共用方式為


防禦您的 Azure API 管理執行個體免於遭受 DDoS 攻擊

適用於:開發人員 | 進階

此文章說明如何透過啟用 Azure DDoS 保護,保護您的 Azure API 管理執行個體免於分散式阻斷服務 (DDoS) 攻擊。 Azure DDoS 保護提供增強的 DDoS 風險降低功能,以防範體積型和通訊協定 DDoS 攻擊。

注意

針對 Web 工作負載,強烈建議使用 Azure DDoS 保護Web 應用程式防火牆來防範新興的 DDoS 攻擊。 另一個選項是運用 Azure Front Door 和 Web 應用程式防火牆。 Azure Front Door 提供平台層級保護來防範網路層級 DDoS 攻擊。 如需詳細資訊,請參閱 Azure 服務的安全性基準

支援的設定

只有在外部模式內部模式VNet 中部署 (插入) 的執行個體支援針對 APIM 啟用 Azure DDoS 保護。

  • 外部模式 - 所有 APIM 端點都受到保護
  • 內部模式 - 只有可在連接埠 3443 上存取的管理端點受到保護

不支援的設定

  • 未插入 VNet 的執行個體
  • 搭配私人端點設定的執行個體

必要條件

  • API 管理執行個體
    • 執行個體必須部署於外部模式內部模式的 Azure VNet 中。
    • 實例必須設定為 Azure 公用 IP 位址資源,而此資源僅支援 API 管理 stv2 計算平臺

      注意

      如果執行個體裝載於 stv1 平台上,您必須移轉stv2 平台。

  • Azure DDoS 保護計劃
    • 您選取之計劃的訂用帳戶可以與虛擬網路和 API 管理執行個體相同或不同。 如果訂用帳戶不同,則這兩者都必須與相同的 Microsoft Entra 租用戶建立關聯。

    • 您可以使用利用網路 DDoS 保護 SKU 或 IP DDoS 保護 SKU 所建立的方案。 請參閱 Azure DDoS 保護 SKU 比較

      注意

      Azure DDoS 保護計劃會產生額外費用。 如需詳細資訊,請參閱定價

啟用 DDoS Protection

根據您使用的 DDoS 保護計劃,請在用於您 API 管理執行個體的虛擬網路,或是針對您虛擬網路設定的 IP 位址資源啟用 DDoS 保護。

在用於 API 管理執行個體的虛擬網路上啟用 DDoS 保護

  1. Azure 入口網站中,瀏覽至插入 API 管理的 VNet。

  2. 在左側功能表的 [設定] 下方,選取 [DDoS 保護]

  3. 選取 [啟用],然後選取您的 DDoS 保護計劃

  4. 選取儲存

    在 Azure 入口網站的 VNet 上啟用 DDoS 保護方案的螢幕快照。

在 API 管理公用 IP 位址上啟用 DDoS 保護

如果您的方案使用 IP DDoS 保護 SKU,請參閱針對公用 IP 位址啟用 DDoS IP 保護

下一步