Tutorial: Schützen Ihres öffentlichen Lastenausgleichs mit Azure DDoS Protection

  • Artikel

Azure DDoS Protection ermöglicht erweiterte DDoS-Korrekturfunktionen wie adaptive Optimierung, Angriffswarnungen und Überwachung, um Ihre öffentlichen Lastenausgleichsmodule vor DDoS-Angriffen im großen Stil zu schützen.

Wichtig

Azure DDoS Protection verursacht Kosten, wenn Sie die Netzwerkschutz-SKU verwenden. Gebühren für Überschreitungen fallen nur an, wenn mehr als 100 öffentliche IP-Adressen im Mandanten geschützt werden. Stellen Sie sicher, dass Sie die Ressourcen in diesem Tutorial löschen, wenn Sie die Ressourcen in Zukunft nicht verwenden. Informationen zu Preisen finden Sie unter Azure DDoS Protection – Preise. Weitere Informationen zu Azure DDoS Protection finden Sie unter Was ist Azure DDoS Protection?.

In diesem Tutorial lernen Sie, wie die folgenden Aufgaben ausgeführt werden:

  • Erstellen Sie einen DDoS-Schutzplan.
  • Erstellen Sie ein virtuelles Netzwerk mit aktiviertem DDoS Protection und Bastion-Dienst.
  • Erstellen Sie einen öffentlichen Lastausgleich der SKU „Standard“ mit Front-End-IP-Adresse, Integritätstest, Back-End-Konfiguration und Lastenausgleichsregel.
  • Erstellen eines NAT-Gateways für ausgehenden Internetzugriff für den Back-End-Pool
  • Erstellen Sie einen virtuellen Computer, und installieren und konfigurieren Sie dann Internetinformationsdienste (ISS) auf den VMs, um die Portweiterleitungs- und Lastenausgleichsregeln zu veranschaulichen.

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Voraussetzungen

  • Ein Azure-Konto mit einem aktiven Abonnement.

Erstellen eines DDoS-Schutzplans

  1. Melden Sie sich beim Azure-Portal an.

  2. Geben Sie oben im Portal in das Suchfeld DDoS-Schutz ein. Wählen Sie in den Suchergebnissen DDoS-Schutzpläne und dann + Erstellen aus.

  3. Geben Sie auf der Seite DDoS-Schutzplan erstellen die folgenden Informationen auf der Registerkarte Grundlagen ein, oder wählen Sie sie aus:

    Screenshot: Erstellen eines DDoS-Schutzplans.

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Azure-Abonnement.
    Resource group Wählen Sie Neu erstellen.
    Geben Sie TutorLoadBalancer-rg ein.
    Wählen Sie OK aus.
    Instanzendetails
    Name Geben Sie myDDoSProtectionPlan ein.
    Region Wählen Sie (USA) USA, Osten aus.

  4. Wählen Sie Überprüfen und erstellen und dann Erstellen aus, um den DDoS-Schutzplan bereitzustellen.

Erstellen des virtuellen Netzwerks

In diesem Abschnitt erstellen Sie ein virtuelles Netzwerk, ein Subnetz und einen Azure Bastion-Host und ordnen den DDoS-Schutzplan zu. Das virtuelle Netzwerk und das Subnetz enthalten den Lastenausgleich und die virtuellen Computer. Der Bastionhost wird verwendet, um die virtuellen Computer sicher zu verwalten und IIS zum Testen des Lastenausgleichs zu installieren. Der DDoS-Schutzplan schützt alle öffentlichen IP-Ressourcen im virtuellen Netzwerk.

Wichtig

Die Stundenpreise gelten ab dem Zeitpunkt der Bereitstellung von Bastion, unabhängig von der Nutzung ausgehender Daten. Weitere Informationen dazu finden Sie unter Preise und SKUs. Wenn Sie Bastion im Rahmen eines Tutorials oder Tests bereitstellen, empfiehlt es sich, diese Ressource zu löschen, sobald Sie sie nicht mehr benötigen.

