Partager via


Didacticiel : protégez votre équilibreur de charge public avec Azure DDoS Protection

Azure DDoS Protection fournit des fonctionnalités d’atténuation DDoS améliorées comme le réglage adaptatif, les notifications d’alerte d’attaque et la surveillance pour protéger vos équilibreurs de charge publics contre les attaques DDoS à grande échelle.

Important

Azure DDoS Protection entraîne un coût quand vous utilisez la référence SKU de la Protection réseau. Les frais de dépassement s’appliquent uniquement si plus de 100 adresses IP publiques sont protégées dans le locataire. Veillez à supprimer les ressources de ce tutoriel si vous n’utilisez plus les ressources. Pour plus d’informations sur les tarifs, consultez Tarification Azure DDoS Protection. Pour plus d’informations sur Azure DDoS Protection, consultez Qu’est-ce qu’Azure DDoS Protection ?.

Dans ce tutoriel, vous allez apprendre à :

  • Créer un plan de protection DDoS.
  • Créer un réseau virtuel avec la protection DDoS et le service Bastion activés.
  • Créer un équilibreur de charge public de référence SKU standard avec une IP de front-end, une sonde d’intégrité, une configuration de back-end et une règle d’équilibrage de charge.
  • Créer une passerelle NAT pour l’accès Internet sortant pour le pool de back-ends
  • Créer une machine virtuelle, puis installer et configurer IIS sur les machines virtuelles pour illustrer les règles de réacheminement de port et d’équilibrage de charge.

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Prérequis

  • Compte Azure avec un abonnement actif.

Créer un plan de protection DDoS

  1. Connectez-vous au portail Azure.

  2. Dans la zone de recherche en haut du portail, entrez Protection DDoS. Sélectionnez Plan de protection DDoS dans les résultats de la recherche, puis + Créer.

  3. Sous l’onglet Informations de base de la page Créer un plan de protection DDoS, entrez ou sélectionnez les informations suivantes :

    Capture d’écran de la création d’un plan de protection DDoS.

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement Azure.
    Resource group Sélectionnez Créer nouveau.
    Entrez TutorLoadBalancer-rg.
    Sélectionnez OK.
    Détails de l’instance
    Nom Entrez myDDoSProtectionPlan.
    Région Sélectionnez (États-Unis) USA Est.
  4. Sélectionnez Vérifier + créer, puis créer pour déployer le plan de protection DDoS.

Créer un réseau virtuel

Dans cette section, vous créez un réseau virtuel, un sous-réseau, un hôte Azure Bastion et associez le plan de protection DDoS. Le réseau virtuel et le sous-réseau contiennent l’équilibreur de charge et les machines virtuelles. L’hôte bastion est utilisé pour gérer en toute sécurité les machines virtuelles et installer IIS pour tester l’équilibreur de charge. Le plan de protection DDoS protège toutes les ressources IP publiques dans le réseau virtuel.

Important

Le tarif horaire commence à partir du moment où Bastion est déployé, quelle que soit l’utilisation des données sortantes. Pour plus d’informations, consultez Tarifications et Références SKU. Si vous déployez Bastion dans le cadre d’un tutoriel ou d’un test, nous vous recommandons de supprimer cette ressource après l’avoir utilisée.

  1. Dans la zone de recherche située en haut du portail, entrez Réseau virtuel. Dans les résultats de la recherche, sélectionnez Réseaux virtuels.

  2. Dans Réseaux virtuels, sélectionnez + Créer.

  3. Dans Créer un réseau virtuel, entrez ou sélectionnez les informations suivantes sous l’onglet Concept de base :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement Azure.
    Groupe de ressources Sélectionnez TutorLoadBalancer-rg
    Détails de l’instance
    Nom Entrez myVNet
    Région Sélectionnez USA Est.
  4. Sélectionnez l’onglet Adresses IP, ou sélectionnez Suivant : Adresses IP au bas de la page.

