Tutoriel : Protéger votre passerelle applicative avec la Protection réseau Azure DDoS
Cet article vous permet de créer une passerelle applicative Azure avec un réseau virtuel protégé par DDoS. La Protection réseau Azure DDoS fournit des fonctionnalités d’atténuation DDoS améliorées telles que le réglage adaptatif, les notifications d’alerte d’attaque et la surveillance pour protéger vos passerelles applicatives contre les attaques DDoS à grande échelle.
Important
Azure DDoS Protection entraîne un coût quand vous utilisez la référence SKU de la Protection réseau. Les frais de dépassement s’appliquent uniquement si plus de 100 adresses IP publiques sont protégées dans le locataire. Veillez à supprimer les ressources de ce tutoriel si vous n’utilisez plus les ressources. Pour plus d’informations sur les tarifs, consultez Tarification Azure DDoS Protection. Pour plus d’informations sur la protection Azure DDoS, consultez Qu’est-ce qu’Azure DDoS Protection.
Dans ce tutoriel, vous allez apprendre à :
- Créer un plan de protection DDoS
- Créer une passerelle Application Gateway
- Associer un plan de protection DDoS au réseau virtuel
- Ajouter des machines virtuelles au back-end de la passerelle applicative
- Tester la passerelle d’application
Prérequis
Un compte Azure avec un abonnement actif est requis. Si vous n’avez pas de compte, vous pouvez en créez un gratuitement.
Créer un plan de protection DDoS
Connectez-vous au portail Azure.
Dans la zone de recherche en haut du portail, entrez Protection DDoS. Sélectionnez Plan de protection DDoS dans les résultats de la recherche, puis + Créer.
Sous l’onglet Informations de base de la page Créer un plan de protection DDoS, entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Détails du projet Abonnement Sélectionnez votre abonnement Azure. Resource group Sélectionnez Créer nouveau.
Entrez myResourceGroupAG.
Sélectionnez OK.Détails de l’instance Nom Entrez myDDoSProtectionPlan. Région Sélectionnez USA Centre. Sélectionnez Vérifier + créer, puis créer pour déployer le plan de protection DDoS.
Créer une passerelle Application Gateway
Vous allez créer la passerelle d’application à l’aide des onglets de la page Créer une passerelle d’application.
- Dans le menu du portail Azure ou dans la page Accueil, sélectionnez Créer une ressource.
- Sous Catégories, sélectionnez Mise en réseau, puis Application Gateway dans la liste des services Azure populaires.
Onglet Informations de base
Sous l’onglet Informations de base, entrez ces valeurs pour les paramètres de passerelle d’application suivants :
Groupe de ressources : sélectionnez myResourceGroupAG comme nom de groupe de ressources. Si ce groupe n’existe pas encore, sélectionnez Créer pour le créer.
Nom de passerelle d’application : entrez myAppGateway comme nom de passerelle d’application.
Azure a besoin d’un réseau virtuel pour communiquer avec les différentes ressources que vous créez. Vous pouvez créer un réseau virtuel ou en utiliser un. Dans cet exemple, vous allez créer un réseau virtuel en même temps que la passerelle d’application. Les instances Application Gateway sont créées dans des sous-réseaux séparés. Dans cet exemple, vous créez deux sous-réseaux : un pour la passerelle applicative et un autre pour les serveurs principaux.
Notes
Les stratégies de points de terminaison de service de réseau virtuel ne sont pas prises en charge dans un sous-réseau Application Gateway.
Sous Configurer le réseau virtuel, créez un réseau virtuel en sélectionnant Créer nouveau. Dans la fenêtre Créer un réseau virtuel qui s’ouvre, entrez les valeurs suivantes pour créer le réseau virtuel et deux sous-réseaux :
Name : entrez myVNet comme nom de réseau virtuel.
Nom de sous-réseau (sous-réseau Application Gateway) : la grille Sous-réseaux affiche un sous-réseau nommé par défaut. Remplacez le nom de ce sous-réseau par myAGSubnet.