  1. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtuelles Netzwerk ein. Wählen Sie in den Suchergebnissen Virtuelle Netzwerke aus.

  2. Wählen Sie unter Virtuelle Netzwerke die Option + Erstellen aus.

  3. Geben Sie unter Virtuelles Netzwerk erstellen auf der Registerkarte Grundlegende Einstellungen die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Azure-Abonnement.
    Ressourcengruppe Wählen Sie TutorLoadBalancer-rg aus.
    Instanzendetails
    Name Geben Sie myVNet ein.
    Region Wählen Sie USA, Osten aus.

  4. Wählen Sie die Registerkarte IP-Adressen oder wählen Sie Weiter: IP-Adressen unten auf der Seite.

  5. Geben Sie auf der Registerkarte IP-Adressen die folgenden Informationen ein:

    Einstellung Wert
    IPv4-Adressraum Geben Sie 10.1.0.0/16 ein.

  6. Wählen Sie unter Subnetzname das Wort Standard aus. Wenn kein Subnetz vorhanden ist, wählen Sie + Subnetz hinzufügen aus.

  7. Geben Sie unter Subnetz bearbeiten die folgenden Informationen ein:

    Einstellung Wert
    Subnetzname Geben Sie myBackendSubnet ein.
    Subnetzadressbereich Geben Sie 10.1.0.0/24 ein.

  8. Wählen Sie Speichern oder Hinzufügen aus.

  9. Wählen Sie die Registerkarte Sicherheit .

  10. Wählen Sie unter BastionHost die Option Aktivieren aus. Geben Sie die folgenden Informationen ein:

    Einstellung Wert
    Bastion-Name Geben Sie myBastionHost ein.
    AzureBastionSubnet-Adressraum Geben Sie 10.1.1.0/26 ein.
    Öffentliche IP-Adresse Wählen Sie Neu erstellen.
    Geben Sie für NamemyBastionIP ein.
    Wählen Sie OK aus.

  11. Wählen Sie unter DDoS Network Protection die Option Aktivieren aus. Wählen Sie dann im Dropdownmenü myDDoSProtectionPlan aus.

    Screenshot des Aktivierens von DDoS während der Erstellung eines virtuellen Netzwerks.

  12. Wählen Sie die Registerkarte Überprüfen + erstellen oder die Schaltfläche Überprüfen + erstellen aus.

  13. Klicken Sie auf Erstellen.

    Hinweis

    Das virtuelle Netzwerk und das Subnetz werden sofort erstellt. Die Erstellung des Bastionhosts wird als Auftrag übermittelt und innerhalb von zehn Minuten abgeschlossen. Sie können mit den nächsten Schritten fortfahren, während der Bastionhost erstellt wird.

Erstellen eines Load Balancers

In diesem Abschnitt erstellen Sie einen zonenredundanten Lastenausgleich für virtuelle Computer. Bei Zonenredundanz können eine oder mehrere Verfügbarkeitszonen ausfallen, aber der Datenpfad bleibt dennoch so lange verfügbar, wie eine Zone in der Region fehlerfrei bleibt.

Während der Erstellung des Lastenausgleichs konfigurieren Sie Folgendes:

  • Front-End-IP-Adresse
  • Back-End-Pool
  • Lastenausgleichsregeln für eingehenden Datenverkehr
  • Integritätstest

  1. Geben Sie am oberen Rand des Portals den Suchbegriff Lastenausgleich in das Suchfeld ein. Wählen Sie in den Suchergebnissen Lastenausgleichsmodule aus.

