你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

保护 Azure API 管理实例免受 DDoS 攻击

适用于:开发人员 | 高级

本文介绍如何通过启用 Azure DDoS 防护来保护 Azure API 管理实例免受分布式拒绝服务 (DDoS) 攻击。 Azure DDoS 防护提供了增强的 DDoS 缓解功能来抵御容量耗尽和协议 DDoS 攻击。

注意

对于 Web 工作负载,强烈建议使用 Azure DDoS 防护Web 应用程序防护墙来抵御新兴的 DDoS 攻击。 另一种选择是将 Azure Front Door 与 Web 应用程序防火墙一起使用。 Azure Front Door 提供平台级保护来抵御网络级 DDoS 攻击。 有关详细信息,请参阅 Azure 服务的安全基线

支持的配置

只有在外部模式内部模式下在 VNet 中部署(注入)的实例才支持为 API 管理启用 Azure DDoS 防护。

  • 外部模式 - 所有 API 管理终结点都受保护
  • 内部模式 - 仅保护可在端口 3443 上访问的管理终结点

不支持的配置

先决条件

  • API 管理实例
    • 实例必须以外部模式内部模式在 Azure VNet 中部署。
    • 实例必须配置有 Azure 公共 IP 地址资源,该资源仅在 API 管理 stv2 计算平台上受支持。

      注意

      如果实例托管在 stv1 平台上,则必须迁移stv2 平台。

  • Azure DDoS 防护计划
    • 选择的计划可以与虚拟网络和 API 管理实例位于相同或不同的订阅中。 如果订阅不同,必须将它们与同一 Microsoft Entra 租户进行关联。

    • 可以使用通过网络 DDoS 防护 SKU 或 IP DDoS 防护 SKU 创建的计划。 请参阅 Azure DDoS 防护 SKU 比较

      注意

      Azure DDoS 防护计划会产生额外费用。 有关详细信息,请参阅定价

启用 DDoS 保护

在用于 API 管理实例的虚拟网络上或为虚拟网络配置的 IP 地址资源上启用 DDoS 防护,具体取决于所使用的 DDoS 防护计划。

在用于 API 管理实例的虚拟网络上启用 DDoS 防护

  1. Azure 门户中,导航到在其中注入 API 管理的 VNet。

  2. 在左侧菜单中的“设置”下,选择“DDoS 防护”。

  3. 选择“启用”,然后选择你的“DDoS 防护计划”。

  4. 选择“保存”。

    屏幕截图显示如何在 Azure 门户中的 VNet 上启用 DDoS 防护计划。

在 API 管理公共 IP 地址上启用 DDoS 防护

如果计划使用 IP DDoS 防护 SKU,请参阅为公共 IP 地址启用 DDoS IP 防护

后续步骤