Mengelola Paket DDoS Protection: izin dan pembatasan
Paket perlindungan DDoS berfungsi di seluruh wilayah dan langganan. Paket yang sama dapat ditautkan ke jaringan virtual dari langganan lain di berbagai wilayah, di seluruh penyewa Anda. Langganan terkait dikenakan tagihan bulanan paket dan biaya kelebihan penggunaan jika alamat IP publik yang dilindungi melebihi 100. Untuk informasi selengkapnya tentang harga DDoS, lihat detail harga.
Prasyarat
- Sebelum dapat menyelesaikan langkah-langkah dalam tutorial ini, Anda harus terlebih dahulu membuat paket Azure DDoS Protection.
Izin
Untuk melakukan tugas paket perlindungan DDoS, akun Anda harus ditetapkan ke peran kontributor jaringan atau ke peran kustom yang diberi tindakan yang sesuai yang tercantum dalam tabel berikut:
| Tindakan | Nama |
|---|---|
| Microsoft.Network/ddosProtectionPlans/read | Membaca paket perlindungan DDoS |
| Microsoft.Network/ddosProtectionPlans/write | Membuat atau memperbarui paket perlindungan DDoS |
| Microsoft.Network/ddosProtectionPlans/delete | Menghapus paket perlindungan DDoS |
| Microsoft.Network/ddosProtectionPlans/join/action | Bergabung dengan paket perlindungan DDoS |
Untuk mengaktifkan perlindungan DDoS untuk jaringan virtual, akun Anda juga harus diberi tindakan yang sesuai untuk jaringan virtual.
Penting
Setelah Rencana Azure DDOS Protection diaktifkan pada Microsoft Azure Virtual Network, operasi berikutnya pada Jaringan Virtual itu masih memerlukan Microsoft.Network/ddosProtectionPlans/join/action izin tindakan.
Kebijakan Azure
Pembuatan lebih dari satu paket tidak diperlukan untuk sebagian besar organisasi. Paket tidak dapat dipindahkan antar langganan. Jika ingin mengubah langganan yang ada paketnya, Anda harus menghapus paket yang ada dan membuat paket baru.
Untuk pelanggan yang memiliki berbagai langganan, dan yang ingin memastikan satu paket disebarkan di seluruh penyewa mereka untuk kontrol biaya, Anda dapat menggunakan Azure Policy untuk membatasi pembuatan paket Azure DDoS Protection. Kebijakan ini memblokir pembuatan paket DDoS apa pun, kecuali langganan sebelumnya telah ditandai sebagai pengecualian. Kebijakan ini juga akan menampilkan daftar semua langganan yang memiliki paket DDoS yang disebarkan tetapi tidak boleh, menandainya sebagai di luar kepatuhan.