クイックスタート: Azure DDoS Protection Standard の作成と構成

Azure portal を使用して Azure DDoS Protection Standard の使用を開始します。

DDoS 保護プランでは、サブスクリプションの境界を越えて、DDoS Protection Standard が有効になった仮想ネットワークのセットを定義します。 組織で 1 つの DDoS 保護プランを構成し、1 つの AAD テナントの下にある複数のサブスクリプションから同じプランに仮想ネットワークをリンクできます。

このクイックスタートでは、DDoS 保護プランを作成し、それを仮想ネットワークにリンクします。

前提条件

DDoS Protection プランを作成する

  1. Azure Portal の左上隅にある [リソースの作成] を選択します。

  2. DDoS という用語を検索します。 [DDoS protection plan](DDoS Protection プラン) が検索結果に表示されたら、それを選択します。

  3. [作成] を選択します

  4. 次の値を入力または選択します。

    設定
    サブスクリプション サブスクリプションを選択します。
    Resource group [新規作成] を選択し、「MyResourceGroup」と入力します。
    名前 MyDdosProtectionPlan」と入力します。
    リージョン 米国東部」と入力します。
  5. [確認および作成][作成] の順に選択します

注意

DDoS Protection Plan リソースはリージョンに関連付ける必要がありますが、ユーザーは 1 つの Azure Active Directory テナント下で、さまざまなリージョンの Virtual Network に対して、また複数のサブスクリプションにわたって DDoS 保護を有効化できます。

仮想ネットワークの DDoS 保護を有効にする

新しい仮想ネットワークの DDoS 保護を有効にする

  1. Azure Portal の左上隅にある [リソースの作成] を選択します。

  2. [ネットワーク] を選択してから、 [仮想ネットワーク] を選択します。

  3. 次の値を入力または選択します。

    設定
    サブスクリプション サブスクリプションを選択します。
    Resource group [既存のものを使用][MyResourceGroup] の順に選択します。
    名前 MyVnet」と入力します。
    リージョン 米国東部」と入力します。
  4. [次へ: IP アドレス] を選択して、次の値を入力します。

    設定
    IPv4 アドレス空間 10.1.0.0/16」と入力します。
    サブネット名 [サブネット名][サブネットの追加] リンクを選択し、「mySubnet」と入力します。
    サブネットのアドレス範囲 10.1.0.0/24」と入力します。
  5. [追加] を選択します。

  6. [次へ: セキュリティ] を選択します。

  7. [DDoS Protection Standard有効にする] のオプション ボタンを選択します。

  8. [DDoS 保護プラン] ウィンドウから "MyDdosProtectionPlan" を選択します。 選択したプランは仮想ネットワークと同じサブスクリプションまたは異なるサブスクリプションのどちらにあっても構いませんが、両方のサブスクリプションが同じ Azure Active Directory テナントに関連付けられている必要があります。

  9. [確認および作成][作成] の順に選択します。

Note

仮想ネットワークに対して DDoS Standard が有効になっている場合、仮想ネットワークを別のリソース グループまたはサブスクリプションに移動することはできません。 DDoS Standard が有効になっている仮想ネットワークを移動する必要がある場合は、まず DDoS Standard を無効にし、仮想ネットワークを移動してから、DDoS Standard を有効にします。 移動後に、仮想ネットワーク内のすべての保護されたパブリック IP アドレスの自動調整されたポリシーしきい値がリセットされます。

既存の仮想ネットワークの DDoS 保護を有効にする

  1. 既存の DDoS Protection プランがない場合は、「DDoS Protection プランを作成する」の手順を実行して DDoS Protection プランを作成します。
  2. Azure portal の上部にある [リソース、サービス、ドキュメントの検索] ボックスに、DDoS Protection Standard を有効にする仮想ネットワークの名前を入力します。 仮想ネットワークの名前が検索結果に表示されたら、それを選びます。
  3. [設定] で、[DDoS 保護] を選択します。
  4. [有効化] を選択します。 [DDoS 保護プラン] で、既存の DDoS 保護プラン、または手順 1. で作成したプランを選択し、[保存] をクリックします。 選択したプランは仮想ネットワークと同じサブスクリプションまたは異なるサブスクリプションのどちらにあっても構いませんが、両方のサブスクリプションが同じ Azure Active Directory テナントに関連付けられている必要があります。