  5. Sous l’onglet Adresses IP, entrez les informations suivantes :

    Paramètre Valeur
    Espace d’adressage IPv4 Entrez 10.1.0.0/16
  6. Sous Nom de sous-réseau, sélectionnez le mot par défaut. Si aucun sous-réseau n’est présent, sélectionnez + Ajouter un sous-réseau.

  7. Dans Modifier le sous-réseau, entrez les informations suivantes :

    Paramètre Valeur
    Nom du sous-réseau Entrez myBackendSubnet
    Plage d’adresses de sous-réseau Entrez 10.1.0.0/24
  8. Sélectionnez Enregistrer ou Ajouter.

  9. Sélectionnez l'onglet Sécurité .

  10. Sous BastionHost, sélectionnez Activer. Entrez les informations suivantes :

    Paramètre Valeur
    Nom du bastion Entrez myBastionHost
    Espace d’adressage AzureBastionSubnet Entrez 10.1.1.0/26
    Adresse IP publique Sélectionnez Créer nouveau.
    Pour Nom, entrez myBastionIP.
    Sélectionnez OK.
  11. Sous DDoS Network Protection, sélectionnez Activer. Ensuite, dans le menu déroulant, sélectionnez myDDoSProtectionPlan.

    Capture d’écran de l’activation de DDoS pendant la création d’un réseau virtuel.

  12. Sélectionnez l’onglet Vérifier + créer, ou sélectionnez le bouton Vérifier + créer.

  13. Sélectionnez Create (Créer).

    Notes

    Le réseau virtuel et le sous-réseau sont créés immédiatement. La création de l’hôte bastion est soumise en tant que tâche et se termine dans les 10 minutes. Vous pouvez passer aux étapes suivantes pendant la création de l’hôte bastion.

Créer un équilibreur de charge

Dans cette section, vous créez un équilibreur de charge redondant dans une zone qui équilibre la charge des machines virtuelles. Avec la redondance dans une zone, une ou plusieurs zones de disponibilité peuvent échouer sans empêcher le chemin de données de survivre tant qu’une zone de la région reste intègre.

Lors de la création de l’équilibreur de charge, vous allez configurer les éléments suivants :

  • Adresse IP du serveur frontal
  • Pool de back-ends
  • Règles d’équilibrage des charges entrantes
  • Sonde d’intégrité
  1. Dans la zone de recherche située en haut du portail, entrez Équilibreur de charge. Sélectionnez Équilibreurs de charge dans les résultats de la recherche.

  2. Dans la page Équilibreur de charge, sélectionnez + Créer.

  3. Dans l’onglet De base de la page Créer un équilibreur de charge, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Groupe de ressources Sélectionnez TutorLoadBalancer-rg.
    Détails de l’instance
    Nom Entrez myLoadBalancer
    Région Sélectionnez USA Est.
    SKU Conservez la valeur par défaut Standard.
    Type Sélectionnez Public.
    Niveau Conservez la valeur par défaut Régional.

    Capture d’écran de l’onglet Créer des informations de base de l’équilibreur de charge standard.

  4. Sélectionnez Suivant : configuration de l’adresse IP front-end au bas de la page.

  5. Dans Configuration de l’adresse IP front-end, sélectionnez + Ajouter une configuration d’adresse IP front-end.

  6. Entrez myFrontend dans Nom.

  7. Sélectionnez IPv4 pour Version de l’adresse IP.

  8. Sélectionnez Adresse IP pour Type IP.

    Notes

    Pour plus d’informations sur les préfixes IP, consultez Préfixe d’adresse IP publique Azure.

  9. Sélectionnez Créer nouvelle dans Adresse IP publique.

  10. Dans Ajouter une adresse IP publique, entrez myPublicIP pour Nom.

  11. Sélectionnez Zone-redondante dans la Zone de disponibilité.

    Notes

    Dans les régions avec des zones de disponibilité, vous avez la possibilité de sélectionner aucune zone (option par défaut), une zone spécifique ou redondant dans une zone. Le choix dépendra de vos exigences spécifiques en matière de défaillance de domaine. Dans les régions sans Zones de disponibilité, ce champ n’apparaît pas.
    Pour plus d’informations sur les zones de disponibilité, consultez Vue d’ensemble des zones de disponibilité.

