Bagikan melalui

Tutorial: Melindungi gateway aplikasi Anda dengan Azure DDoS Network Protection

Artikel ini membantu Anda membuat Azure Application Gateway dengan jaringan virtual yang dilindungi DDoS. Azure DDoS Network Protection memungkinkan kemampuan mitigasi DDoS yang ditingkatkan seperti penyetelan adaptif, pemberitahuan pemberitahuan serangan, dan pemantauan untuk melindungi gateway aplikasi Anda dari serangan DDoS skala besar.

Diagram DDoS Protection yang terhubung dengan Application Gateway.

Penting

Azure DDoS Protection dikenakan biaya saat Anda menggunakan SKU Perlindungan Jaringan. Biaya kelebihan penggunaan hanya dikenakan jika lebih dari 100 IP publik dilindungi dalam tenant. Pastikan Anda menghapus sumber daya dalam tutorial ini jika Anda tidak menggunakan sumber daya di masa mendatang. Untuk informasi tentang harga, lihat Harga Azure DDoS Protection. Untuk informasi selengkapnya tentang perlindungan Azure DDoS, lihat Apa itu Azure DDoS Protection.

Dalam tutorial ini, Anda akan mempelajari cara:

  • Membuat rencana perlindungan DDoS
  • Membuat gateway aplikasi
  • Mengaitkan paket DDoS Protection ke jaringan virtual
  • Tambahkan VM ke backend gateway aplikasi
  • Uji gateway aplikasi

Prasyarat

Diperlukan akun Azure dengan langganan aktif. Jika Anda belum memiliki akun, Anda dapat membuat akun secara gratis.

Membuat rencana perlindungan DDoS

  1. Masuk ke portal Azure.

  2. Di kotak pencarian di bagian atas portal, masukkan perlindungan DDoS. Pilih paket perlindungan DDoS di hasil pencarian lalu pilih + Buat.

  3. Di tab Dasar-dasar halaman Buat paket perlindungan DDoS, masukkan atau pilih informasi berikut ini:

    Cuplikan layar tab dasar untuk membuat rencana perlindungan DDoS.

    Pengaturan Nilai
    Detail proyek
    Langganan Pilih langganan Azure Anda.
    Grup sumber daya Pilih Buat baru.
    Masukkan myResourceGroupAG.
    Pilih OK.
    Detail instance
    Nama Masukkan myDDoSProtectionPlan.
    Wilayah Pilih US Tengah.

  4. Pilih Tinjau + buat lalu pilih Buat untuk menyebarkan paket perlindungan DDoS.

Membuat gateway aplikasi

Anda akan membuat gateway aplikasi menggunakan tab di halaman Buat gateway aplikasi.

  1. Pada menu portal Microsoft Azure atau dari halaman Beranda, pilih Buat sumber daya.
  2. Di bawah Kategori, pilih Jaringan lalu pilih Application Gateway di daftar Layanan Azure Populer.

Tab Dasar

  1. Pada tab Dasar, masukkan nilai ini untuk pengaturan gateway aplikasi berikut ini:

    • Grup sumber daya: Pilih myResourceGroupAG untuk grup sumber daya. Jika tidak ada, pilih Buat baru untuk membuatnya.

    • Nama gateway aplikasi: masukkan myAppGateway untuk nama gateway aplikasi.

      Membuat gateway aplikasi baru: Dasar

  2. Agar Azure dapat berkomunikasi antara sumber daya yang Anda buat, jaringan virtual diperlukan. Buat jaringan virtual baru atau gunakan jaringan virtual yang sudah ada. Dalam contoh ini, Anda akan membuat jaringan virtual baru pada saat yang sama ketika Anda membuat gateway aplikasi. Instans Application Gateway dibuat dalam subnet terpisah. Anda membuat dua subnet dalam contoh ini: Satu untuk gateway aplikasi, dan satu lagi untuk server backend.

    Catatan

    Kebijakan titik akhir layanan jaringan virtual saat ini tidak didukung dalam subnet Application Gateway.

    Di bawah Konfigurasi jaringan virtual, buat jaringan virtual baru dengan memilih Buat baru. Di jendela Buat jaringan virtual yang terbuka, masukkan nilai berikut untuk membuat jaringan virtual dan dua subnet:

    • Nama: Masukkan myVNet untuk nama jaringan virtual.

