Démarrage rapide : créer et configurer la protection réseau Azure DDoS à l’aide d’un modèle ARM

Ce guide de démarrage rapide explique comment utiliser un modèle ARM (Azure Resource Manager) pour créer un plan de protection contre les attaques par déni de service distribué (DDoS) et un réseau virtuel, puis active le plan de protection pour le réseau virtuel. Un plan de protection réseau Azure DDoS définit un ensemble de réseaux virtuels pour lesquels la protection DDoS est activée entre différents abonnements. Vous pouvez configurer un plan de protection DDoS pour votre organisation et lier des réseaux virtuels à partir de plusieurs abonnements au même plan.

Un modèle Azure Resource Manager est un fichier JSON (JavaScript Object Notation) qui définit l’infrastructure et la configuration de votre projet. Le modèle utilise la syntaxe déclarative. Vous décrivez votre déploiement prévu sans écrire la séquence de commandes de programmation pour créer le déploiement.

Si votre environnement remplit les prérequis et que vous êtes déjà familiarisé avec l’utilisation des modèles ARM, sélectionnez le bouton Déployer sur Azure. Le modèle s’ouvre dans le portail Azure.

Prérequis

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Vérifier le modèle

Le modèle utilisé dans ce démarrage rapide est tiré des modèles de démarrage rapide Azure.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "metadata": {
    "_generator": {
      "name": "bicep",
      "version": "0.5.6.12127",
      "templateHash": "14909118711877377105"
    }
  },
  "parameters": {
    "ddosProtectionPlanName": {
      "type": "string",
      "metadata": {
        "description": "Specify a DDoS protection plan name."
      }
    },
    "virtualNetworkName": {
      "type": "string",
      "metadata": {
        "description": "Specify a DDoS virtual network name."
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Specify a location for the resources."
      }
    },
    "vnetAddressPrefix": {
      "type": "string",
      "defaultValue": "172.17.0.0/16",
      "metadata": {
        "description": "Specify the virtual network address prefix"
      }
    },
    "subnetPrefix": {
      "type": "string",
      "defaultValue": "172.17.0.0/24",
      "metadata": {
        "description": "Specify the virtual network subnet prefix"
      }
    },
    "ddosProtectionPlanEnabled": {
      "type": "bool",
      "defaultValue": true,
      "metadata": {
        "description": "Enable DDoS protection plan."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Network/ddosProtectionPlans",
      "apiVersion": "2021-05-01",
      "name": "[parameters('ddosProtectionPlanName')]",
      "location": "[parameters('location')]"
    },
    {
      "type": "Microsoft.Network/virtualNetworks",
      "apiVersion": "2021-05-01",
      "name": "[parameters('virtualNetworkName')]",
      "location": "[parameters('location')]",
      "properties": {
        "addressSpace": {
          "addressPrefixes": [
            "[parameters('vnetAddressPrefix')]"
          ]
        },
        "subnets": [
          {
            "name": "default",
            "properties": {
              "addressPrefix": "[parameters('subnetPrefix')]"
            }
          }
        ],
        "enableDdosProtection": "[parameters('ddosProtectionPlanEnabled')]",
        "ddosProtectionPlan": {
          "id": "[resourceId('Microsoft.Network/ddosProtectionPlans', parameters('ddosProtectionPlanName'))]"
        }
      },
      "dependsOn": [
        "[resourceId('Microsoft.Network/ddosProtectionPlans', parameters('ddosProtectionPlanName'))]"
      ]
    }
  ]
}

Le modèle définit deux ressources :

• Microsoft.Network/ddosProtectionPlans
• Microsoft.Network/virtualNetworks

Déployer le modèle

Dans cet exemple, le modèle crée un groupe de ressources, un plan de protection DDoS et un réseau virtuel.