  12. Laissez la valeur par défaut Réseau Microsoft pour Préférence de routage.

  13. Sélectionnez OK.

  14. Sélectionnez Ajouter.

  15. Sélectionnez Suivant : Pools de back-end au bas de la page.

  16. Sous l’onglet Pools de back-end, sélectionnez + Ajouter un pool de back-end.

  17. Entrez myBackendPool comme Nom dans Ajouter un pool de back-end.

  18. Sélectionnez myVNet dans Réseau virtuel.

  19. Sélectionnez Adresse IP pour la Configuration du pool de back-end.

  20. Sélectionnez Enregistrer.

  21. Sélectionnez Suivant : règles de trafic entrant au bas de la page.

  22. Sous Règle d’équilibrage de charge, dans l’onglet Règles de trafic entrant, sélectionnez + Ajouter une règle d’équilibrage de charge.

  23. Dans Ajouter une règle d’équilibrage de charge, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Nom Entrez MyHTTPRule
    Version de l’adresse IP Sélectionnez IPv4 ou IPv6 en fonction de vos besoins.
    Adresse IP du serveur frontal Sélectionnez myFrontend (à créer).
    Pool principal Sélectionnez MyBackendPool.
    Protocol Sélectionnez TCP.
    Port Entrez 80.
    Port principal Entrez 80.
    Sonde d’intégrité Sélectionnez Créer nouveau.
    Dans Nom, entrez myHealthProbe.
    Sélectionnez TCP dans Protocole.
    Laissez les autres valeurs par défaut et sélectionnez OK.
    Persistance de session Sélectionnez Aucun.
    Délai d’inactivité (minutes) Entrez ou sélectionnez 15.
    Réinitialisation du protocole TCP Sélectionnez Enabled.
    IP flottante Sélectionnez Désactivé.
    Traduction d’adresses réseau (SNAT) sources sortante Conservez la valeur par défaut (Recommandé) Utiliser des règles de trafic sortant pour fournir aux membres du pool de back-ends l’accès à Internet.
  24. Sélectionnez Ajouter.

  25. Sélectionnez le bouton bleu Vérifier + créer au bas de la page.

  26. Sélectionnez Create (Créer).

    Notes

    Dans cet exemple, nous allons créer une passerelle NAT pour fournir un accès Internet sortant. L’onglet Règles de trafic sortant dans la configuration est ignoré, car il n’est pas obligatoire avec la passerelle NAT. Pour plus d’informations sur la passerelle NAT Azure, consultez Présentation de NAT de réseau virtuel Azure ? Pour plus d’informations sur les connexions sortantes dans Azure, consultez SNAT (Traduction d’adresses réseau source) pour les connexions sortantes

Créer une passerelle NAT

Dans cette section, vous allez créer une passerelle NAT pour l’accès Internet sortant des ressources dans le réseau virtuel. Pour d’autres options pour les règles de trafic sortant, consultez Traduction d’adresses réseau (SNAT) pour les connexions sortantes.

  1. Dans la zone de recherche située en haut du portail, entrez Passerelle NAT. Sélectionnez Passerelle NAT dans les résultats de la recherche.

  2. Dans Passerelles NAT, sélectionnez + Créer.

  3. Dans Créer une passerelle NAT (traduction d’adresses réseau) , entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Groupe de ressources Sélectionnez TutorLoadBalancer-rg.
    Détails de l’instance
    Nom de la passerelle NAT Entrez myNATgateway.
    Région Sélectionnez USA Est.
    Zone de disponibilité Sélectionnez Aucun.
    Délai d’inactivité (minutes) Entrez 15.
  4. Sélectionnez l’onglet IP sortante ou Suivant : IP sortante en bas de la page.

