Szybki start: tworzenie i konfigurowanie usługi Azure DDoS Network Protection przy użyciu interfejsu wiersza polecenia platformy Azure
Rozpocznij pracę z usługą Azure DDoS Network Protection przy użyciu interfejsu wiersza polecenia platformy Azure.
Plan ochrony przed atakami DDoS definiuje zestaw sieci wirtualnych z włączoną ochroną przed atakami DDoS w ramach subskrypcji. Można skonfigurować jeden plan ochrony przed atakami DDoS dla organizacji i połączyć sieci wirtualne z wielu subskrypcji do tego samego planu.
W tym przewodniku Szybki start utworzysz plan ochrony przed atakami DDoS i połączysz go z siecią wirtualną.
Wymagania wstępne
- Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
- Zainstalowany lokalnie interfejs wiersza polecenia platformy Azure lub usługa Azure Cloud Shell
Azure Cloud Shell
Na platforma Azure hostowane jest Azure Cloud Shell, interaktywne środowisko powłoki, z którego można korzystać w przeglądarce. Do pracy z usługami platformy Azure można używać programu Bash lub PowerShell w środowisku Cloud Shell. Aby uruchomić kod w tym artykule, możesz użyć wstępnie zainstalowanych poleceń usługi Cloud Shell bez konieczności instalowania niczego w środowisku lokalnym.
Aby uruchomić środowisko Azure Cloud Shell:
| Opcja | Przykład/link |
|---|---|
| Wybierz pozycję Wypróbuj w prawym górnym rogu bloku kodu lub polecenia. Wybranie pozycji Wypróbuj nie powoduje automatycznego skopiowania kodu lub polecenia do usługi Cloud Shell. |  |
| Przejdź do witryny https://shell.azure.com lub wybierz przycisk Uruchom Cloud Shell, aby otworzyć środowisko Cloud Shell w przeglądarce. |  |
| Wybierz przycisk Cloud Shell na pasku menu w prawym górnym rogu witryny Azure Portal. |  |
Aby użyć usługi Azure Cloud Shell:
Uruchom usługę Cloud Shell.
Wybierz przycisk Kopiuj w bloku kodu (lub bloku poleceń), aby skopiować kod lub polecenie.
Wklej kod lub polecenie do sesji usługi Cloud Shell, wybierając klawisze Ctrl+Shift V w systemach Windows i Linux lub wybierając pozycję Cmd+Shift++V w systemie macOS.
Wybierz klawisz Enter, aby uruchomić kod lub polecenie.
Jeśli zdecydujesz się zainstalować interfejs wiersza polecenia i korzystać z niego lokalnie, ten przewodnik Szybki start wymaga interfejsu wiersza polecenia platformy Azure w wersji 2.0.56 lub nowszej. Aby dowiedzieć się, jaka wersja jest używana, uruchom polecenie az --version. Jeśli konieczna będzie instalacja lub uaktualnienie interfejsu, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.
Tworzenie planu usługi DDoS Protection
Na platformie Azure możesz przydzielić powiązane zasoby do grupy zasobów. Możesz użyć istniejącej grupy zasobów lub utworzyć nową.
Aby utworzyć grupę zasobów, użyj polecenia az group create. W tym przykładzie nadamy grupie zasobów nazwę MyResourceGroup i użyjemy lokalizacji Wschodnie stany USA :
az group create \
--name MyResourceGroup \
--location eastus
Teraz utwórz plan ochrony przed atakami DDoS o nazwie MyDdosProtectionPlan:
az network ddos-protection create \
--resource-group MyResourceGroup \
--name MyDdosProtectionPlan
Włączanie ochrony przed atakami DDoS dla sieci wirtualnej
Włączanie ochrony przed atakami DDoS dla nowej sieci wirtualnej
Ochronę przed atakami DDoS można włączyć podczas tworzenia sieci wirtualnej. W tym przykładzie nadamy nazwę sieci wirtualnej MyVnet:
az network vnet create \
--resource-group MyResourceGroup \
--name MyVnet \
--location eastus \
--ddos-protection-plan MyDdosProtectionPlan \
--ddos-protection true
Uwaga
Nie można przenieść sieci wirtualnej do innej grupy zasobów lub subskrypcji, gdy usługa DDoS Protection jest włączona dla sieci wirtualnej. Jeśli musisz przenieść sieć wirtualną z włączoną ochroną przed atakami DDoS, najpierw wyłącz usługę DDoS Protection, przenieś sieć wirtualną, a następnie włącz ochronę przed atakami DDoS. Po przeniesieniu zostaną zresetowane progi zasad dostrojonych automatycznie dla wszystkich chronionych publicznych adresów IP w sieci wirtualnej.
Włączanie ochrony przed atakami DDoS dla istniejącej sieci wirtualnej
Podczas tworzenia planu ochrony przed atakami DDoS można skojarzyć co najmniej jedną sieć wirtualną z planem. Aby dodać więcej niż jedną sieć wirtualną, wystarczy wyświetlić listę nazw lub identyfikatorów rozdzielonych spacjami. W tym przykładzie dodamy sieć MyVnet:
az group create \
--name MyResourceGroup \
--location eastus
az network ddos-protection create \
--resource-group MyResourceGroup \
--name MyDdosProtectionPlan
--vnets MyVnet
Alternatywnie można włączyć ochronę przed atakami DDoS dla danej sieci wirtualnej:
az network vnet update \
--resource-group MyResourceGroup \
--name MyVnet \
--ddos-protection-plan MyDdosProtectionPlan \
--ddos-protection true
Wyłączanie ochrony przed atakami DDoS dla sieci wirtualnej
Zaktualizuj daną sieć wirtualną, aby wyłączyć ochronę przed atakami DDoS:
az network vnet update \
--resource-group MyResourceGroup \
--name MyVnet \
--ddos-protection-plan MyDdosProtectionPlan \
--ddos-protection false
Zweryfikuj i przetestuj
Najpierw sprawdź szczegóły planu ochrony przed atakami DDoS:
az network ddos-protection show \
--resource-group MyResourceGroup \
--name MyDdosProtectionPlan
Sprawdź, czy polecenie zwraca prawidłowe szczegóły planu ochrony przed atakami DDoS.
Czyszczenie zasobów
Możesz zachować zasoby na potrzeby następnego samouczka. Jeśli grupa zasobów MyResourceGroup nie jest już potrzebna, usuń grupę zasobów MyResourceGroup . Usunięcie grupy zasobów spowoduje również usunięcie planu ochrony przed atakami DDoS i wszystkich powiązanych z nią zasobów.
Aby usunąć grupę zasobów, użyj polecenia az group delete:
az group delete \
--name MyResourceGroup
Uwaga
Jeśli chcesz usunąć plan ochrony przed atakami DDoS, musisz najpierw usunąć z niego skojarzenie wszystkich sieci wirtualnych.
Następne kroki
Aby dowiedzieć się, jak wyświetlać i konfigurować dane telemetryczne dla planu ochrony przed atakami DDoS, przejdź do samouczków.