Freigeben über

Verwenden von Azure DDoS Protection in einem verwalteten Service Fabric-Cluster

Azure DDoS Protection, kombiniert mit bewährten Methoden für den Anwendungsentwurf, bietet erweiterte DDoS-Gegenfunktionen zum Schutz vor Verteilten Denial-of-Service -Angriffen (DDoS). Er wird automatisch optimiert, um Ihre spezifischen Azure-Ressourcen in einem virtuellen Netzwerk zu schützen. Es gibt eine Reihe von Vorteilen für die Verwendung von Azure DDoS Protection.

Der von Service Fabric verwaltete Cluster unterstützt den Azure DDoS-Netzwerkschutz und ermöglicht Ihnen, Ihre Azure-VM-Skalierungsgruppen einem Plan für den Azure DDoS-Netzwerkschutz zu verknüpfen. Der Plan wird von den Kunden bzw. Kundinnen erstellt, die die Ressourcen-ID des Plans in der ARM-Vorlage für den verwalteten Cluster übergeben.

Verwenden von DDoS Protection in einem verwalteten Service Fabric-Cluster

Anforderungen

Verwenden Sie die Service Fabric-API-Version 2023-07-01-Preview oder neuer.

Schritte

Im folgenden Abschnitt werden die Schritte beschrieben, die ausgeführt werden sollten, um DDoS-Netzwerkschutz in einem von Service Fabric verwalteten Cluster zu verwenden:

  1. Führen Sie die Schritte unter Schnellstart: Erstellen und Konfigurieren von Azure DDoS-Netzwerkschutz zum Erstellen eines DDoS-Netzwerkschutzplans über Portal, Azure PowerShell oder Azure CLI aus. Notieren Sie den ddosProtectionPlanName und die ddosProtectionPlanId für die Verwendung in einem späteren Schritt.

  2. Verknüpfen Sie Ihren DDoS-Schutzplan mit dem virtuellen Netzwerk, das der von Service Fabric verwaltete Cluster für Sie verwaltet. Dazu müssen Sie SFMC-Berechtigungen erteilen, um Ihrem DDoS-Schutzplan mit dem virtuellen Netzwerk beizutreten. Diese Berechtigung wird erteilt, indem SFMC die Azure-Rolle „Netzwerkmitwirkender“ zugewiesen wird, wie in den folgenden Schritten beschrieben:

    A. Sie können den Dienst Id aus Ihrem Abonnement für die Service Fabric-Ressourcenanbieteranwendung erhalten.

    Login-AzAccount
Select-AzSubscription -SubscriptionId <SubId>
Get-AzADServicePrincipal -DisplayName "Azure Service Fabric Resource Provider"

    Hinweis

    Stellen Sie sicher, dass Sie sich im richtigen Abonnement befinden. Die Prinzipal-ID ändert sich, wenn sich das Abonnement in einem anderen Mandanten befindet.

    ServicePrincipalNames : {00001111-aaaa-2222-bbbb-3333cccc4444}
ApplicationId         : 00001111-aaaa-2222-bbbb-3333cccc4444
ObjectType            : ServicePrincipal
DisplayName           : Azure Service Fabric Resource Provider
Id                    : 00000000-0000-0000-0000-000000000000

    Notieren Sie sich die ID aus der vorstehenden Ausgabe als principalId für die Verwendung in einem späteren Schritt.

    Name der Rollendefinition Rollendefinitions-ID
    Mitwirkender von virtuellem Netzwerk 4d97b98b-1d4f-4787-a291-c67834d212e7

    Notieren Sie sich die Eigenschaftswerte Role definition name und Role definition ID für die Verwendung in einem späteren Schritt.

    B. Die ARM-Beispielbereitstellungsvorlage fügt dem DDoS-Schutzplan mit Zugriff für Mitwirkende eine Rollenzuweisung hinzu. Weitere Informationen zu Azure-Rollen finden Sie unter Integrierte Azure-Rollen – Azure RBAC. Diese Rollenzuweisung ist im Abschnitt „Ressourcen“ der Vorlage mit der im ersten Schritt ermittelten Prinzipal-ID und einer Rollendefinitions-ID definiert.

            "variables": { 
          "sfApiVersion": "2023-07-01-preview", 
          "ddosProtectionPlanName": "YourDDoSProtectionPlan", 
          "ddosProtectionPlanId": "[concat('/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/sampleRg/providers/Microsoft.Network/ddosProtectionPlans/', variables('ddosProtectionPlanName'))]", 
          "sfrpPrincipalId": "00000000-0000-0000-0000-000000000000",
          "ddosProtectionPlanRoleAssignmentID": "[guid(variables('ddosProtectionPlanId'), 'SFRP-Role')]" 
        }, 
         "resources": [ 
      { 
            "type": "Microsoft.Authorization/roleAssignments", 
            "apiVersion": "2020-04-01-preview", 
            "name": "[variables('ddosProtectionPlanRoleAssignmentID')]", 
            "scope": "[concat('Microsoft.Network/ddosProtectionPlans/', variables('ddosProtectionPlanName'))]", 
            "properties": { 
              "roleDefinitionId": "[concat('/subscriptions/', subscription().subscriptionId, '/providers/Microsoft.Authorization/roleDefinitions/', '4d97b98b-1d4f-                        4787-a291-c67834d212e7')]", 
              "principalId": "[variables('sfrpPrincipalId')]" 
            } 
          } 
          ]

    Sie können die Rollenzuweisung auch über PowerShell mit der im ersten Schritt ermittelten Prinzipal-ID und dem Rollendefinitionsnamen „Mitwirkender“ hinzufügen (sofern zutreffend).

    New-AzRoleAssignment -PrincipalId "sfrpPrincipalId" `
-RoleDefinitionId "4d97b98b-1d4f-4787-a291-c67834d212e7" `
-ResourceName <resourceName> `
-ResourceType <resourceType> `
-ResourceGroupName <resourceGroupName>

  3. Verwenden Sie eine ARM-Beispielbereitstellungsvorlage, die Rollen zuweist und die Konfiguration von DDoS Protection als Teil der Erstellung des vom Service Fabric verwalteten Clusters hinzufügt. Aktualisieren Sie die Vorlage mit principalId, ddosProtectionPlanName und ddosProtectionPlanId, die Sie von oben haben.

  4. Sie können ihre vorhandene ARM-Vorlage auch ändern und unter der Ressource „Microsoft.ServiceFabric/managedClusters“ neue Eigenschaften ddosProtectionPlanId hinzufügen, die die Ressourcen-ID des Netzwerkschutzplans von DDoS Protection verwenden.

    ARM-Vorlage:

      {
      "apiVersion": "2023-07-01-preview",
      "type": "Microsoft.ServiceFabric/managedclusters",
      },
      "properties":  {
      "ddosProtectionPlanId": "[parameters('ddosProtectionPlanId')]"
      }