Udostępnij za pośrednictwem


Obrona wystąpienia usługi Azure API Management przed atakami DDoS

DOTYCZY: Developer | Premia

W tym artykule pokazano, jak bronić wystąpienia usługi Azure API Management przed atakami typu "rozproszona odmowa usługi" (DDoS), włączając usługę Azure DDoS Protection. Usługa Azure DDoS Protection udostępnia rozszerzone funkcje ograniczania ryzyka ataków DDoS w celu obrony przed atakami DDoS typu volumetric i protokół.

Uwaga

W przypadku obciążeń internetowych zdecydowanie zalecamy korzystanie z ochrony przed atakami DDoS platformy Azure i zapory aplikacji internetowej w celu ochrony przed pojawiającymi się atakami DDoS. Inną opcją jest zastosowanie usługi Azure Front Door wraz z zaporą aplikacji internetowej. Usługa Azure Front Door oferuje ochronę na poziomie platformy przed atakami DDoS na poziomie sieci. Aby uzyskać więcej informacji, zobacz Punkt odniesienia zabezpieczeń dla usług platformy Azure.

Obsługiwane konfiguracje

Włączenie usługi Azure DDoS Protection dla usługi API Management jest obsługiwane tylko w przypadku wystąpień wdrożonych (wstrzykiwanych) w sieci wirtualnej w trybie zewnętrznym lub w trybie wewnętrznym.

  • Tryb zewnętrzny — wszystkie punkty końcowe usługi API Management są chronione
  • Tryb wewnętrzny — chroniony jest tylko punkt końcowy zarządzania dostępny na porcie 3443

Nieobsługiwane konfiguracje

  • Wystąpienia, które nie są wstrzykiwane przez sieć wirtualną
  • Wystąpienia skonfigurowane przy użyciu prywatnego punktu końcowego

Wymagania wstępne

  • Wystąpienie usługi API Management
  • Plan usługi Azure DDoS Protection
    • Wybrany plan może znajdować się w tej samej lub innej subskrypcji niż sieć wirtualna i wystąpienie usługi API Management. Jeśli subskrypcje różnią się, muszą być skojarzone z tą samą dzierżawą firmy Microsoft Entra.

    • Możesz użyć planu utworzonego przy użyciu jednostki SKU ochrony przed atakami DDoS sieci lub jednostki SKU ochrony przed atakami DDoS IP. Zobacz Porównanie jednostek SKU usługi Azure DDoS Protection.

      Uwaga

      Plany usługi Azure DDoS Protection powodują naliczanie dodatkowych opłat. Aby uzyskać więcej informacji, zobacz Cennik.

Włączanie ochrony przed atakami DDoS

W zależności od używanego planu usługi DDoS Protection włącz ochronę przed atakami DDoS w sieci wirtualnej używanej dla wystąpienia usługi API Management lub zasób adresu IP skonfigurowany dla sieci wirtualnej.

Włączanie ochrony przed atakami DDoS w sieci wirtualnej używanej dla wystąpienia usługi API Management

  1. W witrynie Azure Portal przejdź do sieci wirtualnej, w której jest wstrzykiwana usługa API Management.

  2. W menu po lewej stronie w obszarze Ustawienia wybierz pozycję Ochrona przed atakami DDoS.

  3. Wybierz pozycję Włącz, a następnie wybierz plan ochrony przed atakami DDoS.

  4. Wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający włączanie planu usługi DDoS Protection w sieci wirtualnej w witrynie Azure Portal.

Włączanie ochrony przed atakami DDoS na publicznym adresie IP usługi API Management

Jeśli plan używa jednostki SKU ochrony przed atakami DDoS, zobacz Włączanie ochrony adresów IP przed atakami DDoS dla publicznego adresu IP.

Następne kroki