Tutorial: proteger o balanceador de carga público com a Proteção contra DDoS do Azure
A Proteção contra DDoS do Azure permite funcionalidades avançadas de mitigação de DDoS, como ajuste adaptável, notificações de alerta de ataque e monitoramento para proteger os balanceadores de carga públicos contra ataques de DDoS em grande escala.
Importante
A Proteção contra DDoS do Azure gera um custo quando você usa o SKU da Proteção de Rede. Os encargos excedentes só se aplicam se mais de 100 IPs públicos estiverem protegidos no locatário. Exclua os recursos deste tutorial se você não for mais usá-los. Para obter informações sobre preços, confira Preços da Proteção contra DDoS do Azure. Para obter mais informações sobre a proteção contra DDoS do Azure, confira O que é a Proteção contra DDoS do Azure?.
Neste tutorial, você aprenderá como:
- Criar um plano de Proteção contra DDoS.
- Criar uma rede virtual com a Proteção contra DDoS e o serviço Bastion habilitado.
- Criar um balanceador de carga público de SKU Standard com IP de front-end, investigação de integridade, configuração de back-end e regra de balanceamento de carga.
- Crie um gateway da NAT para acesso de saída à Internet para o pool de back-end.
- Criar uma máquina virtual, instalar e configurar o IIS nas VMs para demonstrar as regras de encaminhamento de porta e de balanceamento de carga.
Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.
Pré-requisitos
- Uma conta do Azure com uma assinatura ativa.
Criar um plano de proteção contra DDoS
Entre no portal do Azure.
Na caixa de pesquisa na parte superior do portal, insira Proteção contra DDoS. Selecione Plano de Proteção contra DDoS nos resultados da pesquisa e clique em + Criar.
Na guia Informações básicas da página Criar um plano de proteção contra DDoS, insira ou selecione as seguintes informações:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura do Azure. Resource group Selecione Criar novo.
Insira TutorLoadBalancer-rg.
Selecione
.Detalhes da instância Nome Insira myDDoSProtectionPlan. Região Selecione (EUA) Leste dos EUA. Selecione Revisar + criar e, em seguida, selecione Criar para implantar o plano de Proteção contra DDoS.
Criar a rede virtual
Nesta seção, você criará uma rede virtual, uma sub-rede, um host do Azure Bastion e associará o plano de Proteção contra DDoS. A rede virtual e a sub-rede contêm o balanceador de carga e as máquinas virtuais. O bastion host é usado para gerenciar as máquinas virtuais com segurança e instalar o IIS para testar o balanceador de carga. O plano de Proteção contra DDoS protegerá todos os recursos de IP público na rede virtual.
Importante
Os preços por hora começam a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para saber mais, confira Preços e SKUs. Se você estiver implantando o Bastion como parte de um tutorial ou teste, recomendamos que você exclua esse recurso depois de terminar de usá-lo.
Na caixa de pesquisa na parte superior do portal, insira Rede virtual. Selecione Redes Virtuais nos resultados da pesquisa.
Em Redes virtuais, selecione + Criar.
Em Criar rede virtual, insira ou selecione as seguintes informações na guia Básico:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura do Azure. Grupo de recursos Selecione TutorLoadBalancer-rg Detalhes da instância Nome Insira myVNet Região Selecione Leste dos EUA Selecione a guia Endereços IP ou clique no botão Avançar: Endereços IP na parte inferior da página.
Na guia Endereços IP, insira estas informações:
Configuração Valor Espaço de endereço IPv4 Insira 10.1.0.0/16 Em Nome da sub-rede, selecione a palavra padrão. Se não houver uma sub-rede, selecione + Adicionar sub-rede.
Em Editar sub-rede, insira estas informações:
Configuração Valor Nome da sub-rede Insira myBackendSubnet Intervalo de endereços da sub-rede Insira 10.1.0.0/24 Selecione Salvar ou Adicionar.
