Rövid útmutató: Az Azure DDoS Network Protection létrehozása és konfigurálása az Azure Portal használatával

Az Azure DDoS Network Protection használatának első lépései az Azure Portal használatával.

A DDoS védelmi csomag olyan virtuális hálózatokat határoz meg, amelyeken engedélyezve van a DDoS Network Protection az előfizetések között. Konfigurálhat egy DDoS-védelmi csomagot a szervezet számára, és összekapcsolhatja a virtuális hálózatokat több előfizetésből, egyetlen Microsoft Entra-bérlőn belül ugyanahhoz a csomaghoz.

Ebben a rövid útmutatóban létrehoz egy DDoS védelmi tervet, és összekapcsolja azt egy virtuális hálózathoz.

Diagram of DDoS Network Protection.

Előfeltételek

DDoS-védelmi terv létrehozása

  1. Válassza az Erőforrás létrehozása lehetőséget az Azure Portal bal felső sarkában.

  2. Keresse meg a DDoS kifejezést. Amikor megjelenik a DDoS védelmi csomag a keresési eredmények között, jelölje ki.

  3. Select Create.

  4. Adja meg vagy jelölje ki a következő értékeket.

    Beállítás Value
    Előfizetés Válassza ki előfizetését.
    Erőforráscsoport Válassza az Új létrehozása lehetőséget, és írja be a MyResourceGroup parancsot.
    Név Írja be a MyDdosProtectionPlan parancsot.
    Region Adja meg az USA keleti régióját.
  5. Válassza a Véleményezés+ létrehozás, majd a Létrehozás lehetőséget

Megjegyzés:

Bár a DDoS Védelmi terv erőforrásait egy régióhoz kell társítani, a felhasználók engedélyezhetik a DDoS-védelmet a különböző régiókban lévő virtuális hálózatokon és több előfizetésben egyetlen Microsoft Entra-bérlő alatt.

DDoS-védelem engedélyezése virtuális hálózatokhoz

Új virtuális hálózat engedélyezése

  1. Válassza az Erőforrás létrehozása lehetőséget az Azure Portal bal felső sarkában.

  2. Válassza a Hálózatkezelés, majd a Virtuális hálózat elemet.

  3. Adja meg vagy jelölje ki a következő értékeket, majd válassza a Tovább gombot.

    Beállítás Value
    Előfizetés Válassza ki előfizetését.
    Erőforráscsoport Válassza a Meglévő használata, majd a MyResourceGroup lehetőséget
    Név Írja be a MyVnet parancsot.
    Region Adja meg az USA keleti régióját.
  4. A Biztonság panelen válassza az Engedélyezés lehetőséget az Azure DDoS Network Protection rádión.

  5. Válassza a MyDdosProtectionPlan lehetőséget a DDoS védelmi terv panelen. A kiválasztott csomag lehet ugyanabban az előfizetésben, vagy más, mint a virtuális hálózat, de mindkét előfizetésnek ugyanahhoz a Microsoft Entra-bérlőhöz kell tartoznia.

  6. Válassza a Következő lehetőséget. Az IP-cím panelen válassza az IPv4-címterület hozzáadása lehetőséget, és adja meg a következő értékeket. Ezután válassza a Hozzáadás elemet.

    Beállítás Value
    IPv4-címtér Adja meg a 10.1.0.0/16 értéket.
    Alhálózat neve Az Alhálózat neve csoportban válassza az Alhálózat hozzáadása hivatkozást, és írja be a mySubnet nevet.
    Alhálózati címtartomány Adja meg a 10.1.0.0/24 értéket.
  7. Válassza a Véleményezés + létrehozás , majd a Létrehozás lehetőséget.

    Gif of creating a virtual network with Azure DDoS Protection.

Megjegyzés:

Ha a DDoS Protection engedélyezve van a virtuális hálózaton, nem helyezhet át virtuális hálózatot egy másik erőforráscsoportba vagy előfizetésbe. Ha olyan virtuális hálózatot kell áthelyeznie, amelyen engedélyezve van a DDoS Protection, először tiltsa le a DDoS Protectiont, helyezze át a virtuális hálózatot, majd engedélyezze a DDoS Protectiont. Az áthelyezés után a virtuális hálózatban lévő összes védett nyilvános IP-cím automatikusan beállított szabályzatküszöbei alaphelyzetbe állnak.

Meglévő virtuális hálózat engedélyezése

  1. Ha nem rendelkezik meglévő DDoS védelmi tervvel, hozzon létre egy DDoS védelmi tervet a DDoS védelmi terv létrehozása című témakörben leírt lépések végrehajtásával.

  2. Adja meg annak a virtuális hálózatnak a nevét, amelyhez engedélyezni szeretné a DDoS Network Protection szolgáltatást az Azure Portal tetején található Keresési erőforrások, szolgáltatások és dokumentumok mezőben . Amikor megjelenik a virtuális hálózat neve a keresési eredmények között, jelölje ki.