    • Nama subnet (subnet Application Gateway): Grid Subnet akan menampilkan subnet bernama default. Ubah nama subnet ini ke myAGSubnet.
      Subnet untuk gateway aplikasi hanya dapat berisi gateway aplikasi. Tak ada sumberdaya lain yang diperbolehkan.

    • Nama subnet (subnet server backend): Di baris kedua tabel Subnets masukkan myBackendSubnet di kolom Nama subnet.

    • Rentang alamat (subnet server backend): Di baris kedua dari Subnets Grid, masukkan rentang alamat yang tidak tumpang tindih dengan rentang alamat myAGSubnet. Misalnya, jika rentang alamat myAGSubnet adalah 10.0.0.0/24, masukkan10.0.1.0/24 untuk rentang alamat myBackendSubnet.

    Pilih OK untuk menutup jendela Buat jaringan virtual dan simpan setelan jaringan maya.

    Buat gateway aplikasi baru: jaringan virtual

  3. Pada tab Basics, terima nilai default untuk pengaturan lain dan kemudian pilih Next: Frontends.

Tab Frontends

  1. Pada tab Frontend, verifikasi bahwa jenis alamat IP Frontend diatur ke Publik.
    Anda dapat mengonfigurasi IP Frontend menjadi Publik atau Privat sesuai kasus penggunaan Anda. Dalam contoh ini, Anda akan memilih IP Frontend Publik.

    Catatan

    Untuk Application Gateway v2 SKU, harus ada konfigurasi frontend IP Publik. Anda masih dapat memiliki konfigurasi IP frontend Publik dan Privat, tetapi konfigurasi IP frontend Private hanya (Mode ILB saja) saat ini tidak diaktifkan untuk SKU v2.

  2. Pilih Tambah baru untuk alamat IP Publik dan masukkan myAGPublicIPAddress untuk nama alamat IP publik, lalu pilih OK.

    Membuat gateway aplikasi baru: antarmuka depan

  3. Pilih Berikutnya: Backends.

Tab Backend

Kumpulan backend digunakan untuk merutekan permintaan ke server backend yang melayani permintaan. Kumpulan backend dapat terdiri dari NIC, Virtual Machine Scale Sets, alamat IP publik, alamat IP internal, nama domain yang sepenuhnya memenuhi syarat (FQDN), dan backend multi-penyewa seperti Azure App Service. Dalam contoh ini, Anda akan membuat kumpulan backend kosong menggunakan gateway aplikasi Anda dan kemudian menambahkan target backend ke kumpulan backend.

  1. Pada tab Backend, pilih Tambahkan kumpulan backend.

  2. Di jendela Tambah kumpulan backend yang terbuka, masukkan nilai berikut ini untuk membuat kumpulan backend kosong:

    • Nama: Masukkan myBackendPool untuk nama kumpulan backend.
    • Menambahkan kumpulan backend tanpa target: Pilih Ya untuk membuat kumpulan backend tanpa target. Anda akan menambah target backend setelah gateway aplikasi dibuat.

  3. Di jendela Tambahkan kumpulan backend, pilih Tambahkan untuk menyimpan konfigurasi kumpulan backend dan kembali ke tab Backends.

    Buat gateway aplikasi baru: backend

  4. Pada tab Backends, pilih Berikutnya: Konfigurasi.

Tab Konfigurasi

Pada tab Konfigurasi, Anda akan menyambungkan kumpulan frontend dan backend yang Anda buat menggunakan aturan perutean.

  1. Pilih Tambah aturan perutean di kolom Aturan perutean.

  2. Di jendela Tambahkan aturan perutean yang terbuka, masukkan nilai berikut untuk Nama aturan dan Prioritas:

    • Nama aturan: Masukkan myRoutingRule untuk nama aturan.
    • Prioritas: Nilai prioritas harus antara 1 dan 20000 (di mana 1 mewakili prioritas tertinggi dan 20000 mewakili yang terendah) - untuk tujuan mulai cepat ini, masukkan 100 untuk prioritas.

  3. Aturan perutean memerlukan pendengar. Pada tab Pendengar di dalam jendela Tambahkan aturan perutean, masukkan nilai berikut untuk pendengar:

    • Nama listener: Masukkan myListener untuk nama listener.

    • IP Frontend: Pilih Publik untuk memilih IP publik yang Anda buat untuk frontend.

