Démarrage rapide : Créer et configurer Azure DDoS Network Protection à l’aide du portail Azure
Prise en main d’Azure DDoS Network Protection à l’aide du portail Azure.
Un plan de protection DDoS définit un ensemble de réseaux virtuels pour lesquels DDoS Network Protection est activée entre différents abonnements. Vous pouvez configurer un plan de protection DDoS pour votre organisation et lier des réseaux virtuels à partir de plusieurs abonnements sous un même locataire Microsoft Entra au même plan.
Dans ce démarrage rapide, vous créez un plan de protection DDoS et le lier à un réseau virtuel.
Prérequis
- Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.
- Connectez-vous au portail Azure. Assurez-vous que votre compte dispose du rôle de contributeur de réseau ou d’un rôle personnalisé attribué aux actions appropriées répertoriées dans le guide pratique relatif aux Autorisations.
Créer un plan de protection DDoS
Sélectionnez Créer une ressource en haut à gauche du portail Azure.
Recherchez le terme DDoS. Lorsque Plan de protection DDoS apparaît dans les résultats de la recherche, sélectionnez cette entrée.
Sélectionnez Create (Créer).
Entrez ou sélectionnez les valeurs suivantes.
Paramètre Valeur Abonnement Sélectionnez votre abonnement. Resource group Sélectionnez Créer et entrez MyResourceGroup. Nom Entrez MyDdosProtectionPlan. Région Entrez USA Est. Sélectionnez Vérifier + créer, puis Créer
Remarque
Bien que les ressources du plan de protection DDoS doivent être associées à une région, les utilisateurs peuvent activer la protection DDoS sur des réseaux virtuels dans différentes régions et sur plusieurs abonnements sous un seul locataire Microsoft Entra.
Activer la protection DDoS pour un réseau virtuel
Activer la protection pour un nouveau réseau virtuel
Sélectionnez Créer une ressource en haut à gauche du portail Azure.
Sélectionnez Mise en réseau, puis Réseau virtuel.
Entrez ou sélectionnez les valeurs suivantes puis sélectionnez Suivant.
Paramètre Valeur Abonnement Sélectionnez votre abonnement. Resource group Sélectionnez Utiliser l’existant, puis MyResourceGroup. Nom Entrez MyVnet. Région Entrez USA Est. Dans le volet Sécurité , sélectionnez Activer sur la radio Protection réseau Azure DDoS.
Sélectionnez MyDdosProtectionPlan dans le volet Plan de protection DDoS. Le plan que vous sélectionnez peut se trouver dans le même abonnement que le réseau virtuel, ou dans un abonnement différent, mais les deux abonnements doivent être associés au même locataire Microsoft Entra.
Cliquez sur Suivant. Dans le volet Adresse IP, sélectionnez Ajouter un espace d’adressage IPv4 et entrez les valeurs suivantes. Sélectionnez ensuite Ajouter.
Paramètre Valeur Espace d’adressage IPv4 Entrez 10.1.0.0/16. Nom du sous-réseau Sous le nom du sous-réseau, sélectionnez le lien Ajouter un sous-réseau et entrez mySubnet. Plage d’adresses de sous-réseau Entrez 10.1.0.0/24. Sélectionnez Vérifier + créer, puis Créer.
Remarque
Vous ne pouvez pas déplacer un réseau virtuel vers un autre groupe de ressources ou abonnement quand la protection DDoS Protection est activée pour le réseau virtuel. Si vous devez déplacer un réseau virtuel pour lequel la protection DDoS Protection est activée, désactivez d’abord celle-ci, déplacez le réseau virtuel, puis réactivez-la. Après le déplacement, les seuils de stratégie réglée automatiquement pour toutes les adresses IP publiques protégées dans le réseau virtuel sont réinitialisés.
Activer la protection pour un réseau virtuel existant
Créez un plan de protection DDoS en effectuant les étapes décrites dans Créer un plan de protection DDoS, si vous n’avez pas de plan de protection DDoS.
Entrez le nom du réseau virtuel pour lequel vous souhaitez activer DDoS Network Protection dans la zone Rechercher dans les ressources, les services et les documents en haut du portail Azure. Quand le nom du réseau virtuel apparaît dans les résultats de la recherche, sélectionnez-le.
Sélectionnez Protection DDoS, sous Paramètres.
