概要
Azure には、特定の公開 IP(例:CATO ポップ)へのトラフィックを制限する DDoS 保護メカニズムがあります。 これは、Azure Cloudにインストール済みのvSocketまたはIPSec接続のパフォーマンスに影響を与え、重大なパケットロスを引き起こす可能性があります。
最近、カトは、一部のお客様が Azure のデフォルトインフラストラクチャの DDoS 保護のために重大なパケットロスを経験したことを認識しました。 問題は、DTLS (UDP/443) トンネル トラフィックが宛先 IP ごとに 200k パケット/秒 (PPS) のしきい値を超えると、Azure の DDoS 保護メカニズムがトリガーされることで発生します。 これは、Azure がトラフィックを 1k パケット/秒の制限まで制限することをトリガーします。 この制限はグローバルに適用されるため、すべての Azure 発信元からのトラフィックが単一の宛先 IP に集約されます。
よくある質問 (FAQs)
パケットロスの問題の原因は何ですか?
パケットロスは、単一の宛先 IP へのトラフィックが 200,000 PPS を超えるとパケットをドロップする Azure のデフォルトの DDoS 保護メカニズムによって引き起こされました。 これは、潜在的なアウトバウンド攻撃を防ぐためです。
顧客が Azure に問題があるかどうかを検出するにはどうすればよいですか?
Azure vSocket サイトの場合、非常に高いパケットロスがある場合、Azure が DDoS 保護を有効にしたことを示している可能性があります。 高いパケットロスを確認するには、ネットワーク > サイト監視 > ネットワークアナリティクスを確認し、以下のようにパケットロスを探します:
Azure サイトと Cato Cloud のラスト マイル間、特に上り方向にパケットロスが増加している場合、Azure の DDoS 保護がトリガーされたことを示している可能性があります。 問題をさらに調査するには、Azure にサポート チケットを開いてください。
Azure サイトと Cato Cloud 間のラスト マイルでの高いパケット ロスのインシデント、特に上り方向は、Azure の DDoS 緩和の結果として考慮され、さらなる調査のために Azure でサポート チケットを開くきっかけとなるべきです。
どのような一時的なソリューションが実装されていますか?
Azureは、影響を受けたIPのPPSのしきい値を2025年4月まで一時的に200万PPSに引き上げています。
この問題に対する永続的なソリューションはありますか?
現在のところ、永続的なソリューションはありません。 ただし、カトはそのようなソリューションを提供するために Azure と緊密に連携しています。 顧客はトラフィックを監視し、影響を軽減するための長期的な戦略を見つけるために Azure サポートと協力することをお勧めします。
同様の問題が発生した場合、顧客は何をすべきですか?
顧客はすぐに Azure サポート に問題を報告し、トラフィック パターンに関する詳細情報を提供し、それをカトと共有する必要があります。 さらに、サポートチケットをCatoと一緒に開いてください。 Catoは将来のインシデントを防ぐためAzureと協力します。
推奨トラフィック設定
- 顧客は、AzureのPPSしきい値を超えないようにするため、トラフィック分散戦略の実施を検討する必要があります。
- Cato Smart SLA設定(ネットワーク>コネクションSLA)を使用しているアカウントの場合、これは、リンク品質の問題が10分間続いた後、vSocketが異なるIPアドレスに接続することを意味します。
- 影響を受けたAzure vSocketサイトの場合、影響を受けたIPアドレスのダウンタイムを短縮するために、許容できないSLA値を低く設定したカスタムSLAを設定します。 詳細情報はコネクションSLA設定の設定を参照してください
0件のコメント
サインインしてコメントを残してください。