Vue d'ensemble
Azure dispose d'un mécanisme de protection contre les DDOS qui limite le trafic vers une IP publique spécifique (par exemple, un PoP de Cato). Cela pourrait affecter la performance d'un vSocket ou d'une Connexion IPSec installée dans le cloud Azure, et également causer une perte de paquets importante.
Récemment, Cato a remarqué que quelques clients ont expérimenté une perte de paquets significative en raison de la protection DDoS par défaut de l'infrastructure Azure. Le problème survient lorsque le trafic du tunnel DTLS (UDP/443) dépasse le seuil de 200k paquets par seconde (PPS) par IP de destination, déclenchant les mécanismes de protection DDoS d'Azure. Cela déclenche Azure à limiter le trafic à un maximum de 1k paquets par seconde. Cette limite s'applique globalement, ce qui signifie qu'elle agrège le trafic de toutes les sources Azure vers une seule IP de destination.
Questions fréquemment posées (FAQ)
Qu'est-ce qui a causé le problème de perte de paquets ?
La perte de paquets a été causée par les mécanismes de protection DDoS par défaut d'Azure, qui abandonnent les paquets lorsque le trafic dépasse 200,000 PPS vers une seule IP de destination. C'est pour prévenir d'éventuelles attaques sortantes.
Comment un client pourrait-il détecter s'il y a un problème avec Azure ?
Pour les sites vSocket Azure, s'il y a une perte de paquets extrêmement élevée, cela pourrait indiquer qu'Azure a activé sa protection DDOS. Pour voir la forte perte de paquets, veuillez vérifiez Réseau > Supervision du site > Analytique réseau, et recherchez la perte de paquets comme présenté ci-dessous :
Si vous constatez une augmentation de la perte de paquets sur le dernier kilomètre entre le site Azure et le Cato Cloud, en particulier en amont, cela pourrait indiquer que la protection DDoS d'Azure a été déclenchée. Ouvrez un ticket de support avec Azure pour enquêter plus avant sur le problème.
Un incident de haute perte de paquets sur le dernier kilomètre entre le site Azure et le Cato Cloud, notamment dans le sens inverse, doit être considéré comme un possible résultat de la mitigation DDoS d'Azure et déclencher l'ouverture d'un ticket de support avec Azure pour une enquête plus poussée.
Quelles solutions temporaires ont été mises en œuvre ?
Azure a temporairement augmenté le seuil de PPS pour les IPs affectées à 2 millions de PPS jusqu'en avril 2025.
Existe-t-il une solution permanente à ce problème ?
Actuellement, il n'existe pas de solution permanente. Cependant, Cato travaille en étroite collaboration avec Azure pour fournir une telle solution. Les clients sont encouragés à surveiller leur trafic et à travailler avec le support Azure pour trouver des stratégies à long terme afin de réduire l'impact.
Que doivent faire les clients s'ils rencontrent des problèmes similaires ?
Les clients doivent signaler immédiatement le problème au support Azure et fournir des informations détaillées sur leurs modèles de trafic et également les partager avec Cato. De plus, veuillez ouvrir également un ticket de support avec Cato. Cato travaillera avec Azure pour prévenir les incidents futurs.
Paramètres de Trafic Recommandés
- Les clients devraient envisager de mettre en œuvre des stratégies de répartition du trafic pour éviter de dépasser le seuil PPS Azure.
- Pour les comptes qui utilisent le paramètre SLA Cato Smart (Réseau > SLA de Connexion), cela signifie que le vSocket se connectera à une autre adresse IP après 10 minutes de problèmes de qualité de lien.
- Pour les sites vSocket Azure affectés, définissez un SLA personnalisé avec des valeurs SLA inacceptables plus basses pour réduire le temps d'arrêt des adresses IP affectées. Pour plus d'informations, voir Configurer les Paramètres du SLA de Connexion
0 commentaire
Vous devez vous connecter pour laisser un commentaire.