  2. Wählen Sie auf der Seite Lastenausgleich die Option + Erstellen aus.

  3. Geben Sie auf der Seite Lastenausgleich erstellen auf der Registerkarte Grundlagen die folgenden Informationen ein, bzw. wählen Sie sie aus:

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie TutorLoadBalancer-rg aus.
    Instanzendetails
    Name Geben Sie myLoadBalancer ein.
    Region Wählen Sie USA, Osten aus.
    SKU Übernehmen Sie den Standardwert Standard.
    type Wählen Sie Öffentlich aus.
    Tarif Übernehmen Sie den Standardwert für Region.

    Screenshot: Registerkarte „Grundlagen“ zum Erstellen einer Load Balancer Standard-Instanz

  4. Wählen Sie unten auf der Seite Weiter: Front-End-IP-Konfiguration aus.

  5. Wählen Sie unter Front-End-IP-Konfiguration die Option + Front-End-IP-Konfiguration hinzufügen aus.

  6. Geben Sie myFrontend als Name ein.

  7. Wählen Sie als IP-Version die Option IPv4 aus.

  8. Wählen Sie für den IP-Typ die Option IP-Adresse aus.

    Hinweis

    Weitere Informationen zu IP-Präfixen finden Sie unter Präfix für öffentliche IP-Adressen.

  9. Wählen Sie unter Öffentliche IP-Adresse die Option Neu erstellen aus.

  10. Geben Sie unter Öffentliche IP-Adresse hinzufügen in das Feld Name den Namen myPublicIP ein.

  11. Wählen Sie unter Verfügbarkeitszone die Option Zonenredundant aus.

    Hinweis

    In Regionen mit Verfügbarkeitszonen haben Sie die Möglichkeit, „Keine Zone“ (Standardoption), eine bestimmte Zone oder die Option „Zonenredundant“ auszuwählen. Die Auswahl hängt von Ihren spezifischen Domänenfehleranforderungen ab. In Regionen ohne Verfügbarkeitszonen wird dieses Feld nicht angezeigt.
    Weitere Informationen zu Verfügbarkeitszonen finden Sie in der Übersicht der Verfügbarkeitszonen.

  12. Übernehmen Sie unter Routingpräferenz die Standardeinstellung Microsoft-Netzwerk.

  13. Klicken Sie auf OK.

  14. Wählen Sie Hinzufügen.

  15. Wählen Sie unten auf der Seite Weiter: Back-End-Pools aus.

  16. Wählen Sie auf der Registerkarte Back-End-Pools die Option + Back-End-Pool hinzufügen aus.

  17. Geben Sie unter Back-End-Pool hinzufügen in das Feld Name den Namen myBackendPool ein.

  18. Wählen Sie unter Virtuelle Netzwerke die Option myVNet aus.

  19. Wählen Sie unter Back-End-Pool-Konfiguration die Option IP-Adresse aus.

  20. Wählen Sie Speichern aus.

  21. Wählen Sie unten auf der Seite Weiter: Eingangsregeln aus.

  22. Wählen Sie unter Lastenausgleichsregel auf der Registerkarte Regeln für eingehenden Datenverkehr die Option + Lastenausgleichsregel hinzufügen aus.

  23. Geben Sie unter Lastenausgleichsregel hinzufügen die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Name Geben Sie myHTTPRule ein.
    IP-Version Wählen Sie abhängig von Ihren Anforderungen IPv4 oder IPv6 aus.
    Front-End-IP-Adresse Wählen Sie myFrontend (zu erstellen) aus.
    Back-End-Pool Wählen Sie myBackendPool aus.
    Protocol Wählen Sie TCP aus.
    Port Geben Sie 80 ein.
    Back-End-Port Geben Sie 80 ein.
    Integritätstest Wählen Sie Neu erstellen.
    Geben Sie unter Name den Namen myHealthProbe ein.
    Wählen Sie TCP für Protokoll aus.
    Übernehmen Sie die übrigen Standardeinstellungen, und klicken Sie auf OK.
    Sitzungspersistenz Wählen Sie Keine.
    Leerlaufzeitüberschreitung (Minuten) Geben Sie 15 ein, oder wählen Sie diesen Wert aus.
    TCP-Zurücksetzung Wählen Sie Aktiviert.
    Unverankerte IP Wählen Sie Deaktiviert aus.
    Übersetzung der Quellnetzwerkadresse (SNAT) für ausgehenden Datenverkehr Übernehmen Sie die Standardeinstellung (Empfohlen) Verwenden Sie Ausgangsregeln, um Back-End-Poolmitgliedern Zugriff auf das Internet zu gewähren.