Le sous-réseau de passerelle d’application peut contenir uniquement des passerelles d’application. Aucune autre ressource n’est autorisée.Nom de sous-réseau (sous-réseau de serveur principal) : Dans la deuxième ligne de la grille Sous-réseaux, entrez myBackendSubnet dans la colonne Nom de sous-réseau.
Plage d’adresses (sous-réseau de serveur principal) : Dans la deuxième ligne de la grille Sous-réseaux, entrez une plage d’adresses qui ne chevauche pas la plage d’adresses de myAGSubnet. Par exemple, si la plage d’adresses de myAGSubnet est 10.0.0.0/24, entrez 10.0.1.0/24 pour la plage d’adresses de myBackendSubnet.
Sélectionnez OK pour fermer la fenêtre Créer un réseau virtuel et enregistrez les paramètres du réseau virtuel.
Sous l’onglet Informations de base, acceptez les valeurs par défaut des autres paramètres, puis sélectionnez Suivant : Serveurs frontaux.
Onglet Frontends
Sous l’onglet Front-ends, vérifiez que Type d’adresse IP de front-end est défini sur Publique.
Vous pouvez l’adresse IP frontale pour qu’elle soit publique ou privée conformément à votre cas d’utilisation. Dans cet exemple, vous allez choisir une adresse IP front-end publique.Notes
Pour la référence SKU Application Gateway v2, il doit y avoir une configuration d’une adresse IP front-end publique. Vous pouvez toujours disposer d’une configuration d’adresse IP front-end publique et privée, mais la configuration d’adresse IP front-end uniquement privée (mode ILB uniquement) n’est pas activée pour la référence SKU v2.
Sélectionnez Ajouter nouveau pour Adresse IP publique, entrez myAGPublicIPAddress comme nom d’adresse IP publique, puis sélectionnez OK.
Sélectionnez Suivant : Back-ends.
Onglet Back-ends
Le pool de back-ends est utilisé pour router les demandes vers les serveurs back-end qui les traitent. Les pools de back-ends peuvent être composés de cartes d’interface réseau, de groupes de machines virtuelles identiques, d’adresses IP publiques, d’adresses IP internes, de noms de domaine complets (FQDN) et de back-ends multilocataires tels qu’Azure App Service. Dans cet exemple, vous allez créer un pool de back-ends vide avec votre passerelle d’application, puis ajouter des cibles de back-end au pool.
Sous l’onglet Backends, sélectionnez Ajouter un pool de back-ends.
Dans la fenêtre Ajouter un pool de back-ends qui s’ouvre, entrez les valeurs suivantes pour créer un pool de back-ends vide :
- Name : Entrez myBackendPool comme nom du pool de back-ends.
- Ajouter un pool backend sans cible : Sélectionnez Oui pour créer un pool de back-ends sans cible. Vous ajouterez des cibles de back-end après avoir créé la passerelle d’application.
Dans la fenêtre Ajouter un pool de back-ends, sélectionnez Ajouter pour enregistrer la configuration du pool de back-ends et revenir à l’onglet Back-ends.
Sous l’onglet Back-ends, sélectionnez Suivant : Configuration.
Onglet Configuration
Sous l’onglet Configuration, vous allez connecter le front-end et le pool de back-ends que vous avez créés à l’aide d’une règle de routage.
Sélectionnez Ajouter une règle de routage dans la colonne Règles de routage.
Dans la fenêtre Ajouter une règle d’acheminement qui s’ouvre, entrez les valeurs suivantes pour le nom de la règle et la priorité :
- Nom de la règle : entrez myRoutingRule comme nom de la règle.
- Priorité : la valeur de priorité doit être comprise entre 1 et 20 000 (où 1 représente la priorité la plus élevée et 20 000 représente la plus faible) — à des fins de démarrage rapide, entrez 100 pour la priorité.
Une règle de routage requiert un écouteur. Sous l’onglet Écouteur dans la fenêtre Ajouter une règle de routage, entrez les valeurs suivantes pour l’écouteur :
Nom de l’écouteur : Entrez myListener comme nom pour l’écouteur.
Adresse IP du front-end : Sélectionnez Publique pour choisir l’adresse IP publique que vous avez créée pour le front-end.
