Gyorsútmutató: Azure DDoS Protection-szabvány létrehozása és konfigurálása

Ismerkedés az Azure DDoS Protection Standard szolgáltatással az Azure Portal használatával.

A DDoS Protection-csomagok olyan virtuális hálózatok készletét határozzák meg, amelyeken engedélyezve van a DDoS Protection Standard az előfizetések között. Konfigurálhat egy DDoS Protection-csomagot a szervezet számára, és egyetlen AAD-bérlőn belül több előfizetésből származó virtuális hálózatokat is összekapcsolhat ugyanahhoz a csomaghoz.

Ebben a rövid útmutatóban létrehoz egy DDoS protection-tervet, és összekapcsolja azt egy virtuális hálózathoz.

Előfeltételek

DDoS-védelmi terv létrehozása

  1. Válassza az Erőforrás létrehozása lehetőséget az Azure Portal bal felső sarkában.

  2. Keressen rá a DDoS kifejezésre. Amikor a DDoS Protection-csomag megjelenik a keresési eredmények között, jelölje ki.

  3. Válassza a Létrehozás lehetőséget.

  4. Adja meg vagy válassza ki a következő értékeket.

    Beállítás Érték
    Előfizetés Válassza ki előfizetését.
    Erőforráscsoport Válassza az Új létrehozása lehetőséget , és írja be a MyResourceGroup parancsot.
    Name Írja be a MyDdosProtectionPlan parancsot.
    Region Adja meg az USA keleti régióját.
  5. Válassza a Véleményezés + létrehozás, majd a Létrehozás lehetőséget

Megjegyzés

Bár a DDoS Protection-terv erőforrásait egy régióhoz kell társítani, a felhasználók engedélyezhetik a DDoS-védelmet a különböző régiókban lévő virtuális hálózatokon és több előfizetésben, egyetlen Azure Active Directory-bérlő alatt.

DDoS-védelem engedélyezése virtuális hálózathoz

DDoS-védelem engedélyezése új virtuális hálózathoz

  1. Válassza az Erőforrás létrehozása lehetőséget az Azure Portal bal felső sarkában.

  2. Válassza a Hálózatkezelés, majd a Virtuális hálózat elemet.

  3. Adja meg vagy válassza ki a következő értékeket.

    Beállítás Érték
    Előfizetés Válassza ki előfizetését.
    Erőforráscsoport Válassza a Meglévő használata, majd a MyResourceGroup lehetőséget
    Name Írja be a MyVnet parancsot.
    Region Adja meg az USA keleti régióját.
  4. Válassza a Tovább: IP-címek lehetőséget , és adja meg a következő értékeket.

    Beállítás Érték
    IPv4-címtartomány Írja be a 10.1.0.0/16 értéket.
    Alhálózat neve Az Alhálózat neve területen válassza az Alhálózat hozzáadása hivatkozást, és írja be a mySubnet nevet.
    Alhálózati címtartomány Írja be a 10.1.0.0/24 értéket.
  5. Válassza a Hozzáadás lehetőséget.

  6. Válassza a Tovább: Biztonság .

  7. Válassza az Engedélyezés lehetőséget a DDoS Protection Standard rádión.

  8. Válassza a MyDdosProtectionPlan elemet a DDoS védelmi terv paneljén. A kiválasztott csomag lehet ugyanabban az előfizetésben vagy más előfizetésben, mint a virtuális hálózat, de mindkét előfizetést ugyanahhoz az Azure Active Directory-bérlőhöz kell társítani.

  9. Válassza a Véleményezés + létrehozás , majd a Létrehozás lehetőséget.

Megjegyzés

Nem helyezhet át virtuális hálózatot egy másik erőforráscsoportba vagy előfizetésbe, ha a DDoS Standard engedélyezve van a virtuális hálózathoz. Ha olyan virtuális hálózatot kell áthelyeznie, amelyen engedélyezve van a DDoS Standard, először tiltsa le a DDoS Standardet, helyezze át a virtuális hálózatot, majd engedélyezze a DDoS standardot. Az áthelyezés után a virtuális hálózatban lévő összes védett nyilvános IP-cím automatikusan beállított házirend-küszöbértékei alaphelyzetbe állnak.

DDoS-védelem engedélyezése meglévő virtuális hálózathoz

  1. Hozzon létre egy DDoS védelmi tervet a DDoS védelmi terv létrehozása című témakörben leírt lépések végrehajtásával, ha még nem rendelkezik DDoS védelmi tervvel.
  2. Adja meg annak a virtuális hálózatnak a nevét, amelyhez engedélyezni szeretné a DDoS Protection Standardot az Azure Portal tetején található Keresési erőforrások, szolgáltatások és dokumentumok mezőben . Amikor a virtuális hálózat neve megjelenik a keresési eredmények között, jelölje ki.
  3. Válassza a DDoS Protection lehetőséget a Beállítások területen.
  4. Válassza az Engedélyezés lehetőséget. A DDoS védelmi csomag területen válasszon ki egy meglévő DDoS védelmi tervet vagy az 1. lépésben létrehozott tervet, majd kattintson a Mentés gombra. A kiválasztott csomag lehet ugyanabban az előfizetésben vagy más előfizetésben, mint a virtuális hálózat, de mindkét előfizetést ugyanahhoz az Azure Active Directory-bérlőhöz kell társítani.

