Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure DDoS Protection es una funcionalidad fundamental de red Azure que ayuda a proteger las aplicaciones frente a ataques distribuidos por denegación de servicio (DDoS). Los ataques DDoS intentan sobrecargar las aplicaciones con el tráfico para denegar el servicio a los usuarios legítimos. DDoS Protection ayuda a proteger las aplicaciones mediante la supervisión de patrones de tráfico de red y la mitigación automática del tráfico anómalo que podría afectar a la disponibilidad.
Al usar Azure, relibilidad es una responsabilidad compartida. Microsoft proporciona una variedad de capacidades para admitir resiliencia y recuperación. Es responsable de comprender cómo funcionan esas funcionalidades dentro de todos los servicios que usa y de seleccionar las funcionalidades que necesita para cumplir los objetivos empresariales y los objetivos de tiempo de actividad.
En este artículo se describe cómo DDoS Protection es resistente a varias posibles interrupciones y problemas, incluidos errores transitorios, interrupciones de zona de disponibilidad y interrupciones de regiones. También resalta cierta información clave sobre el acuerdo de nivel de servicio (SLA) de DDoS Protection.
Nota:
En este artículo se describe cómo el propio servicio DDoS Protection es resistente a varios problemas. No explica cómo usar DDoS Protection para proteger las máquinas virtuales (VM) u otros recursos. Para obtener información sobre cómo usar DDoS Protection para proteger las cargas de trabajo, consulte Procedimientos recomendados fundamentales de DDoS Protection.
Introducción a la arquitectura de confiabilidad
Puede implementar DDoS Protection en uno de estos niveles:
DDoS Network Protection: Implementar un plan de protección DDoS, que define un conjunto de redes virtuales que tienen habilitada la protección contra redes DDoS, incluso si están en distintas suscripciones y regiones de Azure. Cada dirección IP pública asociada a los recursos de esas redes virtuales está protegida por el plan.
DDoS IP Protection: Implemente una dirección IP pública. DDoS IP Protection solo está habilitado en esa dirección IP.
Para obtener más información sobre la diferencia entre DDoS Network Protection y DDoS IP Protection, consulte Acerca de la comparación de niveles de DDoS Protection.
Resistencia a errores transitorios
Los errores transitorios son errores breves e intermitentes en los componentes. Se producen con frecuencia en un entorno distribuido como la nube y son una parte normal de las operaciones. Los errores transitorios se corrigen después de un breve período de tiempo. Es importante que las aplicaciones puedan controlar errores transitorios, normalmente mediante el reintento de solicitudes afectadas.
Todas las aplicaciones hospedadas en la nube deben seguir las instrucciones de control de errores transitorios Azure cuando se comunican con cualquier API, bases de datos y otros componentes hospedados en la nube. Para obtener más información, consulte Recomendaciones para controlar errores transitorios.
La habilitación de la protección contra DDoS no cambia la forma en que las aplicaciones controlan los errores transitorios.
Resistencia a errores de zona de disponibilidad
Availability zones son grupos de centros de datos físicamente independientes dentro de una región de Azure. Cuando una zona falla, los servicios pueden transferirse a una de las zonas restantes.
DDoS Protection tiene redundancia de zona de forma predeterminada en las regiones que admiten zonas de disponibilidad. El servicio abarca todas las zonas de disponibilidad automáticamente y no requiere ninguna configuración del cliente para habilitar la redundancia de zona. Microsoft administra la distribución de la infraestructura de DDoS Protection entre zonas.
DDoS Protection está diseñado para proteger las direcciones IP públicas frente a ataques DDoS. Para lograr una resistencia completa a los errores de zona de disponibilidad, también debe asegurarse de que las direcciones IP públicas tienen redundancia de zona. También debe revisar la resistencia de zona de toda la carga de trabajo, incluidos otros servicios de Azure que use.
En el diagrama siguiente se muestra un plan de protección de red DDoS con redundancia de zona y varias direcciones IP públicas con redundancia de zona protegidas:
Requisitos
Compatibilidad regional: DDoS Protection tiene redundancia de zona en cualquier región que admita zonas de disponibilidad.
Costo
No hay ningún costo adicional para habilitar la redundancia de zona para DDoS Protection. Para más información, consulte Precios de Azure DDoS Protection.
