Обзор
Azure имеет механизм защиты от DDOS, который ограничивает трафик к определенному публичному IP (например, Cato PoP). Это может повлиять на производительность vSocket или соединения IPSec, установленных в Azure Cloud, а также вызвать значительную потерю пакетов.
Недавно Cato заметил, что несколько клиентов испытали значительную потерю пакетов из-за стандартной защиты DDoS в инфраструктуре Azure. Проблема возникает, когда трафик туннеля DTLS (UDP/443) превышает порог в 200k пакетов в секунду (PPS) на каждый IP-адрес назначения, активируя механизмы защиты DDoS Azure. Это заставляет Azure ограничивать трафик до 1k пакетов в секунду. Это ограничение применяется глобально, что означает, что он агрегирует трафик со всех источников Azure на один IP-адрес назначения.
Часто задаваемые вопросы (FAQs)
Что вызвало проблему потери пакетов?
Потеря пакетов была вызвана механизмами защиты DDoS по умолчанию в Azure, которые сбрасывают пакеты, когда трафик превышает 200 000 PPS на один IP-адрес назначения. Это делается для предотвращения возможных исходящих атак.
Как Клиент может обнаружить, есть ли проблема с Azure?
Для сайтов vSocket Azure, если наблюдается крайне высокая потеря пакетов, это может означать, что Azure активировал свою защиту DDOS. Для просмотра высокой потери пакетов, проверьте Сеть > Мониторинг Сайта > Сетевая аналитика и ищите потерю пакетов, как показано ниже:
Если вы видите увеличенную потерю пакетов на последней миле между сайтом Azure и Cato Cloud, особенно в исходящем направлении, это может означать, что была активирована защита DDoS Azure. Откройте тикет поддержки с Azure для дальнейшего расследования проблемы.
Инцидент с высокой потерей пакетов на последней миле между сайтом Azure и Cato Cloud, особенно в исходящем направлении, следует рассматривать как возможный результат смягчения последствий DDoS в Azure и инициировать открытие тикета поддержки с Azure для дальнейшего расследования.
Какие временные решения были реализованы?
Azure временно увеличила пороговое значение PPS для затронутых IP-адресов до 2 миллионов PPS до апреля 2025 года.
Существует ли постоянное решение этой проблемы?
В настоящее время постоянного решения нет. Однако Cato тесно сотрудничает с Azure для предоставления такого решения. Клиентов призывают отслеживать свой трафик и работать с поддержкой Azure, чтобы найти долгосрочные стратегии для снижения влияния.
Что должны делать клиенты, если они сталкиваются с аналогичными проблемами?
Клиенты должны немедленно сообщить о проблеме в поддержку Azure и предоставить подробную информацию о своих шаблонах трафика, а также поделиться ею с Cato. Кроме того, откройте тикет поддержки с Cato также. Cato будет работать вместе с Azure, чтобы предотвратить будущие инциденты.
Рекомендованные настройки трафика
- Клиенты должны учитывать внедрение стратегий распределения трафика, чтобы избежать превышения порога PPS в Azure.
- Для учетных записей, использующих настройку Cato Smart SLA (Сеть > SLA соединения), это означает, что vSocket подключится к другому IP-адресу через 10 минут проблем с качеством связи.
- Для затронутых площадок vSocket в Azure установите пользовательский SLA с более низкими недопустимыми значениями SLA, чтобы сократить время простоя затронутых IP-адресов. Для получения дополнительной информации смотрите Конфигурирование настроек SLA соединения
0 комментариев
Войдите в службу, чтобы оставить комментарий.