Obrona wystąpienia usługi Azure API Management przed atakami DDoS

DOTYCZY: Developer | Premia

W tym artykule pokazano, jak bronić wystąpienia usługi Azure API Management przed atakami typu "rozproszona odmowa usługi" (DDoS), włączając usługę Azure DDoS Protection. Usługa Azure DDoS Protection udostępnia rozszerzone funkcje ograniczania ryzyka ataków DDoS w celu obrony przed atakami DDoS typu volumetric i protokół.

Uwaga

W przypadku obciążeń internetowych zdecydowanie zalecamy korzystanie z ochrony przed atakami DDoS platformy Azure i zapory aplikacji internetowej w celu ochrony przed pojawiającymi się atakami DDoS. Inną opcją jest zastosowanie usługi Azure Front Door wraz z zaporą aplikacji internetowej. Usługa Azure Front Door oferuje ochronę na poziomie platformy przed atakami DDoS na poziomie sieci. Aby uzyskać więcej informacji, zobacz Punkt odniesienia zabezpieczeń dla usług platformy Azure.

Obsługiwane konfiguracje

Włączenie usługi Azure DDoS Protection dla usługi API Management jest obsługiwane tylko w przypadku wystąpień wdrożonych (wstrzykiwanych) w sieci wirtualnej w trybie zewnętrznym lub w trybie wewnętrznym.

• Tryb zewnętrzny — wszystkie punkty końcowe usługi API Management są chronione
• Tryb wewnętrzny — chroniony jest tylko punkt końcowy zarządzania dostępny na porcie 3443

Nieobsługiwane konfiguracje

• Wystąpienia, które nie są wstrzykiwane przez sieć wirtualną
• Wystąpienia skonfigurowane przy użyciu prywatnego punktu końcowego

Wymagania wstępne

• Wystąpienie usługi API Management
  • Wystąpienie musi zostać wdrożone w sieci wirtualnej platformy Azure w trybie zewnętrznym lub w trybie wewnętrznym.
  • Wystąpienie musi być skonfigurowane przy użyciu zasobu publicznego adresu IP platformy Azure, który jest obsługiwany tylko na platformie obliczeniowej usługi API Management.stv2

    Uwaga

    Jeśli wystąpienie jest hostowane na stv1 platformie, musisz przeprowadzić migrację na platformę stv2 .

• Plan usługi Azure DDoS Protection

  • Wybrany plan może znajdować się w tej samej lub innej subskrypcji niż sieć wirtualna i wystąpienie usługi API Management. Jeśli subskrypcje różnią się, muszą być skojarzone z tą samą dzierżawą firmy Microsoft Entra.

  • Możesz użyć planu utworzonego przy użyciu jednostki SKU ochrony przed atakami DDoS sieci lub jednostki SKU ochrony przed atakami DDoS IP. Zobacz Porównanie jednostek SKU usługi Azure DDoS Protection.

    Uwaga

    Plany usługi Azure DDoS Protection powodują naliczanie dodatkowych opłat. Aby uzyskać więcej informacji, zobacz Cennik.

Włączanie ochrony przed atakami DDoS

W zależności od używanego planu usługi DDoS Protection włącz ochronę przed atakami DDoS w sieci wirtualnej używanej dla wystąpienia usługi API Management lub zasób adresu IP skonfigurowany dla sieci wirtualnej.

Włączanie ochrony przed atakami DDoS w sieci wirtualnej używanej dla wystąpienia usługi API Management

1. W witrynie Azure Portal przejdź do sieci wirtualnej, w której jest wstrzykiwana usługa API Management.

2. W menu po lewej stronie w obszarze Ustawienia wybierz pozycję Ochrona przed atakami DDoS.

3. Wybierz pozycję Włącz, a następnie wybierz plan ochrony przed atakami DDoS.

4. Wybierz pozycję Zapisz.

   

Włączanie ochrony przed atakami DDoS na publicznym adresie IP usługi API Management

Jeśli plan używa jednostki SKU ochrony przed atakami DDoS, zobacz Włączanie ochrony adresów IP przed atakami DDoS dla publicznego adresu IP.

Następne kroki

• Dowiedz się, jak zweryfikować ochronę przed atakami DDoS wystąpienia usługi API Management, testując je za pomocą partnerów symulacji
• Dowiedz się, jak wyświetlać i konfigurować dane telemetryczne usługi Azure DDoS Protection