Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure защита от атак DDoS — это базовая Azure сетевая возможность, которая помогает защитить приложения от распределенных атак типа "отказ в обслуживании" (DDoS). Атаки DDoS пытаются перегружать приложения с трафиком, чтобы запретить службу законным пользователям. Защита от атак DDoS помогает защитить приложения, отслеживая шаблоны сетевого трафика и автоматически уменьшая ненормальный трафик, который может повлиять на доступность.
При использовании Azure надежность является общей ответственностью. Microsoft предоставляет ряд возможностей для поддержки устойчивости и восстановления. Вы несете ответственность за понимание того, как работают эти возможности во всех используемых вами службах, а также за выбор возможностей, необходимых для достижения бизнес-целей и целей бесперебойной работы.
В этой статье описывается, как защита от атак DDoS устойчива к различным потенциальным сбоям и проблемам, в том числе временным сбоям, сбоям зоны доступности и сбоям регионов. Он также выделяет некоторые ключевые сведения о соглашении об уровне обслуживания защиты от атак DDoS (SLA).
Замечание
В этой статье описывается, как сама служба защиты от атак DDoS устойчива к различным проблемам. В нем не объясняется, как использовать защиту от атак DDoS для защиты виртуальных машин или других ресурсов. Сведения об использовании защиты от атак DDoS для защиты рабочих нагрузок см. в основных рекомендациях по защите от атак DDoS.
Обзор архитектуры надежности
Вы развертываете защиту от атак DDoS на одном из следующих уровней:
DDoS Network Protection: Разверните план защиты DDoS, который определяет набор виртуальных сетей с активированной защитой DDoS, даже если они находятся в разных подписках и регионах Azure. Каждый общедоступный IP-адрес, связанный с ресурсами в этих виртуальных сетях, защищен планом.
Защита IP-адресов DDoS: Разверните общедоступный IP-адрес. Защита IP-адресов DDoS включена только в этом IP-адресе.
Дополнительные сведения о разнице между защитой сети DDoS и защитой IP-адресов DDoS см. в разделе "Сведения о сравнении уровней защиты от атак DDoS".
Устойчивость к временным сбоям
Временные ошибки являются короткими, периодическими сбоями в компонентах. Они часто происходят в распределенной среде, такой как облачная платформа, и являются обычной частью операций. Временные ошибки исправляют себя через короткий период времени. Важно, чтобы приложения могли обрабатывать временные ошибки, обычно повторяя затронутые запросы.
Все облачные приложения должны следовать Azure рекомендации по обработке временных ошибок при обмене данными с любыми размещенными в облаке API, базами данных и другими компонентами. Дополнительные сведения см. в Рекомендациях по обработке временных сбоев.
Включение защиты от атак DDoS не изменяет способ обработки временных сбоев приложений.
Устойчивость к сбоям зоны доступности
Зоны Availability физически разделяют группы центров обработки данных в Azure регионе. При сбое одной зоны службы могут переключиться на одну из оставшихся зон.
Защита от атак DDoS по умолчанию использует резервирование между зонами доступности в регионах, где поддерживаются зоны доступности. Служба охватывает все зоны доступности автоматически и не требует настройки клиента для обеспечения избыточности зоны. Microsoft управляет распределением инфраструктуры защиты от атак DDoS между зонами.
Защита от атак DDoS предназначена для защиты общедоступных IP-адресов от атак DDoS. Чтобы обеспечить полную отказоустойчивость к сбоям зоны доступности, необходимо также убедиться, что общедоступные IP-адреса обладают зональной избыточностью. Кроме того, следует проверить устойчивость зоны всей рабочей нагрузки, включая другие службы Azure, которые вы используете.
На следующей схеме показан план защиты сети DDoS с избыточностью по зонам, а также несколько защищенных общедоступных IP-адресов с избыточностью по зонам:
Требования
Поддержка региона: Защита от атак DDoS является избыточной по зонам в любом регионе, поддерживающем зоны доступности.
Cost
За включение зональной избыточности для DDoS Protection дополнительная плата не взимается. Дополнительные сведения см. в разделе о ценах на защиту от атак DDoS Azure.
