Oktatóanyag: A nyilvános terheléselosztó védelme az Azure DDoS Protection használatával
Az Azure DDoS Protection továbbfejlesztett DDoS-kockázatcsökkentési képességeket tesz lehetővé, például az adaptív hangolást, a támadásriasztási értesítéseket és a monitorozást, hogy megvédje a nyilvános terheléselosztókat a nagy léptékű DDoS-támadásoktól.
Fontos
Az Azure DDoS Protection a Network Protection termékváltozatának használatakor költségekkel jár. A túlhasználati díjak csak akkor érvényesek, ha a bérlő több mint 100 nyilvános IP-címet véd. Győződjön meg arról, hogy törli az oktatóanyagban szereplő erőforrásokat, ha a jövőben nem használja az erőforrásokat. A díjszabással kapcsolatos információkért lásd az Azure DDoS Protection díjszabását. További információ az Azure DDoS Protectionről: Mi az Az Azure DDoS Protection?
Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:
- Hozzon létre egy DDoS Protection-csomagot.
- Hozzon létre egy virtuális hálózatot, amelyen engedélyezve van a DDoS Protection és a Bastion szolgáltatás.
- Hozzon létre egy szabványos nyilvános termékváltozatú terheléselosztót előtérbeli IP-címmel, állapotmintával, háttérkonfigurációval és terheléselosztási szabvánnyal.
- Hozzon létre egy NAT-átjárót a háttérkészlet kimenő internet-hozzáféréséhez.
- Hozzon létre virtuális gépet, majd telepítse és konfigurálja az IIS-t a virtuális gépeken a porttovábbítási és terheléselosztási szabályok bemutatásához.
Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.
Előfeltételek
- Egy Azure-fiók, aktív előfizetéssel.
DDoS-védelmi terv létrehozása
Jelentkezzen be az Azure Portalra.
A portál tetején található keresőmezőbe írja be a DDoS-védelmet. Válassza ki a DDoS védelmi csomagokat a keresési eredmények között, majd válassza a + Létrehozás lehetőséget.
A DDoS védelmi terv létrehozása lap Alapismeretek lapján adja meg vagy válassza ki a következő információkat:
Beállítás Érték Projekt részletei Előfizetés Válassza ki az Azure-előfizetését. Erőforráscsoport Válassza az Új létrehozása lehetőséget.
Adja meg a TutorLoadBalancer-rg értéket.
Válassza az OK gombot.Példány részletei Név Adja meg a myDDoSProtectionPlan parancsot. Régió Válassza az USA keleti régióját. Válassza a Véleményezés + létrehozás lehetőséget, majd a Létrehozás lehetőséget a DDoS védelmi terv üzembe helyezéséhez.
A virtuális hálózat létrehozása
Ebben a szakaszban létrehoz egy virtuális hálózatot, alhálózatot, Azure Bastion-gazdagépet, és társítja a DDoS Protection-csomagot. A virtuális hálózat és az alhálózat tartalmazza a terheléselosztót és a virtuális gépeket. A megerősített gazdagép a virtuális gépek biztonságos kezelésére és az IIS telepítésére szolgál a terheléselosztó teszteléséhez. A DDoS Protection-terv a virtuális hálózat összes nyilvános IP-erőforrását védi.
Fontos
Az óránkénti díjszabás a Bastion üzembe helyezésének pillanatától kezdődik, a kimenő adathasználattól függetlenül. További információ: Díjszabás és termékváltozatok. Ha a Bastiont egy oktatóanyag vagy teszt részeként helyezi üzembe, javasoljuk, hogy a használat befejezése után törölje ezt az erőforrást.
A portál tetején található keresőmezőbe írja be a virtuális hálózatot. Válassza ki a virtuális hálózatokat a keresési eredmények között.
A virtuális hálózatokban válassza a + Létrehozás lehetőséget.
A Virtuális hálózat létrehozása lapon adja meg vagy válassza ki a következő információkat az Alapszintű beállítások lapon:
Beállítás Érték Projekt részletei Előfizetés Válassza ki az Azure-előfizetését. Erőforráscsoport Válassza a TutorLoadBalancer-rg lehetőséget Példány részletei Név Adja meg a myVNetet Régió Válassza az USA keleti régiója lehetőséget. Válassza az IP-címek lapot, vagy válassza a Tovább: IP-címek lehetőséget a lap alján.
