Azure DDoS 防护参考体系结构,azure ad介绍-ESG跨境

Azure DDoS 防护参考体系结构,azure ad介绍

Azure保护参考架构

标准DDoS保护适用于部署在虚拟网络中的服务。对于其他服务，将应用默认的基本DDoS保护服务。以下参考体系结构是按场景组织的，并且体系结构模式已经分组在一起。

虚拟机(Windows/Linux)工作负载

在负载平衡的虚拟机上运行的应用程序

此参考体系结构展示了一组行之有效的实践，说明如何通过在负载平衡器后的集中规模中运行多个Windows虚拟机来提高可用性和可扩展性。这种架构可以用于任何无状态的工作负载，比如Web服务器。

在负载平衡虚拟机上运行的应用的参考架构图

在这种架构中，工作负载分布在多个虚拟机实例中。只有一个公共IP地址，互联网流量通过负载平衡器分配给这些虚拟机。已在与公共IP关联的Azure(Internet)负载平衡器的虚拟网络上启用标准DDoS保护。

负载平衡器将传入的互联网请求分发到虚拟机实例。虚拟机规模集允许根据预定义的规则手动或自动扩展或减少虚拟机的数量。如果资源受到DDoS攻击，这个功能非常重要。有关该参考架构的详细信息，请参考本文。

在Windows N层上运行的应用程序

有许多方法可以实现N层架构。下图显示了一个典型的三层Web应用程序。这个架构基于文章运行负载平衡的VM来实现可伸缩性和可用性。Web层和业务层都使用负载平衡的虚拟机。

在n层Windows上运行的应用的参考体系结构示意图

在此架构中，虚拟网络上启用了标准DDoS保护。虚拟网络中的所有公共IP将受到第3层和第4层DDoS的保护。对于第7层保护，在WAF SKU部署应用网关。有关该参考架构的详细信息，请参考本文。

评论

不支持在公共IP后运行单个虚拟机。

PaaS Web应用程序

该参考架构展示了在单个区域中运行的Azure应用程序服务应用程序。这个架构展示了一组使用Azure应用服务和Azure SQL数据库的Web应用程序的成熟实践。已经为故障转移场景设置了备用区域。

PaaS Web应用参考架构示意图

Azure traffic manager将传入的请求路由到区域中的应用程序网关。在正常操作期间，它将请求路由到活动区域中的应用网关。如果该区域不可用，流量管理器将故障转移到备用区域中的应用网关。

从互联网到Web应用程序的所有流量都通过流量管理器路由到应用程序网关的公共IP地址。在这种情况下，应用程序服务(Web应用程序)本身并不直接在外部，而是受应用程序网关的保护。

我们建议配置应用网关WAF SKU(预防模式)，以帮助防止第7层(HTTP/HTTPS/Web套接字)攻击。此外，Web应用程序被配置为只接受来自应用程序网关的IP地址的流量。

有关该参考架构的详细信息，请参考本文。

针对非Web PaaS服务的缓解措施

高清Azure洞察

该参考架构展示了如何为Azure HDInsight集群配置标准DDoS保护。确保HDInsight集群链接到虚拟网络，并且在虚拟网络上启用了DDoS保护。

HDInsight和高级设置面板，其中包含虚拟网络设置。

启用DDoS保护的选项

在这种架构中，从互联网到HDInsight集群的流量被路由到与HDInsight网关负载平衡器相关联的公共IP。然后，网关负载均衡器直接将流量发国际快递头节点或工作节点。由于HDInsight虚拟网络上已启用标准DDoS保护，虚拟网络中的所有公共IP将受到第3层和第4层DDoS保护。此参考体系结构可以与N层和多区域参考体系结构结合使用。

有关此参考架构的详细信息，请参考使用Azure虚拟网络扩展Azure HDInsight的文档。

评论

在虚拟网络中，无论是使用公共IP的PowerApps，还是由API管理的Azure应用服务环境，都不是原生支持的。

特别声明：以上文章内容仅代表作者本人观点，不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。