Zuverlässigkeit im Azure DDoS-Schutz

Azure DDoS Protection ist eine grundlegende Azure Netzwerkfunktion, mit der Anwendungen vor verteilten DDoS-Angriffen (Denial-of-Service) geschützt werden. DDoS-Angriffe versuchen, Anwendungen mit Datenverkehr zu überwältigen, um den Dienst an legitime Benutzer zu verweigern. DDoS Protection hilft dabei, Anwendungen zu schützen, indem Netzwerkverkehrsmuster überwacht und anomaler Netzwerkverkehr, der die Verfügbarkeit beeinträchtigen könnte, automatisch abgeschwächt wird.

Wenn Sie Azure verwenden, ist zustellbarkeit eine gemeinsame Verantwortung. Microsoft bietet eine Reihe von Funktionen zur Unterstützung von Resilienz und Wiederherstellung. Sie sind dafür verantwortlich, zu verstehen, wie diese Funktionen in allen von Ihnen verwendeten Diensten funktionieren, und die Funktionen auswählen, die Sie benötigen, um Ihre Geschäftsziele und Uptime-Ziele zu erfüllen.

In diesem Artikel wird beschrieben, wie der DDoS-Schutz für verschiedene potenzielle Ausfälle und Probleme widerstandsfähig ist, einschließlich vorübergehender Fehler, Ausfall der Verfügbarkeitszone und Regionsausfälle. Außerdem werden einige wichtige Informationen über den Servicelevelvertrag für DDoS Protection (SLA) hervorgehoben.

Hinweis

In diesem Artikel wird beschrieben, wie der DDoS-Schutzdienst selbst für verschiedene Probleme widerstandsfähig ist. Es wird nicht erläutert, wie Sie DDoS-Schutz verwenden, um Ihre virtuellen Computer (VMs) oder andere Ressourcen zu schützen. Informationen zur Verwendung von DDoS Protection zum Schutz Ihrer Workloads finden Sie unter "Bewährte Methoden für DDoS Protection".

Übersicht über die Zuverlässigkeitsarchitektur

Sie stellen den DDoS-Schutz in einer der folgenden Ebenen bereit:

• DDoS Network Protection: Stellen Sie einen DDoS-Schutzplan bereit, der eine Gruppe virtueller Netzwerke definiert, die DDoS-Netzwerkschutz aktiviert haben, auch wenn sie sich in verschiedenen Azure Abonnements und Regionen befinden. Jede öffentliche IP-Adresse, die Ressourcen in diesen virtuellen Netzwerken zugeordnet ist, wird durch den Plan geschützt.

• DDoS IP-Schutz: Stellen Sie eine öffentliche IP-Adresse bereit. DDoS-IP-Schutz ist nur für diese IP-Adresse aktiviert.

Weitere Informationen zum Unterschied zwischen DDoS Network Protection und DDoS IP Protection finden Sie im Vergleich zur DDoS-Schutzebene.

Resilienz für vorübergehende Fehler

Vorübergehende Fehler sind kurze, zeitweilige Fehler in Komponenten. Sie treten häufig in einer verteilten Umgebung wie der Cloud auf und sind ein normaler Bestandteil von Vorgängen. Vorübergehende Fehler korrigieren sich nach kurzer Zeit. Es ist wichtig, dass Ihre Anwendungen vorübergehende Fehler behandeln können, in der Regel durch Wiederholen betroffener Anforderungen.

Alle in der Cloud gehosteten Anwendungen sollten den Azure richtlinien für die vorübergehende Fehlerbehandlung befolgen, wenn sie mit allen in der Cloud gehosteten APIs, Datenbanken und anderen Komponenten kommunizieren. Weitere Informationen finden Sie unter Empfehlungen zur Behandlung vorübergehender Fehler.

Das Aktivieren des DDoS-Schutzes ändert nicht die Art und Weise, wie Ihre Anwendungen vorübergehende Fehler behandeln.

