Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure защита от атак DDoS — это базовая Azure сетевая возможность, которая помогает защитить приложения от распределенных атак типа "отказ в обслуживании" (DDoS). Атаки DDoS пытаются перегружать приложения с трафиком, чтобы запретить службу законным пользователям. Azure защита от атак DDoS помогает защитить приложения, отслеживая шаблоны сетевого трафика и автоматически уменьшая ненормальный трафик, который может повлиять на доступность.
При использовании Azure надежность является общей ответственностью. Майкрософт предоставляет ряд возможностей для поддержки устойчивости и восстановления. Вы несете ответственность за понимание того, как работают эти возможности во всех используемых вами службах, а также за выбор возможностей, необходимых для достижения бизнес-целей и целей бесперебойной работы.
В этой статье описывается, как Защита от DDoS-атак Azure устойчива к различным потенциальным отказам и проблемам, включая временные отказы, сбои зон доступности и сбои регионов. Здесь также выделены некоторые ключевые сведения о соглашении об уровне обслуживания защиты от атак DDoS Azure (SLA).
Замечание
В этом документе описывается, как сама служба защиты от атак DDoS Azure устойчива к различным проблемам. В нем не объясняется, как использовать Azure защиту от атак DDoS для защиты виртуальных машин или других ресурсов. Дополнительные сведения о том, как использовать защиту от DDoS-атак Azure для защиты ваших нагрузок, см. в статье Azure DDoS Protection fundamental best practices.
Обзор архитектуры надежности
Вы развертываете Azure DDoS Protection с помощью одного из следующих уровней:
- DDoS Network Protection: Разверните план защиты DDoS, который определяет набор виртуальных сетей с активированной защитой DDoS, даже если они находятся в разных подписках и регионах Azure. Каждый общедоступный IP-адрес, связанный с ресурсами в этих виртуальных сетях, защищен планом.
- Защита IP-адресов DDoS: Разверните общедоступный IP-адрес, который затем может включить защиту IP-адресов DDoS только на этом IP-адресе.
Дополнительные сведения о разнице между защитой сети DDoS и защитой IP-адресов DDoS см. в разделе About Azure Сравнение уровней защиты от атак DDoS.
Устойчивость к временным сбоям
Временные ошибки являются короткими, периодическими сбоями в компонентах. Они часто происходят в распределенной среде, такой как облачная платформа, и являются обычной частью операций. Временные ошибки исправляют себя через короткий период времени. Важно, чтобы приложения могли обрабатывать временные ошибки, обычно повторяя затронутые запросы.
Все облачные приложения должны следовать Azure рекомендации по обработке временных ошибок при обмене данными с любыми размещенными в облаке API, базами данных и другими компонентами. Дополнительные сведения см. в Рекомендациях по обработке временных сбоев.
Включение защиты от атак DDoS не изменяет способ обработки временных сбоев приложений.
Устойчивость к сбоям зоны доступности
Зоны Availability физически разделяют группы центров обработки данных в Azure регионе. При сбое одной зоны службы могут переключиться на одну из оставшихся зон.
Защита от атак DDoS в Azure по умолчанию обеспечивает избыточность по зонам в регионах, поддерживающих зоны доступности. Служба охватывает все зоны доступности автоматически и не требует настройки клиента для обеспечения избыточности зоны. Майкрософт управляет распределением инфраструктуры защиты от атак DDoS между зонами.
Azure защита от атак DDoS предназначена для защиты общедоступных IP-адресов от атак DDoS. Чтобы обеспечить полную отказоустойчивость к сбоям зоны доступности, необходимо также убедиться, что общедоступные IP-адреса обладают зональной избыточностью. Кроме того, следует проверить устойчивость зоны всей рабочей нагрузки, включая другие службы Azure, которые вы используете.
На следующей схеме показан план защиты сети DDoS с избыточностью по зонам, а также несколько защищенных общедоступных IP-адресов с избыточностью по зонам:
Требования
Region support: Защита Azure от атак DDoS является избыточной по зонам в любом регионе, который поддерживает зоны доступности.