Selecione a guia Segurança.
Em BastionHost, selecione Habilitar. Insira estas informações:
Configuração Valor Nome do bastion Insira myBastionHost Espaço de endereço da AzureBastionSubnet Insira 10.1.1.0/26 Endereço IP público Selecione Criar novo.
Para Nome, insira myBastionIP.
Selecione OK.Em Proteção de Rede contra DDoS, selecione Habilitar. Depois, no menu suspenso, selecione myDDoSProtectionPlan.
Selecione a guia Revisar + criar ou o botão Revisar + criar.
Selecione Criar.
Observação
A rede virtual e a sub-rede são criadas imediatamente. A criação do bastion host é enviada como um trabalho e é concluída em dez minutos. Você pode continuar nas próximas etapas enquanto o bastion host é criado.
Criar um balanceador de carga
Nesta seção, você criará um balanceador de carga com redundância de zona que faz o balanceamento da carga de máquinas virtuais. Com redundância de zona, uma ou mais zonas de disponibilidade podem falhar e o caminho de dados sobrevive, desde que uma zona da região permaneça íntegra.
Durante a criação do balanceador de carga, você configurará:
- Endereço IP de front-end
- Pool de back-end
- Regras do balanceamento de carga de entrada
- Investigação de integridade
Na caixa de pesquisa na parte superior do portal, insira Balanceador de carga. Selecione Balanceadores de carga nos resultados da pesquisa.
Na página Balanceador de carga, selecione + Criar.
Na guia Básico da página Criar balanceador de carga, insira ou selecione as seguintes informações:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione TutorLoadBalancer-rg. Detalhes da instância Nome Insira myLoadBalancer Região Selecione Leste dos EUA. SKU Deixe o padrão Standard. Type Selecione Público. Camada Deixe o padrão Regional. 
Selecione Avançar: Configuração de IP de front-end na parte inferior da página.
Em Configuração de IP de front-end, selecione + Adicionar uma configuração de IP de front-end.
Insira myFrontend no Nome.
Selecione IPv4 para Versão IP.
Selecione Endereço IP para o Tipo de IP.
Observação
Para obter mais informações sobre prefixos de IP, confira Prefixo de endereço IP público do Azure.
Selecione Criar em Endereço IP público.
Em Adicionar um endereço IP público, insira myPublicIP em Nome.
Selecione Com redundância de zona em Zona de disponibilidade.
Observação
Em regiões com Zonas de Disponibilidade, você tem a opção de selecionar sem zona (opção padrão), uma zona específica ou com redundância de zona. A escolha dependerá de seus requisitos específicos de falha de domínio. Em regiões sem Zonas de Disponibilidade, esse campo não será exibido.
Para obter informações sobre zonas de disponibilidade, consulte
.Mantenha o valor padrão de Rede da Microsoft em Preferência de roteamento.
Selecione OK.
Selecione Adicionar.
Escolha Avançar: Pools de back-end na parte inferior da página.
Na guia Pools de back-end, selecione + Adicionar um pool de back-end.
Insira myBackendPool como o Nome em Adicionar um pool de back-end.
Selecione myVNet em Rede virtual.
Selecione Endereço IP para Configuração do Pool de Back-end.
Selecione Salvar.
Selecione Avançar: regras de entrada na parte inferior da página.
Em Regra de balanceamento de carga, na guia Regras de entrada, selecione + Adicionar regra de balanceamento de carga.
Em Adicionar regra de balanceamento de carga, insira ou selecione as seguintes informações:
Configuração Valor Nome Insira myHTTPRule Versão IP Selecione IPv4 ou IPv6, dependendo de seus requisitos. Endereço IP de front-end Selecione myFrontend (a ser criado). Pool de back-end Selecione myBackendPool. Protocolo selecione TCP. Porta Insira 80. Porta de back-end Insira 80. Investigação de integridade Selecione Criar novo.
Em
, insira myHealthProbe.
