Sdílet prostřednictvím

Kurz: Ochrana aplikační brány pomocí služby Azure DDoS Network Protection

  • Článek

Tento článek vám pomůže vytvořit bránu Aplikace Azure lication s virtuální sítí chráněnou před útoky DDoS. Azure DDoS Network Protection umožňuje rozšířené možnosti omezení rizik útoků DDoS, jako je adaptivní ladění, oznámení o upozorněních na útoky a monitorování, které chrání vaše aplikační brány před rozsáhlými útoky DDoS.

Diagram ochrany před útoky DDoS, který se připojuje ke službě Application Gateway

Důležité

Azure DDoS Protection se při použití skladové položky Network Protection účtují náklady. Poplatky za nadlimitní využití platí jenom v případě, že je v tenantovi chráněno více než 100 veřejných IP adres. Pokud prostředky v budoucnu nepoužíváte, ujistěte se, že prostředky v tomto kurzu neodstraníte. Informace o cenách najdete v tématu Ceny služby Azure DDoS Protection. Další informace o službě Azure DDoS Protection najdete v tématu Co je Azure DDoS Protection.

V tomto kurzu se naučíte:

  • Vytvoření plánu ochrany před útoky DDoS
  • Vytvoření brány Application Gateway
  • Přidružení plánu DDoS Protection k virtuální síti
  • Přidání virtuálních počítačů do back-endu služby Application Gateway
  • Otestování aplikační brány

Požadavky

Vyžaduje se účet Azure s aktivním předplatným. Pokud ještě účet nemáte, můžete si ho zdarma vytvořit.

Vytvoření plánu ochrany před útoky DDoS

  1. Přihlaste se k portálu Azure.

  2. Do vyhledávacího pole v horní části portálu zadejte ochranu před útoky DDoS. Ve výsledcích hledání vyberte plány ochrany před útoky DDoS a pak vyberte + Vytvořit.

  3. Na kartě Základy na stránce Vytvořit plán ochrany před útoky DDoS zadejte nebo vyberte následující informace:

    Snímek obrazovky s kartou Základy pro vytvoření plánu ochrany před útoky DDoS

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné Azure.
    Skupina zdrojů Vyberte, že chcete vytvořit novou IP adresu.
    Zadejte myResourceGroupAG.
    Vyberte OK.
    Podrobnosti o instanci
    Název Zadejte myDDoSProtectionPlan.
    Oblast Vyberte USA – střed.

  4. Vyberte Zkontrolovat a vytvořit a pak vyberte Vytvořit a nasaďte plán ochrany před útoky DDoS.

Vytvoření brány Application Gateway

Aplikační bránu vytvoříte pomocí karet na stránce Vytvořit aplikační bránu.

  1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.
  2. V části Kategorie vyberte Sítě a pak v seznamu oblíbených služeb Azure vyberte Application Gateway.

Karta Základní informace

  1. Na kartě Základy zadejte tyto hodnoty pro následující nastavení služby Application Gateway:

    • Skupina prostředků: Vyberte myResourceGroupAG pro skupinu prostředků. Pokud neexistuje, vyberte Vytvořit nový a vytvořte ho.

    • Název aplikační brány: Jako název aplikační brány zadejte myAppGateway .

      Vytvoření nové aplikační brány: Základy

  2. Aby Služba Azure komunikuje mezi prostředky, které vytvoříte, je potřeba virtuální síť. Můžete buď vytvořit novou virtuální síť, nebo použít existující. V tomto příkladu vytvoříte novou virtuální síť současně, ve které vytvoříte aplikační bránu. Instance služby Application Gateway se vytvářejí v samostatných podsítích. V tomto příkladu vytvoříte dvě podsítě: jednu pro aplikační bránu a druhou pro back-endové servery.

    Poznámka:

    Zásady koncového bodu služby virtuální sítě se v současné době nepodporují v podsíti služby Application Gateway.

    V části Konfigurovat virtuální síť vytvořte novou virtuální síť výběrem možnosti Vytvořit novou. V okně Vytvořit virtuální síť , které se otevře, zadejte následující hodnoty a vytvořte virtuální síť a dvě podsítě:

    • Název: Jako název virtuální sítě zadejte myVNet .