1. Pour vous connecter à Azure et ouvrir le modèle, sélectionnez le bouton Déployer sur Azure.

   

2. Entrez les valeurs pour créer un groupe de ressources, un plan de protection DDoS et un nom de réseau virtuel.

   

   • Abonnement: Nom de l’abonnement Azure sur lequel les ressources seront déployées.
   • Groupe de ressources : Sélectionnez ou créez un groupe de ressources.
   • Région : Région sur laquelle le groupe de ressources est déployé, par exemple USA Est.
   • Nom du plan DDoS Protection : Nom du nouveau plan de protection DDoS.
   • Nom du réseau virtuel : Crée un nom pour le nouveau réseau virtuel.
   • Emplacement : Fonction qui utilise la même région que le groupe de ressources pour le déploiement des ressources.
   • Préfixe d’adresse de réseau virtuel : Utilisez la valeur par défaut ou entrez votre adresse de réseau virtuel.
   • Préfixe de sous-réseau : Utilisez la valeur par défaut ou entrez votre sous-réseau de réseau virtuel.
   • Plan DDoS Protection activé : La valeur par défaut est true pour activer le plan de protection DDoS.

3. Sélectionnez Revoir + créer.

4. Vérifiez que la validation du modèle a réussi, puis sélectionnez Créer pour commencer le déploiement.

Vérifier les ressources déployées

Pour copier la commande Azure CLI ou Azure PowerShell, sélectionnez le bouton Copier. Le bouton Essayer a pour effet d’ouvrir Azure Cloud Shell pour exécuter la commande.

INTERFACE DE LIGNE DE COMMANDE

az network ddos-protection show \
  --resource-group MyResourceGroup \
  --name MyDdosProtectionPlan

PowerShell

Get-AzDdosProtectionPlan -ResourceGroupName 'MyResourceGroup' -Name 'MyDdosProtectionPlan'

La sortie affiche les nouvelles ressources.

INTERFACE DE LIGNE DE COMMANDE

{
  "etag": "W/\"abcdefgh-1111-2222-bbbb-987654321098\"",
  "id": "/subscriptions/b1111111-2222-3333-aaaa-012345678912/resourceGroups/MyResourceGroup/providers/Microsoft.Network/ddosProtectionPlans/MyDdosProtectionPlan",
  "location": "eastus",
  "name": "MyDdosProtectionPlan",
  "provisioningState": "Succeeded",
  "resourceGroup": "MyResourceGroup",
  "resourceGuid": null,
  "tags": null,
  "type": "Microsoft.Network/ddosProtectionPlans",
  "virtualNetworks": [
    {
      "id": "/subscriptions/b1111111-2222-3333-aaaa-012345678912/resourceGroups/MyResourceGroup/providers/Microsoft.Network/virtualNetworks/MyVNet",
      "resourceGroup": "MyResourceGroup"
    }
  ]
}

PowerShell

Name              : MyDdosProtectionPlan
Id                : /subscriptions/b1111111-2222-3333-aaaa-012345678912/resourceGroups/MyResourceGroup/providers/Microsoft.Network/ddosProtectionPlans/MyDdosProtectionPlan
Etag              : W/"abcdefgh-1111-2222-bbbb-987654321098"
ProvisioningState : Succeeded
VirtualNetworks   : [
                      {
                        "Id": "/subscriptions/b1111111-2222-3333-aaaa-012345678912/resourceGroups/MyResourceGroup/providers/Microsoft.Network/virtualNetworks/MyVNet"
                      }
                    ]

Nettoyer les ressources

Quand vous avez terminé, vous pouvez supprimer les ressources. La commande supprime le groupe de ressources et les ressources qu’il contient.

INTERFACE DE LIGNE DE COMMANDE

az group delete --name MyResourceGroup

PowerShell

Remove-AzResourceGroup -Name 'MyResourceGroup'

Étapes suivantes

Pour savoir comment consulter et configurer la télémétrie pour votre plan de protection DDoS, passez aux tutoriels.

Consulter et configurer la télémétrie de la protection DDoS