Szybki start: tworzenie i konfigurowanie usługi Azure DDoS Network Protection przy użyciu witryny Azure Portal

Rozpocznij pracę z usługą Azure DDoS Network Protection przy użyciu witryny Azure Portal.

Plan ochrony przed atakami DDoS definiuje zestaw sieci wirtualnych z włączoną ochroną przed atakami DDoS w ramach subskrypcji. Możesz skonfigurować jeden plan ochrony przed atakami DDoS dla organizacji i połączyć sieci wirtualne z wielu subskrypcji w ramach jednej dzierżawy firmy Microsoft Entra do tego samego planu.

W tym przewodniku Szybki start utworzysz plan ochrony przed atakami DDoS i połączysz go z siecią wirtualną.

Wymagania wstępne

• Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
• Zaloguj się w witrynie Azure Portal. Upewnij się, że twoje konto jest przypisane do roli współautora sieci lub do roli niestandardowej, która jest przypisana do odpowiednich akcji wymienionych w przewodniku z instrukcjami dotyczącymi uprawnień.

Tworzenie planu ochrony przed atakami DDoS

1. Wybierz pozycję Utwórz zasób w lewym górnym rogu witryny Azure Portal.

2. Wyszukaj termin DDoS. Gdy plan ochrony przed atakami DDoS pojawi się w wynikach wyszukiwania, wybierz go.

3. Wybierz pozycję Utwórz.

4. Wprowadź lub wybierz następujące wartości.

   Ustawienie	Wartość
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz pozycję Utwórz nową i wprowadź wartość MyResourceGroup.
   Nazwisko	Wprowadź wartość MyDdosProtectionPlan.
   Region (Region)	Wprowadź Wschodnie stany USA.

5. Wybierz pozycję Przejrzyj i utwórz , a następnie pozycję Utwórz

Uwaga

Mimo że zasoby planu usługi DDoS Protection muszą być skojarzone z regionem, użytkownicy mogą włączyć ochronę przed atakami DDoS w sieciach wirtualnych w różnych regionach i w wielu subskrypcjach w ramach jednej dzierżawy firmy Microsoft Entra.

Włączanie ochrony przed atakami DDoS dla sieci wirtualnej

Włączanie dla nowej sieci wirtualnej

1. Wybierz pozycję Utwórz zasób w lewym górnym rogu witryny Azure Portal.

2. Wybierz pozycję Sieć, a następnie wybierz pozycję Sieć wirtualna.

3. Wprowadź lub wybierz następujące wartości, a następnie wybierz pozycję Dalej.

   Ustawienie	Wartość
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz pozycję Użyj istniejącej, a następnie wybierz pozycję MyResourceGroup
   Nazwisko	Wprowadź wartość MyVnet.
   Region (Region)	Wprowadź Wschodnie stany USA.

4. W okienku Zabezpieczenia wybierz pozycję Włącz w radiu Azure DDoS Network Protection.

5. Wybierz pozycję MyDdosProtectionPlan w okienku plan ochrony przed atakami DDoS. Wybrany plan może znajdować się w tej samej lub innej subskrypcji niż sieć wirtualna, ale obie subskrypcje muszą być skojarzone z tą samą dzierżawą firmy Microsoft Entra.

6. Wybierz Dalej. W okienku Adres IP wybierz pozycję Dodaj przestrzeń adresową IPv4 i wprowadź następujące wartości. Następnie wybierz pozycję Dodaj.

   Ustawienie	Wartość
   Przestrzeń adresowa IPv4	Wprowadź adres 10.1.0.0/16.
   Nazwa podsieci	W obszarze Nazwa podsieci wybierz link Dodaj podsieć i wprowadź mySubnet.
   Zakres adresów podsieci	Wprowadź 10.1.0.0/24.

7. Wybierz pozycję Przejrzyj i utwórz , a następnie pozycję Utwórz.

   

Uwaga

Nie można przenieść sieci wirtualnej do innej grupy zasobów lub subskrypcji, gdy usługa DDoS Protection jest włączona dla sieci wirtualnej. Jeśli musisz przenieść sieć wirtualną z włączoną ochroną przed atakami DDoS, najpierw wyłącz usługę DDoS Protection, przenieś sieć wirtualną, a następnie włącz ochronę przed atakami DDoS. Po przeniesieniu zostaną zresetowane progi zasad dostrojonych automatycznie dla wszystkich chronionych publicznych adresów IP w sieci wirtualnej.

Włączanie dla istniejącej sieci wirtualnej

1. Utwórz plan ochrony przed atakami DDoS, wykonując kroki opisane w temacie Tworzenie planu ochrony przed atakami DDoS, jeśli nie masz istniejącego planu ochrony przed atakami DDoS.

2. Wprowadź nazwę sieci wirtualnej, dla której chcesz włączyć usługę DDoS Network Protection w polu Wyszukaj zasoby, usługi i dokumenty w górnej części witryny Azure Portal. Gdy nazwa sieci wirtualnej pojawi się w wynikach wyszukiwania, wybierz ją.

3. Wybierz pozycję Ochrona przed atakami DDoS w obszarze Ustawienia.

4. Wybierz opcję Włącz. W obszarze Plan ochrony przed atakami DDoS wybierz istniejący plan ochrony przed atakami DDoS lub plan utworzony w kroku 1, a następnie wybierz pozycję Zapisz. Wybrany plan może znajdować się w tej samej lub innej subskrypcji niż sieć wirtualna, ale obie subskrypcje muszą być skojarzone z tą samą dzierżawą firmy Microsoft Entra.