Настройка поддержки зоны доступности
Защита от DDoS автоматически обеспечивает избыточность между зонами в поддерживаемых регионах. Для обеспечения избыточности зоны не требуется конфигурация, и ее невозможно отключить.
Поведение, когда все зоны работоспособны
В этом разделе описывается, что ожидать при развертывании плана по защите от DDoS-атак в регионе с зонами доступности, общедоступный IP-адрес резервирован по зонам, а все зоны доступности работают.
операции Cross-zone: инспекция трафика может осуществляться во всех зонах, а трафик направляется между зонами прозрачно, как часть сетевых операций Azure.
Репликация данных при работе между зонами: Защита от DDoS-атак не реплицирует данные клиентов между зонами, поскольку сервис не хранит состояние и данные клиентов.
Поведение во время сбоя зоны
В этом разделе описывается, чего ожидать при развертывании плана защиты от атак DDoS в регионе с зонами доступности, когда общедоступный IP-адрес имеет резервирование между зонами, и в одной из зон доступности происходит сбой.
- Обнаружение и ответ: Microsoft обнаруживает сбои зоны доступности и управляет всеми действиями реагирования. Вам не нужно предпринимать никаких действий для запуска переключения зоны при отказе.
- Уведомление: Microsoft не уведомляет вас автоматически, когда зона отключена. Однако вы можете использовать Работоспособность служб Azure для понимания общего состояния службы, включая любые сбои зоны, и настроить оповещения Service Health для уведомления о проблемах.
Активные запросы: Активный трафик продолжает обрабатываться автоматически. Вам не нужно предпринимать никаких действий.
Ожидаемая потеря данных: Потеря данных не ожидается, так как служба не сохраняет данные клиентов и является без состояния.
Ожидаемое время простоя: Во время сбоя зоны доступность пути к данным не влияет. Путь данных представляет собой траекторию трафика от периферии Azure через платформу Azure к вашему приложению. Ваше приложение остается защищенным планом защиты от атак DDoS во время сбоя зоны.
Однако при выполнении операций управления планом защиты от DDoS-атак во время сбоя зоны эти операции могут быть отложены до тех пор, пока платформа внутренне не выполнит переключение на резерв.
Redistribution: Microsoft автоматически перенаправляет защиту трафика через здоровые зоны.
Восстановление зоны
Когда зона доступности восстанавливается после сбоя, DDoS Protection автоматически восстанавливает штатную работу без вашего вмешательства.
Тестирование на сбои в зоне
Защита от атак DDoS — это служба с избыточностью между зонами, полностью управляемая корпорацией Microsoft. Поскольку Microsoft управляет избыточностью зоны доступности, вам не нужно тестировать сценарии отказа зоны.
Устойчивость к сбоям на уровне региона
Поведение защиты от атак DDoS во время сбоев на уровне региона отличается в зависимости от типа используемой защиты от атак DDoS:
планы защиты сети DDoS развертываются в выбранном регионе Azure. Однако план также защищает общедоступные IP-адреса в других регионах.
Если регион, на котором размещен план защиты сети DDoS, становится недоступным, защищенные общедоступные IP-адреса в других регионах продолжают защищаться. Однако операции управления для плана могут быть недоступны до тех пор, пока регион не восстановится.
Защита IP-адресов DDoS настраивается на одном общедоступном IP-адресе.
Для региональных общедоступных IP-адресов, если происходит сбой на уровне региона, IP-адрес и его серверы, скорее всего, будут недоступны.
Для глобальных общедоступных IP-адресов защита DDoS сохраняется даже в случае сбоя в регионе.
Соглашение об уровне обслуживания
Соглашение об уровне обслуживания (SLA) для служб Azure описывает ожидаемую доступность каждой службы и условия, которые должно соответствовать вашему решению для достижения этого ожидания доступности. Дополнительные сведения см. в разделе SLA для онлайн-услуг.
Защита от атак DDoS предоставляет соглашение об уровне обслуживания, которое охватывает доступность службы защиты от атак DDoS.