Az IP-címek lapon adja meg az alábbi adatokat:
Beállítás Érték IPv4-címtér Adja meg a 10.1.0.0/16 értéket Az Alhálózat neve területen válassza ki az alapértelmezett szót. Ha nincs alhálózat, válassza az + Alhálózat hozzáadása lehetőséget.
A Szerkesztés alhálózatban adja meg az alábbi adatokat:
Beállítás Érték Alhálózat neve Adja meg a myBackendSubnet címet Alhálózati címtartomány Adja meg a 10.1.0.0/24-et Válassza a Mentés vagy a Hozzáadás lehetőséget.
Válassza a Biztonság lapot.
A BastionHost területen válassza az Engedélyezés lehetőséget. Adja meg az alábbi adatokat:
Beállítás Érték Bastion név Adja meg a myBastionHost értéket AzureBastionSubnet címtér Adja meg a 10.1.1.0/26 értéket Nyilvános IP-cím Válassza az Új létrehozása lehetőséget.
A Név mezőbe írja be a myBastionIP nevet.
Válassza az OK gombot.A DDoS Network Protection területen válassza az Engedélyezés lehetőséget. Ezután a legördülő menüben válassza a myDDoSProtectionPlan lehetőséget.
Válassza a Véleményezés + létrehozás lapot, vagy válassza a Véleményezés + létrehozás gombot.
Válassza a Létrehozás parancsot.
Feljegyzés
A virtuális hálózat és az alhálózat azonnal létrejön. A Bastion-gazdagép létrehozása feladatként lesz elküldve, és 10 percen belül befejeződik. A Bastion-gazdagép létrehozása közben továbbléphet a következő lépésekre.
Terheléselosztó létrehozása
Ebben a szakaszban egy zónaredundáns terheléselosztót fog létrehozni, amely a virtuális gépeket kiegyensúlyozza. A zónaredundanciával az adatok elérési útja egy vagy több zóna meghibásodása után is ép marad mindaddig, amíg a régióban legalább egy zóna megfelelően működik.
A terheléselosztó létrehozása során konfigurálja a következőt:
- Előtérbeli IP-cím
- Háttérkészlet
- Bejövő terheléselosztási szabályok
- Állapotteszt
A portál tetején található keresőmezőbe írja be a Terheléselosztót. Válassza ki a Terheléselosztókat a keresési eredmények között.
A Terheléselosztó lapon válassza a + Létrehozás lehetőséget.
A Terheléselosztó létrehozása lap Alapjai lapján adja meg vagy válassza ki a következő információkat:
Beállítás Érték Projekt részletei Előfizetés Válassza ki előfizetését. Erőforráscsoport Válassza a TutorLoadBalancer-rg lehetőséget. Példány részletei Név Adja meg a myLoadBalancert Régió Válassza az USA keleti régiója lehetőséget. Termékváltozat Hagyja meg az alapértelmezett Standard értéket. Típus Válassza a Nyilvános lehetőséget. Szint Hagyja meg az alapértelmezett regionális értéket. Válassza a Tovább: Előtérbeli IP-konfiguráció az oldal alján.
Az előtérbeli IP-konfigurációban válassza a + Előtérbeli IP-konfiguráció hozzáadása lehetőséget.
Írja be a myFrontend nevet.
Válassza az IPv4 lehetőséget az IP-verzióhoz.
Válassza ki az IP-cím típusát.
Feljegyzés
További információ az IP-előtagokról: Azure Public IP-címelőtag.
Válassza a Create new in Public IP address (Új létrehozása nyilvános IP-címben) lehetőséget.
A Nyilvános IP-cím hozzáadása mezőbe írja be a myPublicIP nevet.
Válassza a Zónaredundáns lehetőséget a Rendelkezésre állási zónában.