   

Dodawanie sieci wirtualnych do istniejącego planu ochrony przed atakami DDoS

Można również włączyć plan ochrony przed atakami DDoS dla istniejącej sieci wirtualnej z planu usługi DDoS Protection, a nie z sieci wirtualnej.

1. Wyszukaj ciąg "Plany ochrony przed atakami DDoS" w polu Wyszukaj zasoby, usługi i dokumenty w górnej części witryny Azure Portal. Gdy plany ochrony przed atakami DDoS są wyświetlane w wynikach wyszukiwania, wybierz je.

2. Wybierz żądany plan ochrony przed atakami DDoS, który chcesz włączyć dla sieci wirtualnej.

3. Wybierz pozycję Chronione zasoby w obszarze Ustawienia.

4. Wybierz pozycję +Dodaj i wybierz odpowiednią subskrypcję, grupę zasobów i nazwę sieci wirtualnej. Wybierz ponownie pozycję Dodaj .

   

Konfigurowanie planu usługi Azure DDoS Protection przy użyciu usługi Azure Firewall Manager (wersja zapoznawcza)

Usługa Azure Firewall Manager to platforma do zarządzania zasobami sieciowymi i ich ochrony na dużą skalę. Sieci wirtualne można skojarzyć z planem ochrony przed atakami DDoS w usłudze Azure Firewall Manager. Ta funkcja jest obecnie dostępna w publicznej wersji zapoznawczej. Zobacz Konfigurowanie planu usługi Azure DDoS Protection przy użyciu usługi Azure Firewall Manager.

Włączanie ochrony przed atakami DDoS dla wszystkich sieci wirtualnych

Te wbudowane zasady wykrywają wszystkie sieci wirtualne w zdefiniowanym zakresie, który nie ma włączonej ochrony sieci DDoS. Te zasady będą następnie opcjonalnie tworzyć zadanie korygowania, które tworzy skojarzenie w celu ochrony sieci wirtualnej. Zobacz Wbudowane definicje usługi Azure Policy dla usługi Azure DDoS Network Protection , aby uzyskać pełną listę wbudowanych zasad.

Zweryfikuj i przetestuj

Najpierw sprawdź szczegóły planu ochrony przed atakami DDoS:

1. W lewym górnym rogu portalu wybierz pozycję Wszystkie usługi.
2. Wprowadź DDoS w polu Filtr . Gdy plany ochrony przed atakami DDoS są wyświetlane w wynikach, wybierz je.
3. Wybierz plan ochrony przed atakami DDoS z listy.

Powinna zostać wyświetlona sieć wirtualna MyVnet .

Wyświetlanie chronionych zasobów

W obszarze Chronione zasoby możesz wyświetlić chronione sieci wirtualne i publiczne adresy IP lub dodać więcej sieci wirtualnych do planu ochrony przed atakami DDoS:

Wyłącz dla sieci wirtualnej:

Ochronę przed atakami DDoS można wyłączyć z sieci wirtualnej, mimo że jest ona nadal włączona w innych sieciach wirtualnych. Aby wyłączyć ochronę przed atakami DDoS dla sieci wirtualnej, wykonaj następujące kroki.

1. Wprowadź nazwę sieci wirtualnej, dla której chcesz wyłączyć ochronę sieci DDoS w polu Wyszukaj zasoby, usługi i dokumenty w górnej części portalu. Gdy nazwa sieci wirtualnej pojawi się w wynikach wyszukiwania, wybierz ją.

2. W obszarze Ochrona sieci przed atakami DDoS wybierz pozycję Wyłącz.

   

Uwaga

Wyłączenie ochrony przed atakami DDoS z sieci wirtualnej nie spowoduje jego usunięcia. Koszty ochrony przed atakami DDoS będą nadal naliczane, jeśli wyłączysz ochronę przed atakami DDoS z sieci wirtualnej bez usuwania samego planu ochrony przed atakami DDoS. Aby uniknąć niepotwierdzonych kosztów, należy w pełni usunąć zasób planu ochrony przed atakami DDoS. Zobacz Czyszczenie zasobów.

Czyszczenie zasobów

Możesz zachować zasoby na potrzeby następnego samouczka. Jeśli grupa zasobów MyResourceGroup nie jest już potrzebna, usuń grupę zasobów MyResourceGroup . Usunięcie grupy zasobów spowoduje również usunięcie planu ochrony przed atakami DDoS i wszystkich powiązanych z nią zasobów. Jeśli nie zamierzasz korzystać z tego planu ochrony przed atakami DDoS, usuń zasoby, aby uniknąć niepotrzebnych opłat.

Ostrzeżenie

Ta akcja jest nieodwracalna.

1. W witrynie Azure Portal wyszukaj i wybierz pozycję Grupy zasobów lub wybierz pozycję Grupy zasobów w menu witryny Azure Portal.

2. Filtruj lub przewiń w dół, aby znaleźć grupę zasobów MyResourceGroup .

3. Wybierz grupę zasobów, a następnie wybierz pozycję Usuń grupę zasobów.

4. Wpisz nazwę grupy zasobów, aby zweryfikować, a następnie wybierz pozycję Usuń.

Uwaga

Jeśli chcesz usunąć plan ochrony przed atakami DDoS, musisz najpierw usunąć z niego skojarzenie wszystkich sieci wirtualnych.

Następne kroki

Aby dowiedzieć się, jak skonfigurować alerty metryk za pomocą usługi Azure Monitor, przejdź do samouczków.

Konfigurowanie alertów metryk usługi Azure DDoS Protection za pośrednictwem portalu