      Terima nilai default untuk pengaturan lain pada tab Listener lalu pilih tab Target backend untuk mengonfigurasi aturan perutean lainnya.

    Membuat gateway aplikasi baru: listener

  4. Pada tab Target backend, pilih myBackendPool untuk sasaran backend.

  5. Untuk pengaturan Backend, pilih Tambahkan baru untuk menambahkan pengaturan Backend baru. Pengaturan backend akan menentukan perilaku aturan perutean. Di jendela Tambahkan pengaturan Backend yang terbuka, masukkan myBackendSetting untuk nama pengaturan Backend dan 80 untuk port Backend. Terima nilai default untuk pengaturan lain di jendela Tambahkan Backend, lalu pilih Tambahkan untuk kembali ke jendela Tambahkan aturan perutean.

    Membuat gateway aplikasi baru: Pengaturan HTTP

  6. Pada jendela Tambahkan aturan perutean, pilih Tambahkan untuk menyimpan aturan perutean dan kembali ke tab konfigurasi.

    Buat gateway aplikasi yang baru: aturan routing

  7. Pilih Berikutnya: Tag lalu Berikutnya: Tinjau + buat.

Tinjau + buat tab

Tinjau pengaturan pada tab Tinjau + buat, lalu pilih Buat untuk membuat jaringan virtual, alamat IP publik, dan gateway aplikasi. Azure memerlukan waktu beberapa menit untuk membuat gateway aplikasi. Tunggu hingga penyebaran berhasil selesai sebelum melanjutkan ke bagian berikutnya.

Mengaktifkan perlindungan DDoS

Azure DDoS Network Protection diaktifkan di jaringan virtual tempat sumber daya yang ingin Anda lindungi berada.

  1. Di kotak pencarian di bagian atas portal, masukkan Jaringan virtual. Pilih Jaringan Virtual di hasil pencarian.

  2. Pilih myVNet.

  3. Pilih Perlindungan DDoS di Pengaturan.

  4. Klik Aktifkan.

  5. Dalam kotak tarik-turun dalam paket perlindungan DDoS, pilih myDDoSProtectionPlan.

    Cuplikan layar perlindungan jaringan D o S.

  6. Pilih Simpan.

Menambahkan target backend

Dalam contoh ini, Anda menggunakan komputer virtual sebagai backend target. Anda dapat menggunakan komputer virtual yang ada atau membuat yang baru. Dalam contoh ini, Anda membuat dua komputer virtual sebagai server backend untuk gateway aplikasi.

Untuk melakukannya, Anda akan:

  1. Buat dua VM baru, myVM dan myVM2, untuk digunakan sebagai server backend.
  2. Pasang IIS pada komputer virtual untuk memverifikasi bahwa gateway aplikasi berhasil dibuat.
  3. Tambahkan server backend ke pool backend.

Membuat mesin virtual

  1. Pada menu portal Microsoft Azure atau dari halaman Beranda, pilih Buat sumber daya. Jendela Baru muncul.

  2. Pilih Pusat Data Windows Server 2016 di daftar Populer. Halaman Buat komputer virtual muncul.
    Application Gateway dapat merutekan lalu lintas ke semua jenis komputer virtual yang digunakan di kumpulan backend-nya. Dalam contoh ini, Anda menggunakan komputer virtual Pusat Data Windows Server 2016.

  3. Masukkan nilai ini di tab Dasar untuk pengaturan komputer virtual berikut ini:

    • Grup sumber daya: Pilih myResourceGroupAG untuk grup sumber daya.
    • Nama komputer virtual: MasukkanmyVM untuk nama komputer virtual.
    • Wilayah: Pilih wilayah yang sama tempat Anda membuat gateway aplikasi.
    • Nama pengguna: Ketik nama untuk nama pengguna admin.
    • Kata sandi: Ketik kata sandi.
    • Port publik masuk: Tidak ada.

  4. Terima default lainnya lalu pilih Berikutnya: Disk.

  5. Terima default tab Disk dan kemudian pilih Berikutnya: Jaringan.

  6. Pada tab Jaringan, verifikasi bahwa myVNet dipilih untuk Jaringan virtual dan Subnet diatur ke myBackendSubnet. Terima default yang lainnya dan kemudian pilih Kemudian: Manajemen.
    Azure Application Gateway dapat berkomunikasi dengan instans di luar jaringan virtual tempatnya berada, tetapi Anda perlu memastikan ada konektivitas IP.