Cost
Дополнительные затраты на обеспечение избыточности зоны для защиты от атак DDoS Azure не требуется. Дополнительные сведения о ценах см. в разделе Azure цены на защиту от атак DDoS.
Настройка поддержки зоны доступности
Защита от DDoS в Azure автоматически реализует избыточность на уровне зон в поддерживаемых регионах. Для обеспечения избыточности зоны не требуется конфигурация, и ее невозможно отключить.
Поведение, когда все зоны работоспособны
В этом разделе описывается, что ожидать при развертывании плана по защите от DDoS-атак в регионе с зонами доступности, общедоступный IP-адрес резервирован по зонам, а все зоны доступности работают.
операции Cross-zone: инспекция трафика может осуществляться во всех зонах, а трафик направляется между зонами прозрачно, как часть сетевых операций Azure.
репликация данных в кросс-зональной операции : Защита Azure от атак DDoS не реплицирует данные клиентов между зонами, так как служба является безоблачной и не хранит данные клиентов.
Поведение во время сбоя зоны
В этом разделе описывается, чего ожидать при развертывании плана защиты от атак DDoS в регионе с зонами доступности, когда общедоступный IP-адрес имеет резервирование между зонами, и в одной из зон доступности происходит сбой.
- Обнаружение и ответ: Майкрософт обнаруживает сбои зоны доступности и управляет всеми действиями реагирования. Вам не нужно предпринимать никаких действий для запуска переключения зоны при отказе.
- Уведомление: Майкрософт не уведомляет вас автоматически, когда зона отключена. Однако вы можете использовать Работоспособность служб Azure для понимания общего состояния службы, включая любые сбои зоны, и настроить оповещения Service Health для уведомления о проблемах.
Активные запросы: Активный трафик продолжает обрабатываться автоматически без каких-либо действий клиента.
Ожидаемая потеря данных: Потеря данных не ожидается, так как служба не сохраняет данные клиентов и является без состояния.
Ожидаемое время простоя: Во время сбоя зоны доступность пути к данным не влияет. Путь данных представляет собой траекторию трафика от периферии Azure через платформу Azure к вашему приложению. Ваше приложение остается защищенным планом защиты от атак DDoS во время сбоя зоны.
Однако при выполнении операций управления планом защиты от DDoS-атак во время сбоя зоны эти операции могут быть отложены до тех пор, пока платформа внутренне не выполнит переключение на резерв.
Redistribution: Майкрософт автоматически перенаправляет защиту трафика через здоровые зоны.
Восстановление зоны
Когда зона доступности, потерпевшая сбой, восстанавливается, защита Azure от DDoS-атак автоматически восстанавливает нормальные операции без вмешательства клиента.
Тестирование на сбои в зоне
Azure защита от атак DDoS — это полностью управляемая Майкрософт зонально-резервируемая служба. Поскольку Майкрософт управляет избыточностью зоны доступности, вам не нужно тестировать сценарии отказа зоны.
Устойчивость к сбоям на уровне региона
Поведение Azure защиты от атак DDoS во время сбоев на уровне региона отличается в зависимости от типа используемой защиты от атак DDoS:
планы защиты сети DDoS развертываются в выбранном регионе Azure. Однако план также защищает общедоступные IP-адреса в других регионах.
Если регион, на котором размещен план защиты сети DDoS, становится недоступным, защищенные общедоступные IP-адреса в других регионах продолжают защищаться. Однако операции управления для плана могут быть недоступны до тех пор, пока регион не восстановится.
Защита IP-адресов DDoS настраивается на одном общедоступном IP-адресе.
Для региональных общедоступных IP-адресов, если в регионе произошел сбой, IP-адрес и его серверы, скорее всего, будут недоступны.
Для глобальных общедоступных IP-адресов защита DDoS сохраняется даже в случае сбоя в регионе.
Соглашение об уровне обслуживания
Соглашение об уровне обслуживания (SLA) для служб Azure описывает ожидаемую доступность каждой службы и условия, которые должно соответствовать вашему решению для достижения этого ожидания доступности. Дополнительные сведения см. в разделе SLA для онлайн-услуг.
Azure защита от атак DDoS предоставляет соглашение об уровне обслуживания, которое охватывает доступность службы защиты от атак DDoS.