  24. Wählen Sie Hinzufügen aus.

  25. Klicken Sie unten auf der Seite auf die blaue Schaltfläche Überprüfen + erstellen.

  26. Klicken Sie auf Erstellen.

    Hinweis

    In diesem Beispiel erstellen wir ein NAT-Gateway, das einen ausgehenden Internetzugang ermöglicht. Die Registerkarte „Ausgangsregeln“ in der Konfiguration wird ausgelassen, da sie optional und für das NAT-Gateway nicht erforderlich ist. Weitere Informationen zum Azure NAT-Gateway finden Sie unter Was ist Azure Virtual Network NAT? Weitere Informationen zu ausgehenden Verbindungen in Azure finden Sie unter SNAT (Source Network Address Translation) für ausgehende Verbindungen.

Erstellen eines NAT Gateways

In diesem Abschnitt erstellen Sie für Ressourcen im virtuellen Netzwerk ein NAT-Gateway für ausgehenden Internetzugriff. Weitere Optionen für ausgehende Regeln finden Sie unter Netzwerkadressenübersetzung (SNAT) für ausgehende Verbindungen.

  1. Geben Sie am oberen Rand des Portals den Suchbegriff NAT-Gateway in das Suchfeld ein. Wählen Sie in den Suchergebnissen NAT-Gateways aus.

  2. Wählen Sie unter NAT-Gateways die Option + Erstellen aus.

  3. Geben Sie unter Gateway für die Netzwerkadressübersetzung (NAT) erstellen die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie TutorLoadBalancer-rg aus.
    Instanzendetails
    Name des NAT-Gateways Geben Sie myNATgateway ein.
    Region Wählen Sie USA, Osten aus.
    Verfügbarkeitszone Wählen Sie Keine.
    Leerlaufzeitüberschreitung (Minuten) Geben Sie 15 ein.

  4. Wählen Sie die Registerkarte Ausgehende IP-Adresse oder unten auf der Seite Weiter: Ausgehende IP-Adresse aus.

  5. Wählen Sie unter Ausgehende IP-Adresse neben Öffentliche IP-Adressen die Option Neue öffentliche IP-Adresse erstellen aus.

  6. Geben Sie myNATgatewayIP in Name ein.

  7. Klicken Sie auf OK.

  8. Wählen Sie die Registerkarte Subnetz oder unten auf der Seite die Schaltfläche Weiter: Subnetz aus.

  9. Wählen Sie unter Virtuelles Netzwerk auf der Registerkarte Subnetz die Option myVNet aus.

  10. Wählen Sie unter Subnetzname die Option myBackendSubnet aus.

  11. Wählen Sie unten auf der Seite die blaue Schaltfläche Überprüfen + erstellen aus, oder wählen Sie die Registerkarte Überprüfen + erstellen aus.

  12. Klicken Sie auf Erstellen.

Erstellen von virtuellen Computern

In diesem Abschnitt werden zwei virtuelle Computer (myVM1 und myVM2) in zwei verschiedenen Zonen (Zone 1 und Zone 2) erstellt.

Diese virtuellen Computer werden dem Back-End-Pool des zuvor erstellten Lastenausgleichs hinzugefügt.

  1. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtueller Computer ein. Wählen Sie in den Suchergebnissen Virtuelle Computer aus.