Feljegyzés
A rendelkezésre állási zónákkal rendelkező régiókban lehetősége van a zóna nélküli (alapértelmezett), egy adott zóna vagy zónaredundáns beállítás kiválasztására. A választás az adott tartományhibákra vonatkozó követelményektől függ. A rendelkezésre állási zónákkal nem rendelkező régiókban ez a mező nem jelenik meg.
A rendelkezésre állási zónákkal kapcsolatos további információkért tekintse meg a rendelkezésre állási zónák áttekintését.Hagyja meg a Microsoft Network alapértelmezett útválasztási beállítását.
Kattintson az OK gombra.
Válassza a Hozzáadás lehetőséget.
Válassza a Tovább elemet : Háttérkészletek az oldal alján.
A Háttérkészletek lapon válassza a + Háttérkészlet hozzáadása lehetőséget.
Írja be a myBackendPool nevet a Háttérkészlet hozzáadása mezőbe.
Válassza ki a myVNetet a virtuális hálózatban.
Válassza ki a háttérkészlet konfigurációjának IP-címét.
Válassza a Mentés lehetőséget.
Válassza a Tovább elemet : Bejövő szabályok a lap alján.
A Terheléselosztási szabály a Bejövő szabályok lapon válassza a + Terheléselosztási szabály hozzáadása lehetőséget.
A Terheléselosztási szabály hozzáadása lapon adja meg vagy válassza ki a következő adatokat:
Beállítás Érték Név Adja meg aHTTPRule-t IP-verzió Válassza ki az IPv4-et vagy az IPv6-ot a követelményektől függően. Előtérbeli IP-cím Válassza a myFrontend (Létrehozandó) lehetőséget. Háttérkészlet Válassza a myBackendPool lehetőséget. Protokoll Válassza a TCP lehetőséget. Kikötő Adja meg a 80-at. Háttérport Adja meg a 80-at. Állapotteszt Válassza az Új létrehozása lehetőséget.
A Név mezőbe írja be a myHealthProbe nevet.
Válassza ki a TCP-t a Protokollban.
Hagyja meg a többi alapértelmezett beállítást, és válassza az OK gombot.Munkamenet-állandóság Válassza a Nincs lehetőséget. Üresjárat időkorlátja (perc) Adja meg vagy válassza a 15-öt. TCP-visszaállítás Válassza az Engedélyezve lehetőséget. Nem fix IP-cím Válassza a Letiltva lehetőséget. Kimenő hálózati címfordítás (SNAT) Hagyja meg a (javasolt) alapértelmezett értéket a kimenő szabályok használatával, hogy a háttérkészlet tagjai hozzáférjenek az internethez. Válassza a Hozzáadás lehetőséget.
Válassza a kék Véleményezés + létrehozás gombot az oldal alján.
Válassza a Létrehozás parancsot.
Feljegyzés
Ebben a példában létrehozunk egy NAT-átjárót, amely kimenő internet-hozzáférést biztosít. A konfiguráció kimenő szabályainak lapja megkerülhető, mivel nem kötelező, és a NAT-átjáróhoz nincs szükség rá. További információ az Azure NAT-átjáróról: Mi az Az Azure Virtual Network NAT? Az Azure-beli kimenő kapcsolatokról további információt a kimenő kapcsolatok forráshálózati címfordításában (SNAT) talál .
NAT-átjáró létrehozása
Ebben a szakaszban egy NAT-átjárót fog létrehozni a virtuális hálózat erőforrásaihoz való kimenő internet-hozzáféréshez. A kimenő szabályok egyéb lehetőségeiért tekintse meg a kimenő kapcsolatok hálózati címfordítását (SNAT).
A portál tetején található keresőmezőbe írja be a NAT-átjárót. Válassza ki a NAT-átjárókat a keresési eredmények között.
A NAT-átjárókban válassza a + Létrehozás lehetőséget.
A Hálózati címfordítás (NAT) átjáró létrehozása területen adja meg vagy válassza ki a következő információkat:
Beállítás Érték Projekt részletei Előfizetés Válassza ki előfizetését. Erőforráscsoport Válassza a TutorLoadBalancer-rg lehetőséget. Példány részletei NAT-átjáró neve Írja be a myNATgatewayt. Régió Válassza az USA keleti régiója lehetőséget. A rendelkezésre állási zóna Válassza a Nincs lehetőséget. Üresjárat időkorlátja (perc) Adja meg a 15-öt. Válassza a Kimenő IP-címet , vagy válassza a Tovább: Kimenő IP-címet a lap alján.