  5. Dans IP sortante, sélectionnez Créer une adresse IP publique à côté d’Adresses IP publiques.

  6. Dans Nom, entrez myNATgatewayIP.

  7. Sélectionnez OK.

  8. Sélectionnez l’onglet Sous-réseau ou le bouton Suivant : Sous-réseau situé en bas de la page.

  9. Dans Réseau virtuel, dans l’onglet Sous-réseau, sélectionnez myVNet.

  10. Sélectionnez myBackendSubnet sous Nom du sous-réseau.

  11. Sélectionnez le bouton bleu Vérifier + créer en bas de la page, ou l’onglet Vérifier + créer.

  12. Sélectionnez Create (Créer).

Créer des machines virtuelles

Dans cette section, vous allez créer deux machines virtuelles (myVM1 et myVM2) dans deux zones différentes (Zone 1 et Zone 2).

Ces machines virtuelles sont ajoutées au pool de back-ends de l’équilibreur de charge créé auparavant.

  1. Dans la zone de recherche située en haut du portail, entrez Machine virtuelle. Sélectionnez Machines virtuelles dans les résultats de la recherche.

  2. Dans Machines virtuelles, sélectionnez + Créer>Machine virtuelle Azure.

  3. Dans Créer une machine virtuelle, entrez ou sélectionnez les valeurs suivantes sous l’onglet Fonctions base :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement Azure.
    Groupe de ressources Sélectionnez TutorLoadBalancer-rg
    Détails de l’instance
    Nom de la machine virtuelle Entrez myVM1
    Région Sélectionnez ((États-Unis) USA Est)
    Options de disponibilité Sélectionnez Zones de disponibilité
    Zone de disponibilité Sélectionnez Zone 1
    Type de sécurité Sélectionnez Standard.
    Image Sélectionnez Centre de données Windows Server 2022 : Édition Azure - Gen2
    Instance Azure Spot Conservez la valeur par défaut (case non cochée).
    Taille Choisissez la taille de la machine virtuelle ou acceptez le paramètre par défaut
    Compte administrateur
    Nom d’utilisateur Entrez un nom d’utilisateur
    Mot de passe Entrez un mot de passe
    Confirmer le mot de passe Entrez à nouveau le mot de passe
    Règles des ports d’entrée
    Aucun port d’entrée public Sélectionnez Aucun
  4. Sélectionnez l'onglet Mise en réseau ou choisissez Suivant : Disques, puis Suivant : Mise en réseau.

  5. Sous l’onglet Mise en réseau, sélectionnez ou entrez les informations suivantes :

    Paramètre Valeur
    Interface réseau
    Réseau virtuel Sélectionnez myVNet
    Subnet Sélectionnez myBackendSubnet
    Adresse IP publique Sélectionnez Aucun.
    Groupe de sécurité réseau de la carte réseau Sélectionnez Avancé
    Configurer un groupe de sécurité réseau Ignorez ce paramètre jusqu’à ce que les paramètres restants soit terminés. Terminez après Sélectionner un pool principal.
    Supprimer la carte réseau lors de la suppression de la machine virtuelle Conservez la valeur par défaut ou la case non cochée.
    Mise en réseau accélérée Conservez la case cochée, comme par défaut.
    Équilibrage de charge
    Options d’équilibrage de charge
    Options d’équilibrage de charge Sélectionnez Équilibreur de charge Azure
    Sélectionnez un équilibreur de charge Sélectionnez myLoadBalancer
    Sélectionnez un pool principal Sélectionnez myBackendPool
    Configurer un groupe de sécurité réseau Sélectionnez Créer nouveau.
    Dans Créer un groupe de sécurité réseau, entrez myNSG dans Nom.
    Sous
    , sélectionnez +Ajouter une règle de trafic entrant.
    Sous
    , sélectionnez HTTP.
    Sous
    , entrez 100.
    Dans Nom, entrez myNSGRule
    Sélectionnez Ajouter.
    Sélectionnez OK.
  6. Sélectionnez Revoir + créer.