  2. Wählen Sie unter Virtuelle Computer die Option + Erstellen>Virtueller Azure-Computer aus.

  3. Geben Sie unter Virtuellen Computer erstellen auf der Registerkarte Grundlagen die folgenden Werte ein (bzw. wählen Sie sie aus):

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Azure-Abonnement aus.
    Ressourcengruppe Wählen Sie TutorLoadBalancer-rg aus.
    Instanzendetails
    Name des virtuellen Computers Geben Sie myVM1 ein.
    Region Wählen Sie (USA) USA, Osten aus.
    Verfügbarkeitsoptionen Wählen Sie Verfügbarkeitszonen aus.
    Verfügbarkeitszone WählenZone 1 aus.
    Sicherheitstyp Wählen Sie Standard aus.
    Image Wählen Sie Windows Server 2022 Datacenter: Azure Edition – Gen2 aus.
    Azure Spot-Instanz Übernehmen Sie die Standardeinstellung (deaktiviert).
    Size Wählen Sie eine VM-Größe aus, oder übernehmen Sie die Standardeinstellung.
    Administratorkonto
    Username Geben Sie einen Benutzernamen ein.
    Kennwort Geben Sie ein Kennwort ein.
    Kennwort bestätigen Geben Sie das Kennwort erneut ein.
    Regeln für eingehende Ports
    Öffentliche Eingangsports Wählen Sie Keine aus.

  4. Wählen Sie die Registerkarte Netzwerk aus, oder wählen Sie Weiter: Datenträger und anschließend Weiter: Netzwerk aus.

  5. Wählen Sie auf der Registerkarte Netzwerk die folgenden Informationen aus oder geben Sie diese ein:

    Einstellung Wert
    Netzwerkschnittstelle
    Virtuelles Netzwerk Wählen Sie myVNet aus.
    Subnet Wählen Sie myBackendSubnet aus.
    Öffentliche IP-Adresse Wählen Sie Keine aus.
    NIC-Netzwerksicherheitsgruppe Wählen Sie Erweitert aus.
    Konfigurieren von Netzwerksicherheitsgruppen Überspringen Sie diese Einstellung, bis der Rest der Einstellungen abgeschlossen ist. Abgeschlossen nach Back-End-Pool auswählen.
    Löschen Sie die NIC beim Löschen des virtuellen Computers Übernehmen Sie die Standardeinstellung deaktiviert.
    Beschleunigte Netzwerke Belassen Sie die Standardeinstellung von ausgewählt.
    Lastenausgleich
    Optionen für den Lastenausgleich
    Optionen für den Lastenausgleich Wählen Sie Azure-Lastenausgleich aus.
    Wählen Sie einen Lastenausgleich aus. Wählen Sie myLoadBalancer aus.
    Wählen Sie einen Back-End-Pool aus. Wählen Sie myBackendPool aus.
    Konfigurieren von Netzwerksicherheitsgruppen Wählen Sie Neu erstellen.
    Geben Sie unter Netzwerksicherheitsgruppe erstellenmyNSG als Name ein.
    Klicken Sie unter
    auf + Eingangsregel hinzufügen.
    Wählen Sie unter
    die Option HTTP aus.
    Geben Sie unter
    den Wert 100 ein.
    Geben Sie für NamemyNSGRule
    ein. Klicken Sie auf Hinzufügen.
    Klicken Sie auf OK.

  6. Klicken Sie auf Überprüfen + erstellen.

  7. Überprüfen Sie die Einstellungen, und wählen Sie dann die Option Erstellen.

  8. Führen Sie die Schritte 1 bis 7 aus, um eine weitere VM mit den unten angegebenen Werten zu erstellen. Verwenden Sie für alle übrigen Einstellungen die Werte von myVM1:

    Einstellung VM 2
    Name myVM2
    Verfügbarkeitszone Zone 2
    Netzwerksicherheitsgruppe Wählen Sie die vorhandene Netzwerksicherheitsgruppe (myNSG) aus.

