Guida introduttiva: Creare e configurare Protezione di rete DDoS di Azure usando il portale di Azure
Introduzione alla protezione di rete DDoS di Azure usando il portale di Azure.
Un piano di protezione DDoS definisce un set di reti virtuali con Protezione di rete DDoS abilitata per le sottoscrizioni. È possibile configurare un piano di protezione DDoS per l'organizzazione e collegare reti virtuali da più sottoscrizioni in un singolo tenant di Microsoft Entra allo stesso piano.
In questa guida introduttiva si crea un piano di protezione DDoS e lo si collega a una rete virtuale.
Prerequisiti
- Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
- Accedi al portale di Azure. Assicurarsi che l'account sia assegnato al ruolo collaboratore di rete o a un ruolo personalizzato a cui sono assegnate le azioni appropriate elencate nella guida pratica sulle autorizzazioni.
Creare un piano di protezione DDoS
Selezionare Crea una risorsa nell'angolo in alto a sinistra del portale di Azure.
Cercare il termine DDoS. Quando nei risultati della ricerca viene visualizzato il piano di protezione DDoS, selezionarlo.
Seleziona Crea.
Immettere o selezionare i valori seguenti.
Impostazione Valore Abbonamento Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare Crea nuovo e immettere MyResourceGroup. Name Immettere MyDdosProtectionPlan. Region Immettere Stati Uniti orientali. Selezionare Rivedi e crea e quindi Crea
Nota
Anche se le risorse del piano di protezione DDoS devono essere associate a un'area, gli utenti possono abilitare la protezione DDoS in Rete virtuale in aree diverse e in più sottoscrizioni in un singolo tenant di Microsoft Entra.
Abilitare la protezione DDoS per una rete virtuale
Abilitare per una nuova rete virtuale
Selezionare Crea una risorsa nell'angolo in alto a sinistra del portale di Azure.
Selezionare Rete e quindi Rete virtuale.
Immettere o selezionare i valori seguenti e quindi selezionare Avanti.
Impostazione Valore Abbonamento Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare Usa esistente e quindi MyResourceGroup Name Immettere MyVnet. Region Immettere Stati Uniti orientali. Nel riquadro Sicurezza selezionare Abilita nella radio Protezione di rete DDoS di Azure.
Selezionare MyDdosProtectionPlan nel riquadro del piano di protezione DDoS. Il piano selezionato può trovarsi nella stessa sottoscrizione o in una sottoscrizione diversa rispetto alla rete virtuale, ma entrambe le sottoscrizioni devono essere associate allo stesso tenant di Microsoft Entra.
Selezionare Avanti. Nel riquadro Indirizzo IP selezionare Aggiungi spazio indirizzi IPv4 e immettere i valori seguenti. Selezionare Aggiungi.
Impostazione Valore Spazio indirizzi IPv4 Immettere 10.1.0.0/16. Nome subnet In Nome subnet selezionare il collegamento Aggiungi subnet e immettere mySubnet. Intervallo di indirizzi subnet Immettere 10.1.0.0/24. Selezionare Rivedi e crea e quindi Crea.
Nota
Non è possibile spostare una rete virtuale in un altro gruppo di risorse o in un'altra sottoscrizione quando protezione DDoS è abilitata per la rete virtuale. Se è necessario spostare una rete virtuale con Protezione DDoS abilitata, disabilitare prima protezione DDoS, spostare la rete virtuale e quindi abilitare Protezione DDoS. Dopo lo spostamento, vengono reimpostate le soglie dei criteri ottimizzati automaticamente per tutti gli indirizzi IP pubblici protetti nella rete virtuale.
Abilitare per una rete virtuale esistente
Creare un piano di protezione DDoS completando i passaggi descritti in Creare un piano di protezione DDoS, se non si dispone di un piano di protezione DDoS esistente.
Immettere il nome della rete virtuale per cui si vuole abilitare Protezione di rete DDoS nella casella Cerca risorse, servizi e documentazione nella parte superiore del portale di Azure. Quando il nome della rete virtuale viene visualizzato nei risultati della ricerca, selezionarlo.
Selezionare Protezione DDoS in Impostazioni.