Selecione TCP em Protocolo.
Mantenha o restante dos valores padrão e selecione
.Persistência de sessão Selecione Nenhum. Tempo limite de ociosidade (minutos) Insira ou selecione 15. Redefinição de TCP Selecione Habilitado. IP flutuante Selecione Desabilitado. SNAT (conversão de endereços de rede de origem) de saída Mantenha o padrão de (Recomendado) Usar regras de saída para fornecer acesso à Internet aos membros do pool de back-end. Selecione Adicionar.
Selecione o botão azul Examinar + criar na parte inferior da página.
Selecione Criar.
Observação
Neste exemplo, criaremos um gateway da NAT para fornecer acesso de saída da Internet. A guia de regras de saída na configuração é ignorada, pois como é opcional e não é necessária com o gateway da NAT. Para obter mais informações sobre o gateway NAT do Azure, consulte O que é NAT da Rede Virtual do Azure?Para obter mais informações sobre conexões de saída no Azure, consulte SNAT (Conversão de Endereços de Rede de Origem) para conexões de saída
Criar gateway NAT
Nesta seção, você criará um gateway da NAT para acesso à Internet de saída de recursos na rede virtual. Para outras opções de regras de saída, confira a SNAT (Conversão de Endereços de Rede) para conexões de saída.
Na caixa de pesquisa na parte superior do portal, insira Gateway da NAT. Selecione Gateways da NAT nos resultados da pesquisa.
Em Gateways da NAT, selecione + Criar.
Em Criar gateway da NAT (conversão de endereços de rede) , insira ou selecione as seguintes informações:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione TutorLoadBalancer-rg. Detalhes da instância Nome do gateway da NAT Insira myNATgateway. Região Selecione Leste dos EUA. Zona de disponibilidade Selecione Nenhum. Tempo limite de ociosidade (minutos) Insira 15. Escolha a guia IP de saída ou selecione Avançar: IP de saída na parte inferior da página.
Em IP de Saída, selecione Criar um endereço IP público ao lado de Endereços IP públicos.
Insira myNATgatewayIP em Nome.
Selecione OK.
Escolha a guia Sub-rede ou selecione o botão Próximo: Sub-rede na parte inferior da página.
Em Rede virtual, na guia Sub-rede, selecione myVNet.
Selecione myBackendSubnet em Nome da sub-rede.
Escolha o botão azul Examinar + criar na parte inferior da página ou selecione a guia Examinar + criar.
Selecione Criar.
Criar máquinas virtuais
Nesta seção, você criará duas VMs (myVM1 e myVM2) em duas zonas diferentes (Zona 1 e Zona 2).
Essas VMs são adicionadas ao pool de back-end do balanceador de carga criado anteriormente.
Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Em Máquinas virtuais, selecione + Criar>Máquina virtual do Azure.
Em Criar uma máquina virtual, insira ou selecione os seguintes valores na guia Informações Básicas:
Configuração Valor Detalhes do projeto Subscription Selecione sua Assinatura do Azure. Grupo de recursos Selecione TutorLoadBalancer-rg Detalhes da instância Nome da máquina virtual Insira myVM1 Região Selecione ((EUA) Leste dos EUA) Opções de disponibilidade Selecione Zonas de disponibilidade Zona de disponibilidade Selecione a Zona 1 Tipo de segurança Selecione Padrão. Image Selecione Windows Server 2022 Datacenter: edição do Azure – Gen2 Instância do Azure Spot Deixe o padrão de desmarcado. Tamanho Escolha o tamanho da VM ou use a configuração padrão Conta de administrador Nome de Usuário Insira um nome de usuário Senha Insira uma senha Confirmar senha Insira novamente a senha Regras de porta de entrada Porta de entrada públicas Selecione Nenhum Selecione a guia Rede ou selecione Avançar: Discos, em seguida, Avançar: Rede.