Kimenő IP-cím esetén válassza a Nyilvános IP-címek melletti új nyilvános IP-cím létrehozása lehetőséget.
Írja be a myNATgatewayIP nevet.
Kattintson az OK gombra.
Válassza az Alhálózat lapot, vagy válassza a Lap alján található Tovább: Alhálózat gombot.
Az Alhálózat lap Virtuális hálózat lapján válassza a myVNet lehetőséget.
Válassza a myBackendSubnet lehetőséget az Alhálózat neve alatt.
Válassza a kék Véleményezés + létrehozás gombot az oldal alján, vagy válassza a Véleményezés + létrehozás lapot.
Válassza a Létrehozás lehetőséget.
Virtuális gépek létrehozása
Ebben a szakaszban két virtuális gépet (myVM1 és myVM2) fog létrehozni két különböző zónában (1. zóna és 2. zóna).
Ezeket a virtuális gépeket a rendszer hozzáadja a korábban létrehozott terheléselosztó háttérkészletéhez.
A portál tetején található keresőmezőbe írja be a virtuális gépet. Válassza ki a virtuális gépeket a keresési eredmények között.
A virtuális gépeken válassza az + Azure-beli virtuális gép létrehozása lehetőséget>.
A Virtuális gép létrehozása lapon adja meg vagy válassza ki a következő értékeket az Alapok lapon:
Beállítás Érték Projekt részletei Előfizetés Válassza ki az Azure-előfizetését Erőforráscsoport Válassza a TutorLoadBalancer-rg lehetőséget Példány részletei Virtuális gép neve Adja meg a myVM1 értéket Régió Válassza az (USA) USA keleti régiója lehetőséget Rendelkezésre állási beállítások Rendelkezésre állási zónák kiválasztása A rendelkezésre állási zóna Az 1. zóna kiválasztása Biztonsági típus Válassza a Standard lehetőséget. Kép Válassza a Windows Server 2022 Datacenter: Azure Edition – Gen2 lehetőséget Azure Spot-példány Hagyja bejelöletlenül az alapértelmezett értéket. Méret A virtuális gép méretének kiválasztása vagy az alapértelmezett beállítás megadása Rendszergazda istrator-fiók Felhasználónév Felhasználónév megadása Jelszó Jelszó megadása Jelszó megerősítése Jelszó újraküldése Bejövő portszabályok Nyilvános bejövő portok Válassza a Nincs lehetőséget Válassza a Hálózatkezelés lapot, vagy válassza a Tovább: Lemezek, majd a Tovább: Hálózatkezelés lehetőséget.
A Hálózatkezelés lapon válassza ki vagy adja meg a következő adatokat:
Beállítás Érték Hálózati adapter Virtuális hálózat MyVNet kiválasztása Alhálózat A myBackendSubnet kiválasztása Nyilvános IP-cím Válassza a Nincs lehetőséget. Hálózati hálózati biztonsági csoport Válassza a Speciális lehetőséget Hálózati biztonsági csoport konfigurálása Hagyja ki ezt a beállítást, amíg a többi beállítás be nem fejeződik. A háttérkészlet kiválasztása után befejeződik. Hálózati adapter törlése a virtuális gép törlésekor Hagyja meg a nem kijelölt alapértelmezett értéket. Gyorsított hálózatkezelés Hagyja meg a kijelölt alapértelmezett értéket. Terheléselosztás Terheléselosztási beállítások Terheléselosztási lehetőségek Az Azure Load Balancer kiválasztása Terheléselosztó kiválasztása MyLoadBalancer kiválasztása Háttérkészlet kiválasztása A myBackendPool kiválasztása Hálózati biztonsági csoport konfigurálása Válassza az Új létrehozása lehetőséget.
A Hálózati biztonsági csoport létrehozása csoportban adja meg a myNSG nevet.