既存の仮想ネットワークの DDoS 保護プランは、仮想ネットワークからではなく、DDoS 保護プランから有効にすることもできます。

  1. Azure portal の上部にある [リソース、サービス、ドキュメントの検索] ボックスで、"DDoS 保護プラン" を検索します。 [DDoS 保護プラン] が検索結果に表示されたら、それを選択します。
  2. 仮想ネットワークに対して有効にする目的の DDoS 保護プランを選択します。
  3. [設定][保護されたリソース] を選択します。
  4. [+追加] をクリックし、適切なサブスクリプション、リソース グループ、仮想ネットワーク名を選択します。 再度、[追加] をクリックします。

Azure Firewall Manager を使用して Azure DDoS Protection プランを構成する (プレビュー)

Azure Firewall Manager は、大規模なネットワーク リソースを管理および保護するためのプラットフォームです。 Azure Firewall Manager では、仮想ネットワークを DDoS 保護プランに関連付けることができます。 現在この機能はパブリック プレビュー版で利用できます。 Azure Firewall Manager を使用した Azure DDoS Protection プランの構成に関するページを参照してください。

Screenshot showing virtual network with DDoS Protection Plan.

すべての仮想ネットワークの DDoS 保護を有効にする

この組み込みポリシーによって、DDoS Protection Standard が有効になっていない、定義されたスコープ内の仮想ネットワークが検出されます。 その後、このポリシーによって、Virtual Network を保護するための関連付けを作成する修復タスクがオプションとして作成されます。 組み込みポリシーの完全な一覧については、「Azure DDoS Protection Standard 用 Azure Policy 組み込みポリシー定義」を参照してください。

検証とテスト

まず、DDoS 保護プランの詳細を確認します。

  1. ポータルの左上にある [すべてのサービス] を選択します。
  2. [フィルター] ボックスに「DDoS」と入力します。 結果に [DDoS protection plans](DDoS Protection プラン) が表示されたら、それを選択します。
  3. 一覧から DDoS 保護プランを選択します。

MyVnet 仮想ネットワークが一覧表示されます。

保護されたリソースを表示する

[保護されたリソース] で、保護された仮想ネットワークとパブリック IP アドレスを表示したり、DDoS 保護プランに仮想ネットワークをさらに追加したりすることができます。

Screenshot showing protected resources.

リソースをクリーンアップする

次のチュートリアルのためにリソースを保持しておくことができます。 不要になったら、MyResourceGroup リソース グループを削除します。 リソース グループを削除する際に、DDoS 保護プランとその関連リソースもすべて削除します。 この DDoS 保護プランを使用する予定がない場合は、不要な料金が発生しないようリソースを削除してください。

警告

この操作は、元に戻すことはできません。

  1. Azure portal で [リソース グループ] を探して選択するか、Azure portal のメニューから [リソース グループ] を選択します。

  2. フィルター処理するか下へスクロールして、MyResourceGroup リソース グループを見つけます。

  3. リソース グループを選択し、 [リソース グループの削除] を選択します。

  4. リソース グループの名前を入力して確認し、 [削除] を選択します。

仮想ネットワークに対して DDoS 保護を無効にするには:

  1. ポータルの上部にある [Search resources, services, and docs](リソース、サービス、ドキュメントの検索) ボックスに、DDoS Protection Standard を無効にする仮想ネットワークの名前を入力します。 仮想ネットワークの名前が検索結果に表示されたら、それを選びます。
  2. [DDoS Protection Standard] で、 [無効にする] を選択します。

Note

DDoS 保護プランを削除する場合は、最初にそのプランからすべての仮想ネットワークの関連付けを解除する必要があります。

次のステップ

DDoS 保護プラン用にテレメトリを表示および構成する方法を学習するには、チュートリアルに進んでください。