Démarrage rapide : Créer et configurer Azure DDoS Protection Standard

Prenez en main Azure DDoS Protection Standard à l’aide du portail Azure.

Un plan de protection DDoS définit un ensemble de réseaux virtuels pour lesquels la protection DDoS Standard est activée par le biais des abonnements. Vous pouvez configurer un plan de protection DDoS pour votre organisation et lier des réseaux virtuels à partir de plusieurs abonnements sous un même locataire AAD au même plan.

Dans ce démarrage rapide, vous allez créer un plan de protection DDoS et le lier à un réseau virtuel.

Prérequis

Créer un plan de protection DDoS

  1. Sélectionnez Créer une ressource en haut à gauche du portail Azure.

  2. Recherchez le terme DDoS. Lorsque Plan de protection DDoS apparaît dans les résultats de la recherche, sélectionnez cette entrée.

  3. Sélectionnez Create (Créer).

  4. Entrez ou sélectionnez les valeurs suivantes.

    Paramètre Valeur
    Abonnement Sélectionnez votre abonnement.
    Resource group Sélectionnez Créer et entrez MyResourceGroup.
    Nom Entrez MyDdosProtectionPlan.
    Région Entrez USA Est.
  5. Sélectionnez Vérifier + créer, puis Créer

Notes

Bien que les ressources du plan de protection DDoS doivent être associées à une région, les utilisateurs peuvent activer la protection DDoS sur des réseaux virtuels dans différentes régions et sur plusieurs abonnements sous un seul locataire Azure Active Directory.

Activer la protection DDoS pour un réseau virtuel

Activer la protection DDoS pour un nouveau réseau virtuel

  1. Sélectionnez Créer une ressource en haut à gauche du portail Azure.

  2. Sélectionnez Mise en réseau, puis Réseau virtuel.

  3. Entrez ou sélectionnez les valeurs suivantes.

    Paramètre Valeur
    Abonnement Sélectionnez votre abonnement.
    Resource group Sélectionnez Utiliser l’existant, puis MyResourceGroup.
    Nom Entrez MyVnet.
    Région Entrez USA Est.
  4. Sélectionnez Suivant : Adresses IP et entrez les valeurs suivantes.

    Paramètre Valeur
    Espace d’adressage IPv4 Saisissez 10.1.0.0/16.
    Nom du sous-réseau Sous le nom du sous-réseau, sélectionnez le lien Ajouter un sous-réseau et entrez mySubnet.
    Plage d’adresses de sous-réseau Entrez 10.1.0.0/24.
  5. Sélectionnez Ajouter.

  6. Sélectionnez Suivant : Sécurité.

  7. Sélectionnez Activer sur la case d’option DDoS Protection Standard.

  8. Sélectionnez MyDdosProtectionPlan dans le volet Plan de protection DDoS. Le plan que vous sélectionnez peut se trouver dans le même abonnement que le réseau virtuel, ou dans un abonnement différent, mais les deux abonnements doivent être associés au même locataire Azure Active Directory.

  9. Sélectionnez Vérifier + créer, puis Créer.

Notes

Vous ne pouvez pas déplacer un réseau virtuel vers un autre groupe de ressources ou abonnement quand la protection DDoS Standard est activée pour le réseau virtuel. Si vous devez déplacer un réseau virtuel pour lequel la protection DDoS Standard est activée, désactivez d’abord celle-ci, déplacez le réseau virtuel, puis activez la protection DDoS Standard. Après le déplacement, les seuils de stratégie réglée automatiquement pour toutes les adresses IP publiques protégées dans le réseau virtuel sont réinitialisés.

Activer la protection DDoS pour un réseau virtuel existant

  1. Créez un plan de protection DDoS en effectuant les étapes décrites dans Créer un plan de protection DDoS, si vous n’avez pas de plan de protection DDoS.
  2. Entrez le nom du réseau virtuel pour lequel vous souhaitez activer le service DDoS Protection Standard dans la zone Rechercher dans les ressources, les services et les documents en haut du Portail Azure. Quand le nom du réseau virtuel apparaît dans les résultats de la recherche, sélectionnez-le.
  3. Sélectionnez Protection DDoS, sous Paramètres.
  4. Sélectionnez Activer. Sous Plan de protection DDoS, sélectionnez un plan de protection DDoS existant, ou le plan que vous avez créé à l’étape 1, puis cliquez sur Enregistrer. Le plan que vous sélectionnez peut se trouver dans le même abonnement que le réseau virtuel, ou dans un abonnement différent, mais les deux abonnements doivent être associés au même locataire Azure Active Directory.