  7. Pada tab Manajemen, atur Diagnostik boot ke Nonaktifkan. Terima default lainnya lalu pilih Tinjau + Buat.

  8. Pada tab Tinjau + buat, tinjau pengaturan, perbaiki kesalahan validasi apa pun, lalu pilih Buat.

  9. Tunggu hingga pembuatan komputer virtual selesai sebelum melanjutkan.

Memasang IIS untuk pengujian

Dalam contoh ini, Anda memasang IIS pada komputer virtual untuk memverifikasi Azure berhasil membuat gateway aplikasi.

  1. Buka Azure PowerShell.

    Untuk melakukannya, pilih Cloud Shell dari bilah navigasi atas portal Microsoft Azure lalu pilih PowerShell dari daftar drop-down.

    Memasang ekstensi kustom

  2. Jalankan perintah berikut untuk memasang IIS pada komputer virtual. Ubah parameter Lokasi jika perlu:

    Set-AzVMExtension `
  -ResourceGroupName myResourceGroupAG `
  -ExtensionName IIS `
  -VMName myVM `
  -Publisher Microsoft.Compute `
  -ExtensionType CustomScriptExtension `
  -TypeHandlerVersion 1.4 `
  -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
  -Location EastUS

  3. Buat komputer virtual kedua dan pasang IIS dengan menggunakan langkah-langkah yang sebelumnya Anda selesaikan. Gunakan myVM2 untuk nama komputer virtual dan untuk pengaturan VMName cmdlet Set-AzVMExtension.

Tambahkan server backend ke kumpulan backend

  1. Pada menu portal Microsoft Azure, pilih Semua sumber daya atau cari dan pilih Semua sumber daya. Pilih myAppGateway.

  2. Pilih Backend pool dari menu kiri.

  3. Pilih myBackendPool.

  4. Di bawah target Backend, pilih jenis Target, pilih Komputer virtual dari daftar dropdown.

  5. Di bawah Target, pilih komputer virtual myVM dan myVM2 dan antarmuka jaringan terkait dari daftar dropdown.

    Tambahkan server backend

  6. Pilih Simpan.

  7. Tunggu hingga penyebaran selesai sebelum melanjutkan ke langkah berikutnya.

Uji gateway aplikasi

Meskipun IIS tidak diperlukan untuk membuat gateway aplikasi, Anda menginstalnya dalam panduan cepat ini untuk memverifikasi apakah Azure berhasil membuat gateway aplikasi.

Gunakan IIS untuk menguji gateway aplikasi:

  1. Cari alamat IP publik untuk gateway aplikasi di halaman Ringkasannya. Catat alamat IP publik gateway aplikasi Atau, Anda dapat memilih Semua sumber daya, memasukkan myAGPublicIPAddress di kotak pencarian, lalu memilihnya di hasil pencarian. Azure menampilkan alamat IP publik pada halaman Ringkasan.

  2. Salin alamat IP publik, lalu tempelkan ke bilah alamat browser Anda untuk mengakses alamat IP tersebut.

  3. Periksa responsnya. Respons yang valid memverifikasi bahwa gateway aplikasi berhasil dibuat dan berhasil tersambung dengan backend.

    Menguji gateway aplikasi

    Refresh browser beberapa kali dan Anda akan melihat koneksi ke myVM dan myVM2.

Membersihkan sumber daya

Jika Anda tidak memerlukan lagi sumber daya yang Anda buat dengan application gateway, hapus grup sumber daya tersebut. Saat Anda menghapus grup sumber daya, Anda juga menghapus gateway aplikasi dan semua sumber daya terkait.

Untuk menghapus grup sumber daya:

  1. Pada menu portal Microsoft Azure, pilih Grup sumber daya atau cari dan pilih Grup sumber daya.
  2. Pada halaman Grup sumber daya, cari myResourceGroupAG dalam daftar, lalu pilih.
  3. Pada Halaman grup sumber daya, pilih Hapus grup sumber daya.
  4. Masukkan myResourceGroupdi bawah KETIK NAMA GRUP SUMBER DAYA: dan pilih Hapus

Langkah berikutnya

Lanjutkan ke artikel berikutnya untuk mempelajari cara:

Mengonfigurasi gateway aplikasi dengan penghentian TLS menggunakan Azure portal