クイック スタート: Azure portal を使用して Azure DDoS のネットワーク保護を作成および構成する

  • [アーティクル]

Azure portal を使用して Azure DDoS のネットワーク保護の使用を始めます。

DDoS 保護プランでは、サブスクリプションの境界を越えて、DDoS ネットワーク保護が有効になった仮想ネットワークのセットを定義します。 組織に対して 1 つの DDoS 保護プランを構成し、1 つの Microsoft Entra テナントの下にある複数のサブスクリプションから仮想ネットワークを同じプランにリンクできます。

このクイックスタートでは、DDoS 保護プランを作成し、それを仮想ネットワークにリンクします。

Diagram of DDoS Network Protection.

前提条件

DDoS Protection プランを作成する

  1. Azure Portal の左上隅にある [リソースの作成] を選択します。

  2. DDoS という用語を検索します。 [DDoS protection plan](DDoS Protection プラン) が検索結果に表示されたら、それを選択します。

  3. [作成] を選択します

  4. 次の値を入力または選択します。

    設定
    サブスクリプション サブスクリプションを選択します。
    Resource group [新規作成] を選択し、「MyResourceGroup」と入力します。
    名前 MyDdosProtectionPlan」と入力します。
    リージョン 米国東部」と入力します。

  5. [確認および作成][作成] の順に選択します

Note

DDoS Protection Plan リソースはリージョンに関連付ける必要がありますが、ユーザーは、1 つの Microsoft Entra テナントの下で、異なるリージョンの仮想ネットワークと複数のサブスクリプションで DDoS 保護を有効にすることができます。

仮想ネットワークの DDoS 保護を有効にする

新しい仮想ネットワークに対して有効にする

  1. Azure Portal の左上隅にある [リソースの作成] を選択します。

  2. [ネットワーク] を選択してから、 [仮想ネットワーク] を選択します。

  3. [次へ] を選択し、次の値を入力または選択します。

    設定
    サブスクリプション サブスクリプションを選択します。
    Resource group [既存のものを使用][MyResourceGroup] の順に選択します。
    名前 MyVnet」と入力します。
    リージョン 米国東部」と入力します。

  4. [セキュリティ] ウィンドウで、Azure DDoS ネットワーク保護ラジオで [有効にする] を選択します。

  5. [DDoS 保護プラン] ウィンドウから "MyDdosProtectionPlan" を選択します。 選択するプランは、仮想ネットワークと同じサブスクリプションまたは異なるサブスクリプションに含めることができますが、両方のサブスクリプションを同じ Microsoft Entra テナントに関連付ける必要があります。

  6. [次へ] を選択します。 [IP アドレス] ウィンドウで、[IPv4 アドレス空間の追加] を選択し、次の値を入力します。 その後、 [追加] を選択します。

    設定
    IPv4 アドレス空間 10.1.0.0/16」を入力します。
    サブネット名 [サブネット名][サブネットの追加] リンクを選択し、「mySubnet」と入力します。
    サブネットのアドレス範囲 10.1.0.0/24」と入力します。

  7. [確認および作成][作成] の順に選択します。

    Gif of creating a virtual network with Azure DDoS Protection.

Note

仮想ネットワークに対して DDoS Protection が有効になっている場合、仮想ネットワークを別のリソース グループまたはサブスクリプションに移動することはできません。 DDoS Protection が有効になっている仮想ネットワークを移動する必要がある場合は、まず DDoS Protection を無効にし、仮想ネットワークを移動してから、DDoS Protection を有効にします。 移動後に、仮想ネットワーク内のすべての保護されたパブリック IP アドレスの自動調整されたポリシーしきい値がリセットされます。

既存の仮想ネットワークに対して有効にする

  1. 既存の DDoS Protection プランがない場合は、「DDoS Protection プランを作成する」の手順を実行して DDoS Protection プランを作成します。

  2. Azure portal の上部にある [リソース、サービス、ドキュメントの検索] ボックスに、DDoS ネットワーク保護を有効にする仮想ネットワークの名前を入力します。 仮想ネットワークの名前が検索結果に表示されたら、それを選びます。

  3. [設定] で、[DDoS 保護] を選択します。

  4. [有効化] を選択します。 [DDoS protection plan]\(DDoS Protection プラン\) で、既存の DDoS Protection プランまたは手順 1. で作成したプランを選び、[保存] を選択します。 選択するプランは、仮想ネットワークと同じサブスクリプションまたは異なるサブスクリプションに含めることができますが、両方のサブスクリプションを同じ Microsoft Entra テナントに関連付ける必要があります。

    Gif of enabling DDoS Protection for a virtual network.