Acceptez les valeurs par défaut pour les autres paramètres sous l’onglet Écouteur, puis sélectionnez l’onglet Cibles de back-end pour configurer le reste de la règle de routage.
Sous l’onglet Cibles de back-end, sélectionnez myBackendPool pour la Cible de back-end.
Pour les Paramètres de back-end, sélectionnez Ajouter nouveau pour ajouter un paramètre de back-end. Le paramètre back-end détermine le comportement de la règle d’acheminement. Dans la fenêtre Ajouter un paramètre de back-end qui s’ouvre, entrez myBackendSetting pour Nom des paramètres de back-end et 80 pour le port back-end. Acceptez les valeurs par défaut pour les autres paramètres de la fenêtre Ajouter un paramètre de back-end, puis sélectionnez Ajouter pour revenir à la fenêtre Ajouter une règle d’acheminement.
Dans la fenêtre Ajouter une règle de routage, sélectionnez Ajouter pour enregistrer la règle de routage et revenir à l’onglet Configuration.
Sélectionnez Suivant : Balises, puis sur Suivant : Vérifier + créer.
Onglet Vérifier + créer
Examinez les paramètres sous l’onglet Vérifier + créer, puis sélectionnez Créer pour créer le réseau virtuel, l’adresse IP publique et la passerelle d’application. La création de la passerelle d’application par Azure peut prendre plusieurs minutes. Patientez jusqu’à ce que le déploiement soit terminé avant de passer à la section suivante.
Activer la protection DDos
La Protection réseau Azure DDoS est activée dans le réseau virtuel où réside la ressource que vous voulez protéger.
Dans la zone de recherche située en haut du portail, entrez Réseau virtuel. Sélectionnez Réseaux virtuels dans les résultats de la recherche.
Sélectionnez myVNet.
Sélectionnez Protection DDoS dans Paramètres.
Sélectionnez Activer.
Dans la zone déroulante du plan de protection DDoS, sélectionnez myDDoSProtectionPlan.
Sélectionnez Enregistrer.
Ajouter des cibles de back-end
Dans cet exemple, vous allez utiliser des machines virtuelles comme back-end cible. Vous pouvez utiliser des machines virtuelles existantes ou en créer de nouvelles. Vous allez créer deux machines virtuelles en tant que serveurs back-end pour la passerelle d’application.
Pour ce faire, vous allez effectuer les opérations suivantes :
- Créez deux machines virtuelles, myVM et myVM2, à utiliser comme serveurs back-end.
- Installer IIS sur les machines virtuelles pour vérifier que la passerelle d’application a bien été créée.
- Ajoutez les serveurs principaux au pool principal.
Création d'une machine virtuelle
Dans le menu du Portail Azure ou dans la page Accueil, sélectionnez Créer une ressource. La fenêtre Nouvelle apparaît.
Sélectionnez Windows Server 2016 Datacenter dans la liste Populaire. La page Créer une machine virtuelle s’affiche.
Application Gateway peut acheminer le trafic vers n’importe quel type de machine virtuelle utilisée dans son pool principal. Dans cet exemple, vous utilisez une machine virtuelle Windows Server 2016 Datacenter.Sous l’onglet De base, entrez ces valeurs pour les paramètres de machine virtuelle suivants :
- Groupe de ressources : sélectionnez myResourceGroupAG comme nom de groupe de ressources.
- Nom de la machine virtuelle : entrez myVM comme nom de machine virtuelle.
- Région : sélectionnez la région dans laquelle vous avez créé la passerelle d’application.
- Nom d’utilisateur : Tapez un nom d’utilisateur administrateur.
- Mot de passe : Tapez un mot de passe.
- Ports d’entrée publics : Aucun.
Acceptez les autres valeurs par défaut, puis sélectionnez Suivant : Disques.
Acceptez les valeurs par défaut sous l’onglet Disques, puis sélectionnez Suivant : Mise en réseau.
Sous l’onglet Mise en réseau, vérifiez que myVNet est sélectionné comme Réseau virtuel et que Sous-réseau est défini sur myBackendSubnet. Acceptez les autres valeurs par défaut, puis sélectionnez Suivant : Gestion.