Configurar soporte de zonas de disponibilidad
DDoS Protection tiene automáticamente redundancia de zona en las regiones admitidas. No se requiere ninguna configuración para habilitar la redundancia de zona y no se puede deshabilitar.
Comportamiento cuando todas las zonas están en buen estado
En esta sección se describe qué esperar al implementar un plan de DDoS Protection en una región con zonas de disponibilidad, la dirección IP pública es con redundancia de zona y todas las zonas de disponibilidad están operativas.
Operación entre zonas: La inspección del tráfico puede tener lugar en todas las zonas y el tráfico se enruta entre zonas de forma transparente como parte de las operaciones de red de Azure.
Replicación de datos de operación entre zonas: DDoS Protection no replica los datos del cliente entre zonas porque el servicio no tiene estado y no mantiene los datos del cliente.
Comportamiento durante un fallo de zona
En esta sección se describe qué esperar al implementar un plan de DDoS Protection en una región con zonas de disponibilidad, la dirección IP pública es con redundancia de zona y hay una interrupción en una de las zonas de disponibilidad.
- Detección y respuesta: Microsoft detecta errores de zona de disponibilidad y administra todas las acciones de respuesta. No es necesario realizar ninguna acción para iniciar una conmutación por error de zona.
- Notification: Microsoft no le notifica automáticamente cuando una zona está inactiva. Sin embargo, puede usar Azure Service Health para comprender el estado general del servicio, incluidos los errores de zona, y puede configurar alertas de Service Health para notificarle problemas.
Solicitudes activas: El tráfico activo se sigue procesando automáticamente. No es necesario realizar ninguna acción.
Pérdida de datos esperada: No se espera ninguna pérdida de datos porque el servicio no tiene estado y no almacena los datos del cliente.
Tiempo de inactividad esperado: Durante un error de zona, la disponibilidad de la ruta de acceso de datos no se ve afectada. La ruta de acceso de datos representa el camino del tráfico desde el borde de Azure, a través de la plataforma Azure, hasta tu aplicación. La aplicación permanece protegida por el plan de protección contra DDoS durante una interrupción de zona.
Sin embargo, si realiza operaciones de administración en el plan de protección contra DDoS durante un fallo de zona, es posible que estas operaciones se retrasen hasta que la plataforma realice internamente una conmutación por error.
Redistribution: Microsoft vuelve a enrutar automáticamente la protección del tráfico a través de las zonas saludables.
Recuperación de zona
Cuando se recupera una zona de disponibilidad con errores, DDoS Protection restaura automáticamente las operaciones normales sin su intervención.
Prueba de fallos de zona
DDoS Protection es un servicio con redundancia de zona totalmente administrado por Microsoft. Dado que Microsoft gestiona la redundancia de las zonas de disponibilidad, no es necesario probar escenarios de conmutación por error de zonas.
Resistencia a errores en toda la región
El comportamiento de DDoS Protection durante los errores de toda la región difiere en función del tipo de protección contra DDoS que use:
DDoS Network Protection plans se implementan en una región de Azure que seleccione. Sin embargo, el plan también protege las direcciones IP públicas en otras regiones.
Si la región que hospeda un plan DDoS Network Protection deja de estar disponible, las direcciones IP públicas protegidas de otras regiones siguen estando protegidas. Sin embargo, es posible que las operaciones de administración del plan no estén disponibles hasta que se recupere la región.
DDoS IP Protection está configurado en una sola dirección IP pública.
En el caso de las direcciones IP públicas regionales, si se produce un error en toda la región, es probable que la dirección IP y sus servidores no estén disponibles.
En el caso de las direcciones IP públicas globales, la dirección IP permanece protegida por DDoS IP Protection incluso cuando se produce un error en una región.
Acuerdo de nivel de servicio
El acuerdo de nivel de servicio (SLA) para Azure servicios describe la disponibilidad esperada de cada servicio y las condiciones que la solución debe cumplir para lograr esa expectativa de disponibilidad. Para obtener más información, vea SLAs for servicios en línea.
DDoS Protection proporciona un Acuerdo de Nivel de Servicio que cubre la disponibilidad del servicio de mitigación de DDoS para protegerse contra un ataque.
Contenido relacionado
- Información general de Azure DDoS Protection
- Fiabilidad en Azure