    • Název podsítě (podsíť služby Application Gateway): Mřížka podsítí zobrazí výchozí podsíť. Změňte název této podsítě na myAGSubnet.
      Podsíť aplikační brány může obsahovat pouze aplikační brány. Nejsou povoleny žádné další prostředky.

    • Název podsítě (podsíť back-endového serveru): V druhém řádku mřížky Podsítě zadejte do sloupce Název podsítě myBackendSubnet.

    • Rozsah adres (podsíť back-endového serveru): V druhém řádku mřížky podsítí zadejte rozsah adres, který se nepřekrývá s rozsahem adres myAGSubnet. Pokud je například rozsah adres myAGSubnet 10.0.0.0/24, zadejte 10.0.1.0/24 pro rozsah adres myBackendSubnet.

    Výběrem možnosti OK zavřete okno Vytvořit virtuální síť a uložte nastavení virtuální sítě.

    Vytvoření nové aplikační brány: virtuální síť

  3. Na kartě Základy přijměte výchozí hodnoty pro ostatní nastavení a pak vyberte Další: Front-endy.

Karta Front-endy

  1. Na kartě Front-endy ověřte, že je typ IP adresy front-endu nastavený na Veřejný.
    Front-endovou IP adresu můžete nakonfigurovat tak, aby byla veřejná nebo soukromá podle vašeho případu použití. V tomto příkladu zvolíte veřejnou IP adresu front-endu.

    Poznámka:

    Pro skladovou položku Application Gateway v2 musí existovat konfigurace veřejné front-endové IP adresy. Stále můžete mít veřejnou i privátní konfiguraci IP adresy front-endu, ale pro skladovou položku v2 není aktuálně povolená konfigurace privátní pouze front-endové IP adresy (pouze režim interního nástroje pro vyrovnávání zatížení).

  2. Vyberte Přidat novou pro veřejnou IP adresu a jako název veřejné IP adresy zadejte myAGPublicIPAddress a pak vyberte OK.

    Vytvoření nové aplikační brány: front-endy

  3. Vyberte Další: Back-endy.

Karta Back-endy

Back-endový fond se používá ke směrování požadavků na back-endové servery, které požadavek obsluhují. Back-endové fondy se dají skládat z síťových karet, škálovacích sad virtuálních počítačů, veřejných IP adres, interních IP adres, plně kvalifikovaných názvů domén (FQDN) a back-endů s více tenanty, jako je Aplikace Azure Service. V tomto příkladu vytvoříte prázdný back-endový fond se službou Application Gateway a pak do back-endového fondu přidáte cíle back-endu.

  1. Na kartě Back-endy vyberte Přidat back-endový fond.

  2. V okně Přidat back-endový fond , které se otevře, zadejte následující hodnoty a vytvořte prázdný back-endový fond:

    • Název: Jako název back-endového fondu zadejte myBackendPool .
    • Přidání back-endového fondu bez cílů: Výběrem možnosti Ano vytvořte back-endový fond bez cílů. Po vytvoření aplikační brány přidáte cíle back-endu.

  3. V okně Přidat back-endový fond vyberte Přidat , abyste uložili konfiguraci back-endového fondu a vrátili se na kartu Back-endy .

    Vytvoření nové aplikační brány: back-endy

  4. Na kartě Back-endy vyberte Další: Konfigurace.

Karta konfigurace

Na kartě Konfigurace připojíte front-endový a back-endový fond, který jste vytvořili pomocí pravidla směrování.

  1. Ve sloupci Pravidla směrování vyberte Přidat pravidlo směrování.

  2. V okně Přidat pravidlo směrování, které se otevře, zadejte následující hodnoty pro název pravidla a prioritu:

    • Název pravidla: Jako název pravidla zadejte myRoutingRule .
    • Priorita: Hodnota priority by měla být mezi 1 a 20000 (kde 1 představuje nejvyšší prioritu a 20000 představuje nejnižší) – pro účely tohoto rychlého startu zadejte 100 pro prioritu.

  3. Pravidlo směrování vyžaduje naslouchací proces. Na kartě Naslouchací proces v okně Přidat pravidlo směrování zadejte následující hodnoty pro naslouchací proces:

    • Název naslouchacího procesu: Zadejte myListener pro název naslouchacího procesu.

    • Front-endová IP adresa: Vyberte veřejnou IP adresu, kterou jste vytvořili pro front-end.

