Стоит ли использовать план DDos с App Gateway с WAF2?
Наша среда Azure (не гибридная) содержит набор веб-серверов (IIS) и баз данных SQL Azure в эластичном пуле. Все веб-серверы являются частными (без публичного IP-адреса). Веб-серверы настраиваются в одном регионе для обеспечения высокой доступности, но в другом регионе нет резервных или резервных серверов. Разработчик использует P2S VPN для развертывания или публикации приложений на веб-серверах. У нас есть шлюз приложений с WAF 2 перед веб-серверами (бэкэнд-пул). План защиты от DDos не включен ни в сети, ни в IP-адресе. Доступ к сайтам осуществляется по всему миру. Поэтому мы планируем использовать Azure CDN (для использования входного AFD). Причина использования AG вместо AFD заключается в том, что мы размещаем корневые домены (некоторые провайдеры DNS не предлагают CNAME для доменов корневого уровня, а только запись A, поэтому мы не уверены, что будем использовать AFD premium, хотя, насколько я понимаю, AFD предлагает стандартную защиту от DDOS, поскольку использует пограничные серверы PoP.
Вопрос 1) полезно ли или стоит ли включать план DDos для защиты только IP-адреса AG/WAF?
Включение защиты сети защитит ресурсы виртуальной сети от DDos; однако это непомерно дорого, и, учитывая наш сценарий, мы думаем, что оно того не стоит. Мы хотели бы услышать ваши мысли.
У нас были проблемы с интеграцией AG/WAF2 с KeyVault с использованием управляемых удостоверений; AG не позволяла нам заменять или добавлять новые сертификаты, и в результате нам пришлось создавать новую группу доступности более одного раза! Возможно АГ было создано пару лет назад! Мне было интересно, сталкивался ли кто-нибудь с такими проблемами. (Поддержка MS не смогла помочь найти RCA.)