Application Gateway peut communiquer avec des instances en dehors du réseau virtuel dans lequel il réside, mais vous devez vérifier qu’il existe une connectivité IP.Sous l’onglet Gestion, définissez Diagnostics de démarrage sur Désactiver. Acceptez les autres valeurs par défaut, puis sélectionnez Vérifier + créer.
Sous l’onglet Vérifier + créer, passez en revue les paramètres, corrigez les éventuelles erreurs de validation et sélectionnez Créer.
Attendez la fin de la création de la machine virtuelle avant de continuer.
Installer IIS pour les tests
Dans cet exemple, vous allez installer IIS sur les machines virtuelles pour vérifier si Azure a bien créé la passerelle d’application.
Ouvrez Azure PowerShell.
Sélectionnez Cloud Shell dans la barre de navigation supérieure du portail Azure, puis sélectionnez PowerShell dans la liste déroulante.
Exécutez la commande suivante pour installer IIS sur la machine virtuelle. Modifiez le paramètre Emplacement si nécessaire :
Set-AzVMExtension ` -ResourceGroupName myResourceGroupAG ` -ExtensionName IIS ` -VMName myVM ` -Publisher Microsoft.Compute ` -ExtensionType CustomScriptExtension ` -TypeHandlerVersion 1.4 ` -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' ` -Location EastUS
Créez une deuxième machine virtuelle et installez IIS en suivant les mêmes étapes que vous avez effectuées précédemment. Utilisez myVM2 comme nom de machine virtuelle et comme paramètre VMName de l’applet de commande Set-AzVMExtension.
Ajouter des serveurs principaux pour le pool principal
Dans le menu du portail Azure, sélectionnez Toutes les ressources ou recherchez et sélectionnez Toutes les ressources. Sélectionnez ensuite myAppGateway.
Sélectionnez Pools principaux dans le menu de gauche.
Sélectionnez MyBackendPool.
Sous Cibles de back-end, Type de cible, sélectionnez Machine virtuelle dans la liste déroulante.
Sous Cible, sélectionnez les machines virtuelles myVM et myVM2 ainsi que leurs interfaces réseau associées dans les listes déroulantes.
Sélectionnez Enregistrer.
Attendez que le déploiement se termine avant de passer à l’étape suivante.
Tester la passerelle d’application
IIS n’est pas obligatoire pour créer la passerelle d’application, mais vous l’avez installé dans ce guide de démarrage rapide pour vérifier si Azure avait bien créé la passerelle d’application.
Utilisez IIS pour tester la passerelle d’application :
Recherchez l’adresse IP publique de la passerelle d’application dans la page Vue d’ensemble correspondante. Vous pouvez également sélectionner Toutes les ressources, entrer myAGPublicIPAddress dans la zone de recherche puis la sélectionner dans les résultats de la recherche. Azure affiche l’adresse IP publique dans la page Vue d’ensemble.
Copiez l’adresse IP publique, puis collez-la dans la barre d’adresses de votre navigateur pour y accéder.
Vérifiez la réponse. Une réponse valide vérifie que la passerelle d’application a bien été créée avec succès et qu’elle est capable de se connecter au back-end.
Actualisez plusieurs fois le navigateur ; vous devriez voir les connexions à myVM et myVM2.
Nettoyer les ressources
Quand vous n’avez plus besoin des ressources que vous avez créées avec la passerelle d’application, supprimez le groupe de ressources. Quand vous supprimez le groupe de ressources, vous supprimez aussi la passerelle d’application et toutes les ressources associées.
Pour supprimer le groupe de ressources :
- Dans le menu du portail Azure, sélectionnez Groupes de ressources ou recherchez et sélectionnez Groupes de ressources.
- Dans la page Groupes de ressources, recherchez myResourceGroupAG dans la liste, puis sélectionnez ce groupe de ressources.
- Dans la page Groupe de ressources, sélectionnez Supprimer le groupe de ressources.
- Entrez myResourceGroupAG sous TAPER LE NOM DU GROUPE DE RESSOURCES, puis sélectionnez Supprimer.
Étapes suivantes
Passez à l’article suivant pour savoir comment :