      Přijměte výchozí hodnoty pro ostatní nastavení na kartě Naslouchací proces a pak vyberte kartu Cíle back-endu a nakonfigurujte zbytek pravidla směrování.

    Vytvoření nové aplikační brány: naslouchací proces

  4. Na kartě Cíle back-endu vyberte myBackendPool pro cíl back-endu.

  5. U nastavení back-endu vyberte Přidat nové a přidejte nové nastavení back-endu. Nastavení back-endu určí chování pravidla směrování. V okně nastavení Přidat back-end, které se otevře, zadejte myBackendSetting pro název nastavení back-endu a 80 pro back-endový port. V okně Přidat nastavení back-endu přijměte výchozí hodnoty pro ostatní nastavení a pak vyberte Přidat a vraťte se do okna Přidat pravidlo směrování.

    Vytvoření nové aplikační brány: Nastavení HTTP

  6. V okně Přidat pravidlo směrování vyberte Přidat , chcete-li pravidlo směrování uložit, a vraťte se na kartu Konfigurace .

    Vytvoření nové aplikační brány: pravidlo směrování

  7. Vyberte Další: Značky a pak Další: Zkontrolovat a vytvořit.

Karta Zkontrolovat a vytvořit

Zkontrolujte nastavení na kartě Zkontrolovat a vytvořit a pak vyberte Vytvořit a vytvořte virtuální síť, veřejnou IP adresu a aplikační bránu. Vytvoření aplikační brány v Azure může trvat několik minut. Než přejdete k další části, počkejte, až se nasazení úspěšně dokončí.

Povolení ochrany před útoky DDoS

Služba Azure DDoS Network Protection je povolená ve virtuální síti, ve které se nachází prostředek, který chcete chránit.

  1. Do vyhledávacího pole v horní části portálu zadejte virtuální síť. Ve výsledcích hledání vyberte virtuální sítě .

  2. Vyberte myVNet.

  3. V Nastavení vyberte ochranu před útoky DDoS.

  4. Vyberte Povolit.

  5. V rozevíracím seznamu v plánu ochrany před útoky DDoS vyberte myDDoSProtectionPlan.

    Snímek obrazovky ochrany sítě D D o S

  6. Zvolte Uložit.

Přidání back-endových cílů

V tomto příkladu použijete virtuální počítače jako cílový back-end. Můžete použít existující virtuální počítače nebo vytvořit nové. Pro aplikační bránu vytvoříte dva virtuální počítače jako back-endové servery.

Uděláte to takto:

  1. Vytvořte dva nové virtuální počítače, myVM a myVM2, které se použijí jako back-endové servery.
  2. Nainstalujte na virtuální počítače službu IIS, abyste ověřili, že se aplikační brána úspěšně vytvořila.
  3. Přidejte back-endové servery do back-endového fondu.

Vytvoření virtuálního počítače

  1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek. Zobrazí se okno Nový .

  2. V seznamu Oblíbené vyberte Windows Server 2016 Datacenter. Zobrazí se stránka Vytvořit virtuální počítač .
    Application Gateway může směrovat provoz na libovolný typ virtuálního počítače používaného v back-endovém fondu. V tomto příkladu použijete virtuální počítač s Windows Serverem 2016 Datacenter.

  3. Na kartě Základy zadejte tyto hodnoty pro následující nastavení virtuálního počítače:

    • Skupina prostředků: Jako název skupiny prostředků vyberte myResourceGroupAG .
    • Název virtuálního počítače: Jako název virtuálního počítače zadejte myVM .
    • Oblast: Vyberte stejnou oblast, ve které jste vytvořili aplikační bránu.
    • Uživatelské jméno: Zadejte jméno pro uživatelské jméno správce.
    • Heslo: Zadejte heslo.
    • Veřejné příchozí porty: Žádné.

  4. Přijměte ostatní výchozí hodnoty a pak vyberte Další: Disky.

  5. Přijměte výchozí hodnoty na kartě Disky a pak vyberte Další: Sítě.

  6. Na kartě Sítě ověřte, že je pro virtuální síť vybraná síť myVNet a podsíť je nastavená na myBackendSubnet. Přijměte ostatní výchozí hodnoty a pak vyberte Další: Správa.
    Application Gateway může komunikovat s instancemi mimo virtuální síť, ve které je, ale potřebujete zajistit připojení IP adres.

