概述
Azure具有一种DDoS保护机制,限制到特定公共IP(例如,卡托PoP)的流量。 这可能会影响Azure Cloud中安装的vSocket或IPSec连接的性能,并导致严重的数据包丢失。
最近,Cato注意到少数客户由于Azure默认基础架构DDoS保护而遭遇了显著的数据包丢失。 当DTLS(UDP/443)隧道流量超过每目标IP每秒200k个数据包(PPS)的阈值时,会触发Azure的DDoS保护机制,从而出现问题。 这会导致Azure将流量限制到每秒1k个数据包的限制。 这个限制是全球适用的,这意味着它将来自所有Azure来源的流量汇总到一个目标IP。
常见问题解答 (FAQs)
什么导致了数据包丢失问题?
数据包丢失是由Azure的默认DDoS保护机制引起的,当流量超过到单个目标IP的200,000 PPS时会丢弃数据包。 这是为了防止潜在的出站攻击。
客户如何检测Azure是否存在问题?
对于Azure vSocket站点,如果有极高的数据包丢失,可能表明Azure已激活其DDOS保护。 要查看高丢包率,请检查网络 > 站点监控 > 网络分析,并查找如下所示的数据包丢失:
如果您在Azure站点和Cato Cloud之间的最后一英里上看到数据包丢失增加,特别是在上行方向,这可能表明触发了Azure DDoS保护。 请与Azure一起打开支持工单以进一步调查问题。
如果在Azure站点和Cato Cloud之间的最后一英里出现高数据包丢失事件,特别是在上行方向,应考虑为Azure DDoS缓解的可能结果,并触发与Azure一起打开支持工单以进行进一步调查。
已经实施了哪些临时解决方案?
Azure已暂时将受影响的IP的PPS阈值提高到200万PPS,直至2025年4月。
这个问题有永久解决方案吗?
目前,还没有永久解决方案。 然而,Cato正与Azure密切合作,以提供这样的解决方案。 鼓励客户监控他们的流量,并与Azure支持一起努力,找到长期策略以减少影响。
如果客户遇到类似问题,该怎么做?
客户应立即向Azure支持报告该问题,并提供其流量模式的详细信息,并与Cato共享。 此外,请同时打开Cato的支持工单。 Cato将与Azure合作以防止未来的事故。
推荐的流量设置
- 客户应考虑实施流量分配策略,以避免超过Azure PPS阈值。
- 对于使用Cato Smart SLA设置(网络 > 连接 SLA)的账户,这意味着在10分钟的链路质量问题后,vSocket将连接到不同的IP地址。
- 对于受影响的Azure vSocket站点,请设置具有较低不可接受SLA值的自定义SLA,以减少受影响IP地址的停机时间。 如需更多信息,请参阅配置连接 SLA 设置
0 条评论
请登录写评论。