Ausfallsicherheit bei Ausfällen von Verfügbarkeitszonen

Verfügbarkeitszonen sind physisch getrennte Gruppen von Rechenzentren innerhalb einer Azure Region. Wenn eine Zone ausfällt, erfolgt ein Failover der Dienste zu einer der verbleibenden Zonen.

DDoS Protection ist standardmäßig zonenredundant in Regionen, die Verfügbarkeitszonen unterstützen. Der Dienst umfasst automatisch alle Verfügbarkeitszonen und erfordert keine Kundenkonfiguration, um Zonenredundanz zu ermöglichen. Microsoft verwaltet die Verteilung der DDoS Protection-Infrastruktur über Zonen hinweg.

DDoS Protection wurde entwickelt, um öffentliche IP-Adressen vor DDoS-Angriffen zu schützen. Um vollständige Resilienz für Verfügbarkeitszonenfehler zu erreichen, müssen Sie auch sicherstellen, dass Ihre öffentlichen IP-Adressen zonenredundant sind. Sie sollten auch die Zonenresilienz Ihrer gesamten Workload überprüfen, einschließlich anderer Azure Dienste, die Sie verwenden.

Das folgende Diagramm zeigt einen zonenredundanten DDoS-Netzwerkschutzplan und mehrere geschützte zonenredundante öffentliche IP-Adressen:

Das Diagramm zeigt drei vertikale Spalten, die drei Verfügbarkeitszonen darstellen. Zwei horizontale Komponenten erstrecken sich über alle drei Spalten, überschreiten dabei Zonengrenzen und veranschaulichen so die Zonenredundanz. Die erste Komponente ist als "DDoS-Netzwerkschutzplan" bezeichnet, der angibt, dass der Schutzplan über alle drei Verfügbarkeitszonen verteilt wird. Eine zweite Komponente ist mit der Bezeichnung "Öffentliche IP-Adresse (zonenredundant)" gekennzeichnet, die angibt, dass die öffentliche IP-Adresse auch für alle drei Verfügbarkeitszonen konfiguriert ist.

Anforderungen

Regionsunterstützung: DDoS Protection ist zonenredundant in jeder Region, die Verfügbarkeitszonen unterstützt.

Cost

Es gibt keine zusätzlichen Kosten, um Zonenredundanz für DDoS Protection zu aktivieren. Weitere Informationen finden Sie unter Azure DDoS Protection-Preise.

Konfigurieren der Unterstützung von Verfügbarkeitszonen

DDoS Protection ist automatisch zonenredundant in unterstützten Regionen. Es ist keine Konfiguration erforderlich, um Zonenredundanz zu aktivieren, und Sie können sie nicht deaktivieren.

Verhalten, wenn alle Zonen fehlerfrei sind

In diesem Abschnitt wird beschrieben, was Sie erwarten sollten, wenn Sie einen DDoS-Schutzplan in einer Region mit Verfügbarkeitszonen bereitstellen, die öffentliche IP-Adresse zonenredundant ist und alle Verfügbarkeitszonen betriebsbereit sind.

• Cross-zone operation: Verkehrsüberprüfung kann in allen Zonen erfolgen, und der Verkehr wird im Rahmen Azure Netzwerkvorgänge transparent zwischen Zonen geleitet.

• Zonenübergreifende Replikation von Betriebsdaten: DDoS Protection repliziert keine Kundendaten zwischen Zonen, da der Dienst zustandslos ist und keine Kundendaten speichert.

Verhalten bei einem Zoneausfall

In diesem Abschnitt wird beschrieben, was Sie erwarten sollten, wenn Sie einen DDoS-Schutzplan in einer Region mit Verfügbarkeitszonen bereitstellen, die öffentliche IP-Adresse zonenredundant ist und in einer der Verfügbarkeitszonen einen Ausfall gibt.