  7. Na kartě Správa nastavte diagnostiku spouštění na Zakázat. Přijměte ostatní výchozí hodnoty a pak vyberte Zkontrolovat a vytvořit.

  8. Na kartě Zkontrolovat a vytvořit zkontrolujte nastavení, opravte případné chyby ověření a pak vyberte Vytvořit.

  9. Než budete pokračovat, počkejte, než se vytvoření virtuálního počítače dokončí.

Instalace služby IIS pro testování

V tomto příkladu nainstalujete službu IIS na virtuální počítače, abyste ověřili, že Azure úspěšně vytvořila aplikační bránu.

  1. Otevřete Azure PowerShell.

    V horním navigačním panelu webu Azure Portal vyberte Cloud Shell a v rozevíracím seznamu vyberte PowerShell .

    Instalace vlastního rozšíření

  2. Spuštěním následujícího příkazu nainstalujte službu IIS na virtuální počítač. V případě potřeby změňte parametr Location:

    Set-AzVMExtension `
  -ResourceGroupName myResourceGroupAG `
  -ExtensionName IIS `
  -VMName myVM `
  -Publisher Microsoft.Compute `
  -ExtensionType CustomScriptExtension `
  -TypeHandlerVersion 1.4 `
  -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
  -Location EastUS

  3. Pomocí kroků, které jste předtím dokončili, vytvořte druhý virtuální počítač a nainstalujte službu IIS. Použijte myVM2 pro název virtuálního počítače a pro nastavení VMName rutiny Set-AzVMExtension .

Přidání back-endových serverů do back-endovém fondu

  1. V nabídce webu Azure Portal vyberte Všechny prostředky nebo vyhledejte a vyberte Všechny prostředky. Pak vyberte myAppGateway.

  2. V nabídce vlevo vyberte back-endové fondy .

  3. Vyberte myBackendPool.

  4. V části Cíle back-endu vyberte Typ cíle v rozevíracím seznamu virtuální počítač.

  5. V části Cíl vyberte virtuální počítače myVM a myVM2 a jejich přidružená síťová rozhraní z rozevíracích seznamů.

    Přidání back-endových serverů

  6. Zvolte Uložit.

  7. Než budete pokračovat k dalšímu kroku, počkejte na dokončení nasazení.

Otestování aplikační brány

I když služba IIS není nutná k vytvoření aplikační brány, nainstalovali jste ji v tomto rychlém startu, abyste ověřili, jestli Azure úspěšně vytvořila aplikační bránu.

Použití služby IIS k otestování aplikační brány:

  1. Na stránce Přehled najděte veřejnou IP adresu služby Application Gateway.Záznam veřejné IP adresy aplikační brány Nebo můžete vybrat všechny prostředky, zadat myAGPublicIPAddress do vyhledávacího pole a pak ho vybrat ve výsledcích hledání. Azure zobrazí veřejnou IP adresu na stránce Přehled .

  2. Zkopírujte veřejnou IP adresu a vložte ji do adresního řádku prohlížeče, abyste mohli tuto IP adresu procházet.

  3. Zkontrolujte odpověď. Platná odpověď ověří, že se služba Application Gateway úspěšně vytvořila a může se úspěšně připojit k back-endu.

    Otestování aplikační brány

    Aktualizujte prohlížeč několikrát a měli byste vidět připojení k virtuálnímu počítači myVM i myVM2.

Vyčištění prostředků

Pokud už nepotřebujete prostředky, které jste vytvořili pomocí aplikační brány, odstraňte skupinu prostředků. Když odstraníte skupinu prostředků, odeberete také aplikační bránu a všechny související prostředky.

Odstranění skupiny prostředků:

  1. V nabídce webu Azure Portal vyberte Skupiny prostředků nebo vyhledejte a vyberte Skupiny prostředků.
  2. Na stránce Skupiny prostředků vyhledejte v seznamu myResourceGroupAG a pak ho vyberte.
  3. Na stránce Skupina prostředků vyberte Odstranit skupinu prostředků.
  4. Zadejte myResourceGroupAG v části ZADEJTE NÁZEV SKUPINY PROSTŘEDKŮ a pak vyberte Odstranit.

Další kroky

V dalším článku se dozvíte, jak:

Konfigurace aplikační brány s ukončením šifrování TLS pomocí webu Azure Portal