A Bejövő szabályok csoportban válassza a +Bejövő szabály hozzáadása lehetőséget.
A Szolgáltatás területen válassza a HTTP lehetőséget.
A Prioritás csoportban adja meg a 100 értéket.
A Név mezőbe írja be a myNSGRule
select Add
Select OKVálassza az Áttekintés + létrehozás lehetőséget.
Tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget.
Az 1–7. lépésben hozzon létre egy másik virtuális gépet a következő értékekkel és az összes többi beállítással, amely megegyezik a myVM1 értékével:
Beállítás VM 2 Név myVM2 A rendelkezésre állási zóna 2. zóna Hálózati biztonsági csoport Válassza ki a meglévő myNSG-t
Feljegyzés
Az Azure alapértelmezett kimenő hozzáférési IP-címet biztosít azokhoz a virtuális gépekhez, amelyek vagy nincsenek hozzárendelve nyilvános IP-címhez, vagy egy belső alapszintű Azure-terheléselosztó háttérkészletében találhatók. Az alapértelmezett kimenő hozzáférési IP-mechanizmus olyan kimenő IP-címet biztosít, amely nem konfigurálható.
Az alapértelmezett kimenő hozzáférési IP-cím le van tiltva az alábbi események egyike esetén:
- A virtuális géphez nyilvános IP-cím van hozzárendelve.
- A virtuális gép egy standard terheléselosztó háttérkészletébe kerül kimenő szabályokkal vagy anélkül.
- Egy Azure NAT Gateway-erőforrás van hozzárendelve a virtuális gép alhálózatához.
A virtuálisgép-méretezési csoportok rugalmas vezénylési módban történő használatával létrehozott virtuális gépek nem rendelkeznek alapértelmezett kimenő hozzáféréssel.
Az Azure-beli kimenő kapcsolatokról további információt az Alapértelmezett kimenő hozzáférés az Azure-ban és a Kimenő kapcsolatok forráshálózati címfordításának (SNAT) használata című témakörben talál.
Az IIS telepítése
A portál tetején található keresőmezőbe írja be a virtuális gépet. Válassza ki a virtuális gépeket a keresési eredmények között.
Válassza ki a myVM1 elemet.
Az Áttekintés lapon válassza a Csatlakozás elemet, majd lépjen a Bastion lehetőségre.
Adja meg a virtuális gép létrehozása során megadott felhasználónevet és jelszót.
Válassza a Kapcsolódás lehetőséget.
A kiszolgáló asztalán lépjen a Windows PowerShell>Indítása>Windows PowerShellre.
A PowerShell-ablakban futtassa a következő parancsokat:
- Az IIS-kiszolgáló telepítése
- Az alapértelmezett iisstart.htm fájl eltávolítása
- Adjon hozzá egy új iisstart.htm fájlt, amely megjeleníti a virtuális gép nevét:
# Install IIS server role Install-WindowsFeature -name Web-Server -IncludeManagementTools # Remove default htm file Remove-Item C:\inetpub\wwwroot\iisstart.htm # Add a new htm file that displays server name Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)
Zárja be a Bastion-munkamenetet a myVM1 használatával.
Ismételje meg az 1–8. lépést az IIS és a frissített iisstart.htm fájl telepítéséhez a myVM2-en.
A terheléselosztó tesztelése
A lap tetején található keresőmezőbe írja be a nyilvános IP-címet. Válassza ki a nyilvános IP-címeket a keresési eredmények között.
Nyilvános IP-címeken válassza a myPublicIP lehetőséget.
Másolja az elemet az IP-címbe. Illessze be a nyilvános IP-címet a böngésző címsorába. Az IIS-webkiszolgáló egyéni virtuálisgép-lapja megjelenik a böngészőben.
Az erőforrások eltávolítása
Ha már nincs rá szükség, törölje az erőforráscsoportot, a terheléselosztót és az összes kapcsolódó erőforrást. Ehhez válassza ki az erőforrásokat tartalmazó TutorLoadBalancer-rg erőforráscsoportot, majd válassza a Törlés lehetőséget.
Következő lépések
A következő cikkből megtudhatja, hogyan: