防禦您的 Azure API 管理執行個體免於遭受 DDoS 攻擊

適用於：開發人員 |進階版

此文章說明如何透過啟用 Azure DDoS 保護，保護您的 Azure API 管理執行個體免於分散式阻斷服務 (DDoS) 攻擊。 Azure DDoS 保護提供增強的 DDoS 風險降低功能，以防範體積型和通訊協定 DDoS 攻擊。

注意

針對 Web 工作負載，強烈建議使用 Azure DDoS 保護和 Web 應用程式防火牆來防範新興的 DDoS 攻擊。 另一個選項是運用 Azure Front Door 以及 Web 應用程式防火牆。 Azure Front Door 提供平台層級保護來防範網路層級 DDoS 攻擊。 如需詳細資訊，請參閱 Azure 服務的安全性基準。

支援的設定

只有在外部模式或內部模式的 VNet 中部署 (插入) 的執行個體支援針對 APIM 啟用 Azure DDoS 保護。

• 外部模式 - 所有 APIM 端點都受到保護
• 內部模式 - 只有可在連接埠 3443 上存取的管理端點受到保護

不支援的設定

• 未插入 VNet 的執行個體
• 搭配私人端點設定的執行個體

必要條件

• API 管理執行個體
  • 執行個體必須部署於外部模式或內部模式的 Azure VNet 中。
  • 執行個體必須使用 Azure 公用 IP 位址資源來設定，其僅在 APIM stv2計算平台上受到支援。

    注意

    如果執行個體裝載於 stv1 平台上，您必須移轉至 stv2 平台。

• Azure DDoS 保護計劃

  • 您選取之計劃的訂用帳戶可以與虛擬網路和 API 管理執行個體相同或不同。 如果訂用帳戶不同，則這兩者都必須與相同的 Microsoft Entra 租用戶建立關聯。

  • 您可以使用利用網路 DDoS 保護 SKU 或 IP DDoS 保護 SKU 所建立的方案。 請參閱 Azure DDoS 保護 SKU 比較。

    注意

    Azure DDoS 保護計劃會產生額外費用。 如需詳細資訊，請參閱定價。

啟用 DDoS Protection

根據您使用的 DDoS 保護計劃，請在用於您 API 管理執行個體的虛擬網路，或是針對您虛擬網路設定的 IP 位址資源啟用 DDoS 保護。

在用於 API 管理執行個體的虛擬網路上啟用 DDoS 保護

1. 在 Azure 入口網站中，瀏覽至插入 API 管理的 VNet。

2. 在左側功能表的 [設定] 下方，選取 [DDoS 保護]。

3. 選取 [啟用]，然後選取您的 DDoS 保護計劃。

4. 選取 [儲存]。

   

在 API 管理公用 IP 位址上啟用 DDoS 保護

如果您的方案使用 IP DDoS 保護 SKU，請參閱針對公用 IP 位址啟用 DDoS IP 保護。

下一步

• 了解如何與模擬合作夥伴進行測試，以驗證 API 管理執行個體的 DDoS 保護
• 了解如何檢視和設定 Azure DDoS 保護遙測