擬機的數(shù)量。如果資源受到DDoS攻擊，這個功能非常重要。有關(guān)該參考架構(gòu)的詳細信息，請參考本文。

在Windows N層上運行的應(yīng)用程序

有許多方法可以實現(xiàn)N層架構(gòu)。下圖顯示了一個典型的三層Web應(yīng)用程序。這個架構(gòu)基于文章運行負載平衡的VM來實現(xiàn)可伸縮性和可用性。Web層和業(yè)務(wù)層都使用負載平衡的虛擬機。

在n層Windows上運行的應(yīng)用的參考體系結(jié)構(gòu)示意圖

在此架構(gòu)中，虛擬網(wǎng)絡(luò)上啟用了標準DDoS保護。虛擬網(wǎng)絡(luò)中的所有公共IP將受到第3層和第4層DDoS的保護。對于第7層保護，在WAF SKU部署應(yīng)用網(wǎng)關(guān)。有關(guān)該參考架構(gòu)的詳細信息，請參考本文。

評論

不支持在公共IP后運行單個虛擬機。

PaaS Web應(yīng)用程序

該參考架構(gòu)展示了在單個區(qū)域中運行的Azure應(yīng)用程序服務(wù)應(yīng)用程序。這個架構(gòu)展示了一組使用Azure應(yīng)用服務(wù)和Azure SQL數(shù)據(jù)庫的Web應(yīng)用程序的成熟實踐。已經(jīng)為故障轉(zhuǎn)移場景設(shè)置了備用區(qū)域。

PaaS Web應(yīng)用參考架構(gòu)示意圖

Azure traffic manager將傳入的請求路由到區(qū)域中的應(yīng)用程序網(wǎng)關(guān)。在正常操作期間，它將請求路由到活動區(qū)域中的應(yīng)用網(wǎng)關(guān)。如果該區(qū)域不可用，流量管理器將故障轉(zhuǎn)移到備用區(qū)域中的應(yīng)用網(wǎng)關(guān)。

從互聯(lián)網(wǎng)到Web應(yīng)用程序的所有流量都通過流量管理器路由到應(yīng)用程序網(wǎng)關(guān)的公共IP地址。在這種情況下，應(yīng)用程序服務(wù)(Web應(yīng)用程序)本身并不直接在外部，而是受應(yīng)用程序網(wǎng)關(guān)的保護。

我們建議配置應(yīng)用網(wǎng)關(guān)WAF SKU(預(yù)防模式)，以幫助防止第7層(HTTP/HTTPS/Web套接字)攻擊。此外，Web應(yīng)用程序被配置為只接受來自應(yīng)用程序網(wǎng)關(guān)的IP地址的流量。

有關(guān)該參考架構(gòu)的詳細信息，請參考本文。

針對非Web PaaS服務(wù)的緩解措施

高清Azure洞察

該參考架構(gòu)展示了如何為Azure HDInsight集群配置標準DDoS保護。確保HDInsight集群鏈接到虛擬網(wǎng)絡(luò)，并且在虛擬網(wǎng)絡(luò)上啟用了DDoS保護。

HDInsight和高級設(shè)置面板，其中包含虛擬網(wǎng)絡(luò)設(shè)置。

啟用DDoS保護的選項

在這種架構(gòu)中，從互聯(lián)網(wǎng)到HDInsight集群的流量被路由到與HDInsight網(wǎng)關(guān)負載平衡器相關(guān)聯(lián)的公共IP。然后，網(wǎng)關(guān)負載均衡器直接將流量發(fā)國際快遞頭節(jié)點或工作節(jié)點。由于HDInsight虛擬網(wǎng)絡(luò)上已啟用標準DDoS保護，虛擬網(wǎng)絡(luò)中的所有公共IP將受到第3層和第4層DDoS保護。此參考體系結(jié)構(gòu)可以與N層和多區(qū)域參考體系結(jié)構(gòu)結(jié)合使用。

有關(guān)此參考架構(gòu)的詳細信息，請參考使用Azure虛擬網(wǎng)絡(luò)擴展Azure HDInsight的文檔。

評論

在虛擬網(wǎng)絡(luò)中，無論是使用公共IP的PowerApps，還是由API管理的Azure應(yīng)用服務(wù)環(huán)境，都不是原生支持的。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。