Hinweis

Azure stellt eine ausgehende Standardzugriffs-IP für VMs bereit, denen keine öffentliche IP-Adresse zugewiesen ist oder die sich im Backendpool eines internen grundlegenden Azure-Lastenausgleichs befinden. Der Mechanismus für Standard-IP-Adressen für den ausgehenden Zugriff stellt eine ausgehende IP-Adresse bereit, die nicht konfigurierbar ist.

Die Standard-IP-Adresse für ausgehenden Zugriff ist deaktiviert, wenn eines der folgenden Ereignisse auftritt:

  • Dem virtuellen Computer wird eine öffentliche IP-Adresse zugewiesen.
  • Die VM wird im Backendpool eines Standardlastenausgleichs platziert (mit oder ohne Ausgangsregeln).
  • Dem Subnetz der VM wird eine Azure NAT Gateway-Ressource zugewiesen.

VMs, die Sie mithilfe von VM-Skalierungsgruppen im Orchestrierungsmodus „Flexibel“ erstellen, haben keinen ausgehenden Standardzugriff.

Weitere Informationen zu ausgehenden Verbindungen in Azure finden Sie unter Standardzugriff in ausgehender Richtung in Azure und Verwenden von SNAT (Source Network Address Translation) für ausgehende Verbindungen.

Installieren von IIS

  1. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtueller Computer ein. Wählen Sie in den Suchergebnissen Virtuelle Computer aus.

  2. Wählen Sie myVM1 aus.

  3. Wählen Sie auf der Seite Übersicht die Option Verbinden und dann Bastion aus.

  4. Geben Sie den Benutzernamen und das Kennwort ein, die Sie bei der VM-Erstellung verwendet haben.

  5. Wählen Sie Verbinden.

  6. Navigieren Sie auf dem Serverdesktop zu Start>Windows PowerShell>Windows PowerShell.

  7. Führen Sie im PowerShell-Fenster die im Anschluss angegebenen Befehle aus. Diese bewirken Folgendes:

    • Installieren des IIS-Servers
    • Entfernen der Standarddatei „iisstart.htm“
    • Hinzufügen einer neuen Datei namens „iisstart.htm“ zum Anzeigen des Namens des virtuellen Computers
     # Install IIS server role
 Install-WindowsFeature -name Web-Server -IncludeManagementTools

 # Remove default htm file
 Remove-Item  C:\inetpub\wwwroot\iisstart.htm

 # Add a new htm file that displays server name
 Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)

  8. Schließen Sie die Bastion-Sitzung mit myVM1.

  9. Wiederholen Sie die Schritte 1 bis 8, um IIS und die aktualisierte Datei „iisstart.htm“ auf myVM2 zu installieren.

Testen des Lastenausgleichs

  1. Geben Sie im Suchfeld oben auf der Seite Öffentliche IP-Adresse ein. Wählen Sie in den Suchergebnissen Öffentliche IP-Adressen aus.

  2. Wählen Sie unter Öffentliche IP-Adressen die Option myPublicIP aus.

  3. Kopieren Sie das Element in die IP-Adresse. Fügen Sie die öffentliche IP-Adresse in die Adressleiste Ihres Browsers ein. Die benutzerdefinierte VM-Seite des IIS-Webservers wird im Browser angezeigt.

    Screenshot des Lastenausgleichstests.

Bereinigen von Ressourcen

Löschen Sie die Ressourcengruppe, den Lastenausgleich und alle dazugehörigen Ressourcen, wenn Sie sie nicht mehr benötigen. Wählen Sie hierzu die Ressourcengruppe TutorLoadBalancer-rg aus, die die Ressourcen enthält, und wählen Sie anschließend Löschen aus.

Nächste Schritte

Fahren Sie mit dem nächsten Artikel mit dem folgenden Inhalt fort:

Erstellen eines öffentlichen Lastenausgleichs mit einem IP-basierten Back-End