DDoS-védelmi csomagok kezelése: engedélyek és korlátozások
A DDoS védelmi csomag régiók és előfizetések között működik. Ugyanez a csomag összekapcsolható a bérlő különböző régióinak más előfizetéseiből származó virtuális hálózatokkal. Ha a védett nyilvános IP-címek száma meghaladja a 100-t, a társított előfizetés a csomag havi számláját és túlhasználati díjait fogja terhelni. A DDoS díjszabásáról további információt a díjszabás részleteiben talál.
Előfeltételek
- Az oktatóanyag lépéseinek elvégzése előtt először létre kell hoznia egy Azure DDoS Protection-csomagot.
Permissions
A DDoS-védelmi csomagok használatához a fiókját hozzá kell rendelni a hálózati közreműködői szerepkörhöz vagy egy egyéni szerepkörhöz, amely a következő táblázatban felsorolt megfelelő műveletekhez van hozzárendelve:
| Művelet | Name |
|---|---|
| Microsoft.Network/ddosProtectionPlans/read | DDoS védelmi terv olvasása |
| Microsoft.Network/ddosProtectionPlans/write | DDoS védelmi terv létrehozása vagy frissítése |
| Microsoft.Network/ddosProtectionPlans/delete | DDoS védelmi terv törlése |
| Microsoft.Network/ddosProtectionPlans/join/action | Csatlakozás DDoS-védelmi tervhez |
A DDoS-védelem virtuális hálózatokhoz való engedélyezéséhez a fióknak a megfelelő műveleteket is hozzá kell rendelnie a virtuális hálózatokhoz.
Fontos
Miután egy DDoS Protection-terv engedélyezve lett egy virtuális hálózaton, a virtuális hálózaton végzett későbbi műveletekhez továbbra is szükség van a Microsoft.Network/ddosProtectionPlans/join/action műveleti engedélyre.
Azure Policy
A legtöbb szervezet számára nem szükséges több terv létrehozása. A csomagok nem helyezhetők át az előfizetések között. Ha módosítani szeretné az előfizetést, amelyben egy csomag található, törölnie kell a meglévő csomagot, és létre kell hoznia egy újat.
Azoknak az ügyfeleknek, akik különböző előfizetéssel rendelkeznek, és szeretnék biztosítani, hogy egyetlen csomag legyen üzembe helyezve a bérlőjükön költségszabályozás céljából, az Azure Policy használatával korlátozhatja az Azure DDoS Protection-csomagok létrehozását. Ez a szabályzat letiltja a DDoS-csomagok létrehozását, kivéve, ha az előfizetés korábban kivételként lett megjelölve. Ez a szabályzat az összes olyan előfizetés listáját is megjeleníti, amely üzembe helyezett DDoS-csomaggal rendelkezik, de nem szabad, és nem megfelelőként jelöli meg őket.