Vous pouvez également activer le plan de protection DDoS pour un réseau virtuel existant à partir du plan de protection DDoS, et non à partir du réseau virtuel.

  1. Recherchez « Plans de protection DDoS » dans la zone Rechercher dans les ressources, services et documents en haut du portail Azure. Quand Plans de protection DDoS apparaît dans les résultats de la recherche, sélectionnez cette entrée.
  2. Sélectionnez le plan de protection DDoS que vous souhaitez activer pour votre réseau virtuel.
  3. Sélectionnez Ressources protégées sous Paramètres.
  4. Cliquez sur +Ajouter et sélectionnez l’abonnement, le groupe de ressources et le nom du réseau virtuel adéquats. Cliquez de nouveau sur Ajouter.

Configurer un plan de protection Azure DDoS à l’aide d’Azure Firewall Manager (préversion)

Azure Firewall Manager est une plateforme qui permet de gérer et de protéger vos ressources réseau à grande échelle. Vous pouvez associer vos réseaux virtuels à un plan de protection DDoS dans Azure Firewall Manager. Cette fonctionnalité est actuellement disponible en préversion publique. Consultez Configurer un plan de protection Azure DDoS à l’aide d’Azure Firewall Manager.

Screenshot showing virtual network with DDoS Protection Plan.

Activer la protection DDoS pour tous les réseaux virtuels

Cette stratégie intégrée détectera tous les réseaux virtuels dans une étendue définie pour lesquels la norme de protection DDoS n'est pas activée. Cette stratégie créera ensuite éventuellement une tâche de correction qui créera l'association pour protéger le réseau virtuel. Pour connaître la liste complète des stratégies intégrées, consultez Définitions intégrées Azure Policy pour Azure DDoS Protection Standard.

Valider et tester

Tout d’abord, vérifiez les détails de votre plan de protection DDoS :

  1. Sélectionnez Tous les services dans la partie supérieure gauche du portail.
  2. Entrez DDoS dans la zone Filtre. Quand Plans de protection DDoS apparaît dans les résultats, sélectionnez cette entrée.
  3. Sélectionnez votre plan de protection DDoS dans la liste.

Le réseau virtuel MyVnet doit être répertorié.

Afficher les ressources protégées

Sous Ressources protégées, vous pouvez afficher vos réseaux virtuels protégés et vos adresses IP publiques, ou ajouter d’autres réseaux virtuels à votre plan de protection DDoS :

Screenshot showing protected resources.

Nettoyer les ressources

Vous pouvez conserver vos ressources pour le tutoriel suivant. Si vous n’en avez plus besoin, supprimez le groupe de ressources MyResourceGroup. Lorsque vous supprimez le groupe de ressources, vous supprimez aussi le plan de protection DDoS et toutes ses ressources associées. Si vous n’envisagez pas d’utiliser ce plan de protection DDoS, vous devez supprimer les ressources pour éviter des frais inutiles.

Avertissement

Cette action est irréversible.

  1. Dans le portail Azure, sélectionnez et recherchez Groupes de ressources ou sélectionnez Groupes de ressources dans le menu du portail Azure.

  2. Filtrez ou faites défiler vers le bas pour rechercher le groupe de ressources MyResourceGroup.

  3. Sélectionnez le groupe de ressources, puis Supprimer le groupe de ressources.

  4. Tapez le nom du groupe de ressources pour vérifier, puis sélectionnez Supprimer.

Pour désactiver la protection DDoS pour un réseau virtuel :

  1. Entrez le nom du réseau virtuel pour lequel vous souhaitez désactiver le service DDoS Protection Standard dans la zone Rechercher dans les ressources, les services et les documents en haut du portail. Quand le nom du réseau virtuel apparaît dans les résultats de la recherche, sélectionnez-le.
  2. Sous DDoS Protection Standard, sélectionnez Désactiver.

Notes

Si vous souhaitez supprimer un plan de protection DDoS, vous devez d’abord dissocier tous les réseaux virtuels de celui-ci.

Étapes suivantes

Pour savoir comment consulter et configurer la télémétrie pour votre plan de protection DDoS, passez aux tutoriels.