Egy meglévő virtuális hálózat DDoS Protection-tervét a DDoS Protection-csomagból is engedélyezheti, nem pedig a virtuális hálózatból.

  1. Keressen rá a "DDoS protection plans" kifejezésre az Azure Portal tetején található Keresési erőforrások, szolgáltatások és dokumentumok mezőben . Amikor a DDoS védelmi csomagok megjelennek a keresési eredmények között, jelölje ki.
  2. Válassza ki a kívánt DDoS védelmi csomagot, amelyet engedélyezni szeretne a virtuális hálózathoz.
  3. Válassza a Védett erőforrások lehetőséget a Beállítások területen.
  4. Kattintson a +Hozzáadás gombra, és válassza ki a megfelelő előfizetést, erőforráscsoportot és a virtuális hálózat nevét. Kattintson ismét a Hozzáadás gombra.

Azure DDoS Protection-csomag konfigurálása az Azure Firewall Managerrel (előzetes verzió)

Az Azure Firewall Manager egy olyan platform, amely nagy léptékben felügyeli és védi a hálózati erőforrásokat. A virtuális hálózatokat társíthatja egy DDoS-védelmi csomaggal az Azure Firewall Managerben. Ez a funkció jelenleg nyilvános előzetes verzióban érhető el. Lásd: Azure DDoS Protection-csomag konfigurálása az Azure Firewall Manager használatával.

Screenshot showing virtual network with DDoS Protection Plan.

A DDoS-védelem engedélyezése az összes virtuális hálózaton

Ez a beépített szabályzat észleli azokat a meghatározott hatókörben lévő virtuális hálózatokat, amelyeken nincs engedélyezve a DDoS Protection Standard. Ez a szabályzat ezután opcionálisan létrehoz egy szervizelési feladatot, amely létrehozza a társítást a virtuális hálózat védelméhez. A beépített szabályzatok teljes listájáért tekintse meg az Azure Policy beépített definícióit az Azure DDoS Protection Standardhoz .

Ellenőrzés és tesztelés

Először ellenőrizze a DDoS védelmi csomag részleteit:

  1. Válassza a Minden szolgáltatás lehetőséget a portál bal felső részén.
  2. Írja be a DDoS kifejezést a Szűrő mezőbe. Amikor a DDoS védelmi csomagok megjelennek az eredmények között, jelölje ki.
  3. Válassza ki a DDoS protection-csomagot a listából.

A MyVnet virtuális hálózatnak szerepelnie kell a listában.

Védett erőforrások megtekintése

A Védett erőforrások területen megtekintheti a védett virtuális hálózatokat és a nyilvános IP-címeket, vagy további virtuális hálózatokat vehet fel a DDoS védelmi csomagba:

Screenshot showing protected resources.

Az erőforrások eltávolítása

A következő oktatóanyagban megtarthatja erőforrásait. Ha már nincs rá szükség, törölje a MyResourceGroup erőforráscsoportot. Az erőforráscsoport törlésekor a DDoS Protection-tervet és annak összes kapcsolódó erőforrását is törli. Ha nem kívánja használni ezt a DDoS Protection-csomagot, távolítsa el az erőforrásokat a szükségtelen költségek elkerülése érdekében.

Figyelmeztetés

Ez a művelet nem vonható vissza.

  1. Az Azure Portalon keresse meg és válassza ki az erőforráscsoportokat, vagy válassza az Erőforráscsoportok lehetőséget az Azure Portal menüjében.

  2. A MyResourceGroup erőforráscsoport megkereséséhez szűrjön vagy görgessen le.

  3. Jelölje ki az erőforráscsoportot, majd válassza az Erőforráscsoport törlése lehetőséget.

  4. Írja be az ellenőrizni kívánt erőforráscsoport nevét, majd válassza a Törlés lehetőséget.

DDoS-védelem letiltása virtuális hálózaton:

  1. Adja meg annak a virtuális hálózatnak a nevét, amelyhez le szeretné tiltani a DDoS Protection szabványt a portál tetején található Keresés erőforrások, szolgáltatások és dokumentumok mezőben . Amikor a virtuális hálózat neve megjelenik a keresési eredmények között, jelölje ki.
  2. A DDoS Protection Standard területén válassza a Letiltás lehetőséget.

Megjegyzés

Ha törölni szeretne egy DDoS Protection-csomagot, először el kell végeznie az összes virtuális hálózat társítását.

Következő lépések

Ha meg szeretné tudni, hogyan tekintheti meg és konfigurálhatja a DDoS Protection-csomag telemetriáját, folytassa az oktatóanyagokkal.