  7. Passez en revue les paramètres, puis sélectionnez Créer.

  8. Effectuez les étapes 1 à 7 pour créer une autre machine virtuelle avec les valeurs suivantes et tous les autres paramètres identiques à ceux de myVM1 :

    Paramètre Machine virtuelle 2
    Nom myVM2
    Zone de disponibilité Zone 2
    Groupe de sécurité réseau Sélectionnez le groupe myNSG existant

Remarque

Azure fournit une adresse IP d’accès sortant par défaut pour les machines virtuelles qui n’ont pas d’adresse IP publique ou qui se trouvent dans le pool de back-ends d’un équilibreur de charge Azure de base interne. Le mécanisme d’adresse IP d’accès sortant par défaut fournit une adresse IP sortante qui n’est pas configurable.

L’adresse IP de l’accès sortant par défaut est désactivée quand l’un des événements suivants se produit :

  • Une adresse IP publique est affectée à la machine virtuelle.
  • La machine virtuelle est placée dans le pool principal d’un équilibreur de charge standard, avec ou sans règles de trafic sortant.
  • Une ressource Azure NAT Gateway est attribuée au sous-réseau de la machine virtuelle.

Les machines virtuelles que vous avez créées, au moyen de groupes de machines virtuelles identiques en mode d’orchestration flexible, n’ont pas d’accès sortant par défaut.

Pour plus d’informations sur les connexions sortantes dans Azure, consultez Accès sortant par défaut dans Azure et Utiliser SNAT (Source Network Address Translation) pour les connexions sortantes.

Installer IIS

  1. Dans la zone de recherche située en haut du portail, entrez Machine virtuelle. Sélectionnez Machines virtuelles dans les résultats de la recherche.

  2. Sélectionnez myVM1.

  3. Dans la page Vue d’ensemble, sélectionnez Se connecter, puis Bastion.

  4. Entrez le nom d’utilisateur et le mot de passe saisis pendant la création de la machine virtuelle.

  5. Sélectionnez Connecter.

  6. Sur le bureau du serveur, accédez à Démarrer>Windows PowerShell>Windows PowerShell.

  7. Dans la fenêtre PowerShell, exécutez les commandes suivantes pour :

    • Installer le serveur IIS
    • Supprimer le fichier iisstart.htm par défaut
    • Ajoutez un nouveau fichier iisstart.htm qui affiche le nom de la machine virtuelle :
     # Install IIS server role
     Install-WindowsFeature -name Web-Server -IncludeManagementTools
    
     # Remove default htm file
     Remove-Item  C:\inetpub\wwwroot\iisstart.htm
    
     # Add a new htm file that displays server name
     Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)
    
    
  8. Fermez la session Bastion avec myVM1.

  9. Répétez les étapes 1 à 8 pour installer IIS et le fichier iisstart.htm mis à jour sur myVM2.

Tester l’équilibreur de charge

  1. Dans la zone de recherche située en haut de la page, entrez IP publique. Sélectionnez Adresses IP publique dans les résultats de la recherche.

  2. Dans Adresses IP publiques, sélectionnez myPublicIP.

  3. Copiez l’élément dans Adresse IP. Collez l’IP publique dans la barre d’adresses de votre navigateur. La page de la machine virtuelle personnalisée du serveur web IIS s’affiche dans le navigateur.

    Capture d’écran du test de l’équilibreur de charge.

Nettoyer les ressources

Lorsque vous n’en avez plus besoin, supprimez le groupe de ressources, l’équilibreur de charge et toutes les ressources associées. Pour ce faire, sélectionnez le groupe de ressources TutorLoadBalancer-rg qui contient les ressources, puis sélectionnez Supprimer.

Étapes suivantes

Passez à l’article suivant pour savoir comment :