• Erkennung und Reaktion: Microsoft erkennt Verfügbarkeitszonenfehler und verwaltet alle Reaktionsmaßnahmen. Sie müssen keine Maßnahmen ergreifen, um ein Zonenfailover zu initiieren.

• Notification: Microsoft benachrichtigt Sie nicht automatisch, wenn eine Zone abfällt. Sie können jedoch Azure Service Health verwenden, um den Gesamtstatus des Diensts zu verstehen, einschließlich aller Zonenfehler, und Sie können Service Health Alerts einrichten, um Sie über Probleme zu informieren.

• Aktive Anforderungen: Aktiver Datenverkehr wird weiterhin automatisch verarbeitet. Sie müssen keine Maßnahmen ergreifen.

• Erwarteter Datenverlust: Es wird kein Datenverlust erwartet, da der Dienst zustandslos ist und keine Kundendaten speichert.

• Erwartete Ausfallzeiten: Während eines Zonenfehlers ist die Verfügbarkeit Ihres Datenpfads nicht betroffen. Der Datenpfad stellt den Datenverkehrspfad vom Azure Edge über die Azure Plattform zu Ihrer Anwendung dar. Ihre Anwendung bleibt durch Ihren DDoS-Schutzplan während eines Zonenausfalls geschützt.

  Wenn Sie jedoch Verwaltungsvorgänge für Ihren DDoS-Schutzplan während eines Zonenfehlers ausführen, werden diese Vorgänge möglicherweise verzögert, bis die Plattform intern ein Failover ausführt.

• Redistribution: Microsoft leitet den Verkehrsschutz automatisch durch die gesunden Zonen um.

Zonenwiederherstellung

Wenn eine fehlerhafte Verfügbarkeitszone wiederhergestellt wird, stellt DDoS Protection automatisch normale Vorgänge ohne Ihre Intervention wieder her.

Test auf Zonenfehler

DDoS Protection ist ein vollständig Microsoft verwalteter, zonenredundanter Dienst. Da Microsoft Zonenredundanz verwaltet, müssen Sie keine Failoverszenarien für Verfügbarkeitszonen testen.

Widerstandsfähigkeit bei regionalen Ausfällen

Das Verhalten des DDoS-Schutzes bei regionsweiten Fehlern unterscheidet sich je nach Typ des verwendeten DDoS-Schutzes:

• DDoS Network Protection-Pläne werden in einer von Ihnen ausgewählten Azure-Region implementiert. Der Plan schützt jedoch auch öffentliche IP-Adressen in anderen Regionen.

  Wenn die Region, in der ein DDoS-Netzwerkschutzplan gehostet wird, nicht verfügbar ist, werden geschützte öffentliche IP-Adressen in anderen Regionen weiterhin geschützt. Verwaltungsvorgänge für den Plan sind jedoch möglicherweise nicht verfügbar, bis die Region wiederhergestellt wird.

• Der DDoS-IP-Schutz ist für eine einzelne öffentliche IP-Adresse konfiguriert.

  Bei regionalen öffentlichen IP-Adressen, wenn ein regionsweiter Fehler auftritt, sind die IP-Adresse und die zugehörigen Server wahrscheinlich nicht verfügbar.

  Bei globalen öffentlichen IP-Adressen bleibt die IP-Adresse auch dann durch DDoS IP Protection geschützt, wenn eine Region fehlschlägt.

Service-Level-Vereinbarung

Der ServiceLevel-Vertrag (SLA) für Azure-Dienste beschreibt die erwartete Verfügbarkeit der einzelnen Dienste und die Bedingungen, die Ihre Lösung erfüllen muss, um diese Verfügbarkeitserwartungen zu erreichen. Weitere Informationen finden Sie unter SLAs für Onlinedienste.

DDoS Protection bietet eine SLA, die die Verfügbarkeit des DDoS-Gegenmaßnahmendiensts zum Schutz vor einem Angriff abdeckt.

Verwandte Inhalte

• Übersicht über Azure DDoS Protection
• Zuverlässigkeit in Azure