  3. Válassza a DDoS-védelem lehetőséget a Gépház alatt.

  4. Válassza ki az Engedélyezés lehetőséget. A DDoS védelmi terv alatt válasszon ki egy meglévő DDoS védelmi tervet vagy az 1. lépésben létrehozott tervet, majd válassza a Mentés lehetőséget. A kiválasztott csomag lehet ugyanabban az előfizetésben, vagy más, mint a virtuális hálózat, de mindkét előfizetésnek ugyanahhoz a Microsoft Entra-bérlőhöz kell tartoznia.

    Gif of enabling DDoS Protection for a virtual network.

Virtuális hálózatok hozzáadása meglévő DDoS védelmi tervhez

Egy meglévő virtuális hálózat DDoS védelmi tervét a DDoS Protection-csomagból is engedélyezheti, nem pedig a virtuális hálózatból.

  1. Keressen rá a "DDoS védelmi csomagok" kifejezésre az Azure Portal tetején található Erőforrások, szolgáltatások és dokumentumok keresése mezőben . Amikor a DDoS védelmi csomagok megjelennek a keresési eredmények között, jelölje ki.

  2. Válassza ki a virtuális hálózat számára engedélyezni kívánt DDoS védelmi tervet.

  3. Válassza a Védett erőforrások lehetőséget a Gépház alatt.

  4. Válassza a +Hozzáadás lehetőséget, és válassza ki a megfelelő előfizetést, erőforráscsoportot és a virtuális hálózat nevét. Válassza ismét a Hozzáadás lehetőséget.

    Gif of adding a virtual network with Azure DDoS Protection.

Azure DDoS Protection-csomag konfigurálása az Azure Firewall Managerrel (előzetes verzió)

Az Azure Firewall Manager egy platform a hálózati erőforrások nagy léptékű kezelésére és védelmére. A virtuális hálózatokat társíthatja egy DDoS védelmi csomaggal az Azure Firewall Managerben. Ez a funkció jelenleg nyilvános előzetes verzióban érhető el. Lásd: Azure DDoS Protection-csomag konfigurálása az Azure Firewall Managerrel.

Screenshot showing virtual network with DDoS Protection Plan.

DDoS-védelem engedélyezése az összes virtuális hálózathoz

Ez a beépített szabályzat észleli azokat a virtuális hálózatokat egy meghatározott hatókörben, amelyeken nincs engedélyezve a DDoS Network Protection. Ez a szabályzat ezután opcionálisan létrehoz egy szervizelési feladatot, amely létrehozza a társítást a virtuális hálózat védelme érdekében. A beépített szabályzatok teljes listáját az Azure DDoS Network Protection beépített Azure Policy-definícióiban találja.

Ellenőrzés és tesztelés

Először ellenőrizze a DDoS védelmi csomag részleteit:

  1. Válassza a Minden szolgáltatás lehetőséget a portál bal felső részén.
  2. Írja be a DDoS kifejezést a Szűrő mezőbe. Amikor a DDoS védelmi tervek megjelennek az eredmények között, jelölje ki.
  3. Válassza ki a DDoS védelmi tervét a listából.

A MyVnet virtuális hálózatnak szerepelnie kell a listán.

Védett erőforrások megtekintése

A Védett erőforrások területen megtekintheti a védett virtuális hálózatokat és a nyilvános IP-címeket, vagy további virtuális hálózatokat vehet fel a DDoS védelmi tervbe:

Screenshot showing protected resources.

Virtuális hálózat letiltása:

A virtuális hálózatok DDoS-védelmének letiltásához kövesse az alábbi lépéseket.

  1. Adja meg annak a virtuális hálózatnak a nevét, amelyhez le szeretné tiltani a DDoS Network Protection szolgáltatást a portál tetején található Keresés erőforrások, szolgáltatások és dokumentumok mezőben . Amikor megjelenik a virtuális hálózat neve a keresési eredmények között, jelölje ki.

  2. A DDoS Network Protection területen válassza a Letiltás lehetőséget.

    Gif of disabling DDoS Protection within virtual network.

Clean up resources

A következő oktatóanyaghoz megtarthatja erőforrásait. Ha már nincs rá szükség, törölje a MyResourceGroup erőforráscsoportot. Az erőforráscsoport törlésekor a DDoS védelmi tervet és annak összes kapcsolódó erőforrását is törli. Ha nem kívánja használni ezt a DDoS védelmi tervet, távolítsa el az erőforrásokat a szükségtelen díjak elkerülése érdekében.

Figyelmeztetés

Ez a művelet visszavonhatatlan.

  1. Az Azure Portalon keresse meg és válassza ki az Erőforráscsoportokat, vagy válassza az Erőforráscsoportok lehetőséget az Azure Portal menüjében.

  2. A MyResourceGroup erőforráscsoport megkereséséhez szűrjön vagy görgessen le.

  3. Jelölje ki az erőforráscsoportot, majd válassza az Erőforráscsoport törlése lehetőséget.

  4. Írja be az ellenőrizni kívánt erőforráscsoport nevét, majd válassza a Törlés lehetőséget.

Megjegyzés:

Ha törölni szeretne egy DDoS védelmi tervet, először el kell bontania az összes virtuális hálózatot.

További lépések

Ha szeretné megtudni, hogyan konfigurálhatja a metrikariasztásokat az Azure Monitoron keresztül, folytassa az oktatóanyagokkal.