既存の DDoS 保護プランに仮想ネットワークを追加する

既存の仮想ネットワークの DDoS 保護プランは、仮想ネットワークからではなく、DDoS 保護プランから有効にすることもできます。

  1. Azure portal の上部にある [リソース、サービス、ドキュメントの検索] ボックスで、"DDoS 保護プラン" を検索します。 [DDoS 保護プラン] が検索結果に表示されたら、それを選択します。

  2. 仮想ネットワークに対して有効にする目的の DDoS 保護プランを選択します。

  3. [設定][保護されたリソース] を選択します。

  4. [+追加] をクリックし、適切なサブスクリプション、リソース グループ、仮想ネットワーク名を選択します。 追加をもう一度選択します。

    Gif of adding a virtual network with Azure DDoS Protection.

Azure Firewall Manager を使用して Azure DDoS Protection プランを構成する (プレビュー)

Azure Firewall Manager は、大規模なネットワーク リソースを管理および保護するためのプラットフォームです。 Azure Firewall Manager では、仮想ネットワークを DDoS 保護プランに関連付けることができます。 現在この機能はパブリック プレビュー版で利用できます。 Azure Firewall Manager を使用した Azure DDoS Protection プランの構成に関するページを参照してください。

Screenshot showing virtual network with DDoS Protection Plan.

すべての仮想ネットワークの DDoS 保護を有効にする

この組み込みポリシーによって、DDoS ネットワーク保護が有効になっていない、定義されたスコープ内の仮想ネットワークが検出されます。 その後、このポリシーによって、Virtual Network を保護するための関連付けを作成する修復タスクがオプションとして作成されます。 組み込みポリシーの完全な一覧については、Azure DDoS ネットワーク保護に関する Azure Policy の組み込みポリシー定義に関する記事をご覧ください。

検証とテスト

まず、DDoS 保護プランの詳細を確認します。

  1. ポータルの左上にある [すべてのサービス] を選択します。
  2. [フィルター] ボックスに「DDoS」と入力します。 結果に [DDoS protection plans](DDoS Protection プラン) が表示されたら、それを選択します。
  3. 一覧から DDoS 保護プランを選択します。

MyVnet 仮想ネットワークが一覧表示されます。

保護されたリソースを表示する

[保護されたリソース] で、保護された仮想ネットワークとパブリック IP アドレスを表示したり、DDoS 保護プランに仮想ネットワークをさらに追加したりすることができます。

Screenshot showing protected resources.

仮想ネットワークに対して無効にする:

仮想ネットワークの DDoS 保護を無効にするには、次の手順に進みます。

  1. ポータルの上部にある [リソース、サービス、ドキュメントの検索] ボックスに、DDoS ネットワーク保護を無効にする仮想ネットワークの名前を入力します。 仮想ネットワークの名前が検索結果に表示されたら、それを選びます。

  2. [DDoS Network Protection] (DDoS ネットワーク保護)[無効] を選びます。

    Gif of disabling DDoS Protection within virtual network.

リソースをクリーンアップする

次のチュートリアルのためにリソースを保持しておくことができます。 不要になったら、MyResourceGroup リソース グループを削除します。 リソース グループを削除する際に、DDoS 保護プランとその関連リソースもすべて削除します。 この DDoS 保護プランを使用する予定がない場合は、不要な料金が発生しないようリソースを削除してください。

警告

この操作は、元に戻すことはできません。

  1. Azure portal で [リソース グループ] を探して選択するか、Azure portal のメニューから [リソース グループ] を選択します。

  2. フィルター処理するか下へスクロールして、MyResourceGroup リソース グループを見つけます。

  3. リソース グループを選択し、 [リソース グループの削除] を選択します。

  4. リソース グループの名前を入力して確認し、 [削除] を選択します。

Note

DDoS 保護プランを削除する場合は、最初にそのプランからすべての仮想ネットワークの関連付けを解除する必要があります。

次のステップ

Azure Monitor を使用してメトリック アラートを構成する方法については、チュートリアルに進んでください。

ポータルを使用して Azure DDoS Protection メトリック アラートを構成する