Sélectionnez Activer. Sous Plan de protection DDoS, sélectionnez un plan de protection DDoS existant, ou le plan que vous avez créé à l’étape 1, puis sélectionnez Enregistrer. Le plan que vous sélectionnez peut se trouver dans le même abonnement que le réseau virtuel, ou dans un abonnement différent, mais les deux abonnements doivent être associés au même locataire Microsoft Entra.
Ajouter des réseaux virtuels à un plan de protection DDoS existant
Vous pouvez également activer le plan de protection DDoS pour un réseau virtuel existant à partir du plan de protection DDoS, et non à partir du réseau virtuel.
Recherchez « Plans de protection DDoS » dans la zone Rechercher dans les ressources, services et documents en haut du portail Azure. Quand Plans de protection DDoS apparaît dans les résultats de la recherche, sélectionnez cette entrée.
Sélectionnez le plan de protection DDoS que vous souhaitez activer pour votre réseau virtuel.
Sélectionnez Ressources protégées sous Paramètres.
Sélectionnez+Ajouter et sélectionnez l’abonnement, le groupe de ressources et le nom du réseau virtuel adéquats. Cliquez à nouveau sur Ajouter.
Configurer un plan de protection Azure DDoS à l’aide d’Azure Firewall Manager (préversion)
Azure Firewall Manager est une plateforme qui permet de gérer et de protéger vos ressources réseau à grande échelle. Vous pouvez associer vos réseaux virtuels à un plan de protection DDoS dans Azure Firewall Manager. Cette fonctionnalité est actuellement disponible en préversion publique. Consultez Configurer un plan de protection Azure DDoS à l’aide d’Azure Firewall Manager.
Activer la protection DDoS pour tous les réseaux virtuels
Cette stratégie intégrée détecte tous les réseaux virtuels dans une étendue définie pour lesquels DDoS Network Protection n’est pas activée. Cette stratégie créé ensuite éventuellement une tâche de correction qui créera l'association pour protéger le réseau virtuel. Pour connaître la liste complète des stratégies intégrées, consultez Définitions intégrées Azure Policy pour Azure DDoS Network Protection.
Valider et tester
Tout d’abord, vérifiez les détails de votre plan de protection DDoS :
- Sélectionnez Tous les services dans la partie supérieure gauche du portail.
- Entrez DDoS dans la zone Filtre. Quand Plans de protection DDoS apparaît dans les résultats, sélectionnez cette entrée.
- Sélectionnez votre plan de protection DDoS dans la liste.
Le réseau virtuel MyVnet doit être répertorié.
Afficher les ressources protégées
Sous Ressources protégées, vous pouvez afficher vos réseaux virtuels protégés et vos adresses IP publiques, ou ajouter d’autres réseaux virtuels à votre plan de protection DDoS :
Désactiver pour un réseau virtuel :
Pour désactiver la protection DDoS pour un réseau virtuel, suivez les étapes suivantes.
Entrez le nom du réseau virtuel pour lequel vous souhaitez désactiver DDoS Network Protection dans la zone Rechercher dans les ressources, les services et les documents en haut du portail. Quand le nom du réseau virtuel apparaît dans les résultats de la recherche, sélectionnez-le.
Sous DDoS Network Protection, sélectionnez Désactiver.
Nettoyer les ressources
Vous pouvez conserver vos ressources pour le tutoriel suivant. Si vous n’en avez plus besoin, supprimez le groupe de ressources MyResourceGroup. Lorsque vous supprimez le groupe de ressources, vous supprimez aussi le plan de protection DDoS et toutes ses ressources associées. Si vous n’envisagez pas d’utiliser ce plan de protection DDoS, vous devez supprimer les ressources pour éviter des frais inutiles.
Avertissement
Cette action est irréversible.
Dans le portail Azure, sélectionnez et recherchez Groupes de ressources ou sélectionnez Groupes de ressources dans le menu du portail Azure.
Filtrez ou faites défiler vers le bas pour rechercher le groupe de ressources MyResourceGroup.
Sélectionnez le groupe de ressources, puis Supprimer le groupe de ressources.
Tapez le nom du groupe de ressources pour vérifier, puis sélectionnez Supprimer.
Notes
Si vous souhaitez supprimer un plan de protection DDoS, vous devez d’abord dissocier tous les réseaux virtuels de celui-ci.
Étapes suivantes
Pour savoir comment configurer des alertes de métriques via Azure Monitor, passez aux tutoriels.