Seleziona Abilita. In DDoS protection plan (Piano di protezione DDoS) selezionare un piano di protezione DDoS esistente o il piano creato nel passaggio 1, quindi selezionare Salva. Il piano selezionato può trovarsi nella stessa sottoscrizione o in una sottoscrizione diversa rispetto alla rete virtuale, ma entrambe le sottoscrizioni devono essere associate allo stesso tenant di Microsoft Entra.
Aggiungere Rete virtuale a un piano di protezione DDoS esistente
È anche possibile abilitare il piano di protezione DDoS per una rete virtuale esistente dal piano di protezione DDoS, non dalla rete virtuale.
Cercare "Piani di protezione DDoS" nella casella Cerca risorse, servizi e documentazione nella parte superiore del portale di Azure. Quando i piani di protezione DDoS vengono visualizzati nei risultati della ricerca, selezionarlo.
Selezionare il piano di protezione DDoS desiderato da abilitare per la rete virtuale.
Selezionare Risorse protette in Impostazioni.
Selezionare +Aggiungi e selezionare la sottoscrizione, il gruppo di risorse e il nome della rete virtuale corretti. Selezionare nuovamente Aggiungi.
Configurare un piano di protezione DDoS di Azure usando Firewall di Azure Manager (anteprima)
Firewall di Azure Manager è una piattaforma per gestire e proteggere le risorse di rete su larga scala. È possibile associare le reti virtuali a un piano di protezione DDoS all'interno di Gestione firewall di Azure. Questa funzionalità è attualmente disponibile in anteprima pubblica. Vedere Configurare un piano di protezione DDoS di Azure con Firewall di Azure Manager.
Abilitare la protezione DDoS per tutte le reti virtuali
Questo criterio predefinito rileva le reti virtuali in un ambito definito che non dispongono di Protezione di rete DDoS abilitata. Questo criterio creerà facoltativamente un'attività di correzione che crea l'associazione per proteggere il Rete virtuale. Per un elenco completo dei criteri predefiniti, vedere Criteri di Azure definizioni predefinite per Protezione di rete DDoS di Azure.
Convalidare e testare
Prima di tutto, controllare i dettagli del piano di protezione DDoS:
- Selezionare Tutti i servizi nella parte superiore sinistra del portale.
- Immettere DDoS nella casella Filtro. Selezionare Piani di protezione DDoS quando viene visualizzato nei risultati della ricerca.
- Selezionare il piano di protezione DDoS dall'elenco.
La rete virtuale MyVnet deve essere elencata.
Visualizzare le risorse protette
In Risorse protette è possibile visualizzare le reti virtuali protette e gli indirizzi IP pubblici oppure aggiungere altre reti virtuali al piano di protezione DDoS:
Disabilitare per una rete virtuale:
Per disabilitare la protezione DDoS per una rete virtuale, procedere con la procedura seguente.
Immettere il nome della rete virtuale per cui si vuole disabilitare Protezione di rete DDoS nella casella Cerca risorse, servizi e documentazione nella parte superiore del portale. Quando il nome della rete virtuale viene visualizzato nei risultati della ricerca, selezionarlo.
In Protezione di rete DDoS selezionare Disabilita.
Pulire le risorse
È possibile mantenere le risorse per l'esercitazione successiva. Se non è più necessario, eliminare il gruppo di risorse MyResourceGroup . Quando si elimina il gruppo di risorse, si elimina anche il piano di protezione DDoS e tutte le relative risorse. Se non si intende usare questo piano di protezione DDoS, è consigliabile rimuovere le risorse per evitare addebiti non necessari.
Avviso
Questa azione è irreversibile.
Nel portale di Azure cercare e selezionare Gruppi di risorse oppure scegliere Gruppi di risorse dal menu del portale di Azure.
Filtrare o scorrere verso il basso per trovare il gruppo di risorse MyResourceGroup .
Selezionare il gruppo di risorse e quindi Elimina gruppo di risorse.
Digitare il nome del gruppo di risorse per verifica, quindi selezionare Elimina.
Nota
Se si vuole eliminare un piano di protezione DDoS, è prima necessario annullare l'dissociazione di tutte le reti virtuali.
Passaggi successivi
Per informazioni su come configurare gli avvisi delle metriche tramite Monitoraggio di Azure, continuare con le esercitazioni.