개요
Azure는 특정 공인 IP(예: Cato PoP)로의 트래픽을 제한하는 DDOS 보호 메커니즘을 가지고 있습니다. 이는 Azure Cloud에 설치된 vSocket 또는 IPSec 연결 성능에 영향을 미치고, 심각한 패킷 손실을 초래할 수 있습니다.
최근, 카토는 소수의 고객이 Azure의 기본 인프라 DDoS 보호로 인해 상당한 패킷 손실을 경험한 것을 확인했습니다. 문제는 DTLS(UDP/443) 터널 트래픽이 대상 IP당 초당 200k 패킷(PPS)의 임계값을 초과할 때 발생하여 Azure의 DDoS 보호 메커니즘을 트리거합니다. 이로 인해 Azure는 트래픽을 초당 1k 패킷으로 제한하도록 합니다. 이 제한은 전역적으로 적용되며, 이는 모든 Azure 소스에서 단일 대상 IP로의 트래픽을 집계한다는 것을 의미합니다.
자주 묻는 질문 (FAQs)
패킷 손실 문제의 원인은 무엇인가요?
패킷 손실은 Azure의 기본 DDoS 보호 메커니즘으로 인해 발생했으며, 이는 단일 대상 IP로의 트래픽이 200,000 PPS를 초과할 때 패킷을 삭제합니다. 이는 잠재적인 아웃바운드 공격을 방지하기 위함입니다.
고객이 Azure에 문제가 있는지 어떻게 감지할 수 있습니까?
Azure vSocket 사이트의 경우, 매우 높은 패킷 손실이 발생할 경우 Azure가 DDOS 보호를 활성화했음을 나타낼 수 있습니다. 높은 패킷 손실률을 보려면 네트워크 > 사이트 모니터링 > 네트워크 분석을 확인하고 아래와 같이 패킷 손실을 찾아보십시오:
Azure 사이트와 카토 클라우드 사이의 마지막 구간에서, 특히 상향 흐름에서 패킷 손실이 증가하면 Azure DDoS 보호가 트리거되었음을 나타낼 수 있습니다. 문제를 더 조사하려면 Azure에 지원 티켓을 여십시오.
Azure 사이트와 카토 클라우드 사이의 마지막 구간에서 높은 패킷 손실 사건이 발생하면, 특히 상향 흐름에서, Azure DDoS 경감의 가능한 결과로 간주하고 추가 조사를 위해 Azure에 지원 티켓을 여십시오.
어떤 임시 솔루션이 구현되었나요?
Azure는 영향을 받는 IP의 PPS 임계값을 2025년 4월까지 2백만 PPS로 임시로 증가시켰습니다.
이 문제에 대한 영구적 해결책이 있습니까?
현재로선 영구적 해결책이 없습니다. 그러나 카토는 Azure와 긴밀히 협력하여 그러한 솔루션을 제공하고 있습니다. 고객은 트래픽을 모니터링하고 Azure 지원과 협력하여 영향을 완화하기 위한 장기 전략을 찾도록 권장됩니다.
고객이 유사한 문제를 경험하면 어떻게 해야 합니까?
고객은 Azure 지원에 즉시 문제를 보고하고 자신의 트래픽 패턴에 대한 상세 정보를 제공하고 카토와 공유해야 합니다. 또한, 카토와 티켓을 여십시오. 카토는 Azure와 협력하여 미래의 사고를 방지할 것입니다.
추천 트래픽 설정
- 고객은 Azure PPS 임계값을 초과하지 않기 위해 트래픽 분산 전략을 구현하는 것을 고려해야 합니다.
- Cato Smart SLA 설정 (네트워크 > 연결 SLA)을 사용하는 계정의 경우, 이는 vSocket이 10분 동안의 링크 품질 문제 후에 다른 IP 주소에 연결함을 의미합니다.
- 영향 받은 Azure vSocket 사이트의 경우, 영향 받은 IP 주소의 다운타임을 줄이기 위해 낮은 허용되지 않는 SLA 값을 갖는 사용자 정의 SLA를 설정하십시오. 더 많은 정보는 연결 SLA 설정 구성하기를 참조하십시오
댓글 0개
댓글을 남기려면 로그인하세요.