Na guia Rede, insira ou selecione as seguintes informações:
Configuração Valor Interface de rede Rede virtual Selecione myVNet Sub-rede Selecione myBackendSubnet IP público Selecione Nenhum. Grupo de segurança de rede da NIC Selecione Avançado Configurar um grupo de segurança de rede Ignore esta configuração até que o restante das configurações seja concluído. Conclua depois de Selecionar um pool de back-end. Excluir o adaptador de rede quando a VM é excluída Deixe o padrão desmarcado. Redes aceleradas Deixe o padrão marcado. Balanceamento de carga Opções de balanceamento de carga Opções de balanceamento de carga Selecione Azure Load Balancer Selecionar um balanceador de carga Selecione myLoadBalancer Selecionar um pool de back-end Selecione myBackendPool Configurar um grupo de segurança de rede Selecione Criar novo.
Em Criar grupo de segurança de rede, insira myNSG no Nome.
Em
, selecione + Adicionar regra do balanceamento de carga.
Em
, selecione HTTP.
Em
, insira 100.
Em Nome, insira myNSGRule
, selecione Adicionar
e selecione OKSelecione Examinar + criar.
Examine as configurações e selecione Criar.
Siga as etapas 1 a 7 para criar outra VM com os seguintes valores e as demais configurações iguais à myVM1:
Configuração VM 2 Nome myVM2 Zona de disponibilidade Zona 2 Grupo de segurança de rede Selecione o myNSG existente
Observação
O Azure fornece um IP de acesso de saída padrão para VMs que não receberam um endereço IP público ou que estão no pool de back-end de um balanceador de carga do Azure básico interno. O mecanismo de IP de acesso de saída padrão fornece um endereço IP de saída que não é configurável.
O IP de acesso de saída padrão é desabilitado quando um dos seguintes eventos acontece:
- Um endereço IP público é atribuído à VM.
- A VM é colocada no pool de back-end de um balanceador de carga padrão, com ou sem regras de saída.
- Um recurso do Gateway NAT do Azure é atribuído à sub-rede da VM.
As VMs criadas por conjuntos de dimensionamento de máquinas virtuais no modo de orquestração flexível não têm acesso de saída padrão.
Para mais informações sobre conexões de saída no Azure, confira Acesso de saída padrão no Azure e Usar SNAT (conversão de endereços de rede de origem) para conexões de saída.
Instalar o IIS
Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione myVM1.
Na página Visão Geral, selecione Conectar e Bastion.
Insira o nome de usuário e a senha fornecidos durante a criação da VM.
Selecione Conectar.
Na área de trabalho do servidor, navegue até Iniciar>Windows PowerShell>Windows PowerShell.
Na janela do PowerShell, execute os seguintes comandos para:
- Instalar o servidor IIS
- Remover o arquivo padrão iisstart.htm
- Adicionar um novo arquivo iisstart.htm que exiba o nome da VM:
# Install IIS server role Install-WindowsFeature -name Web-Server -IncludeManagementTools # Remove default htm file Remove-Item C:\inetpub\wwwroot\iisstart.htm # Add a new htm file that displays server name Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)Feche a sessão do Bastion com myVM1.
Repita as etapas 1 a 8 para instalar o IIS e o arquivo iisstart.htm atualizado em myVM2.
Testar o balanceador de carga
Na caixa de pesquisa na parte superior da página, insira IP público. Selecione Endereços IP públicos nos resultados da pesquisa.
Em endereços IP públicos, selecione myPublicIP.
Copie o item no Endereço IP. Cole o IP público na barra de endereços do navegador. A página de VM personalizada do servidor Web do IIS é exibida no navegador.
Limpar os recursos
Quando não forem mais necessários, exclua o grupo de recursos, o balanceador de carga e todos os recursos relacionados. Para isso, selecione o grupo de recursos TutorLoadBalancer-rg, que contém os recursos, e clique em Excluir.
Próximas etapas
Prossiga para o próximo artigo para saber como: