Поделиться через

Руководство по защите общедоступной подсистемы балансировки нагрузки с помощью Защиты от атак DDoS Azure

  • Статья

Защита от атак DDoS Azure обеспечивает расширенные возможности защиты от атак DDoS, такие как адаптивная настройка, уведомления об оповещениях об атаках атак DDoS и мониторинг для защиты общедоступных подсистем балансировки нагрузки от крупномасштабных атак DDoS.

Внимание

Защита от атак DDoS Azure взимает затраты при использовании SKU защиты сети. Плата за превышение расходов применяется только в том случае, если более 100 общедоступных IP-адресов защищены в клиенте. Убедитесь, что ресурсы в этом руководстве удалены, если вы не используете ресурсы в будущем. Дополнительные сведения о ценах см. в разделе "Цены на защиту от атак DDoS Azure". Дополнительные сведения о защите от атак DDoS Azure см. в статье "Что такое защита от атак DDoS Azure?".

В этом руководстве описано следующее:

  • Создайте план защиты от атак DDoS.
  • Создайте виртуальную сеть с включенной службой защиты от атак DDoS и бастиона.
  • Создайте стандартную общедоступную подсистему балансировки нагрузки SKU с интерфейсным IP-адресом, пробой работоспособности, конфигурацией серверной части и правилом балансировки нагрузки.
  • создать шлюз NAT для исходящего доступа к Интернету из внутреннего пула;
  • Создайте виртуальную машину, а затем установите и настройте службы IIS на виртуальных машинах, чтобы продемонстрировать правила перенаправления портов и балансировки нагрузки.

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Необходимые компоненты

  • Учетная запись Azure с активной подпиской.

Создайте план защиты от атак DDoS

  1. Войдите на портал Azure.

  2. В поле поиска в верхней части портала введите защиту от атак DDoS. Выберите планы защиты от атак DDoS в результатах поиска и нажмите кнопку +Создать.

  3. На вкладке "Основные сведения" на странице "Создание плана защиты от атак DDoS" введите или выберите следующие сведения:

    Снимок экрана: создание плана защиты от атак DDoS.

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку Azure.
    Группа ресурсов Выберите Создать.
    Введите TutorLoadBalancer-rg.
    Нажмите кнопку ОК.
    Сведения об экземпляре
    Имя. Введите myDDoSProtectionPlan.
    Область/регион Выберите регион (США) Восточная часть США.

  4. Выберите "Просмотр и создание ", а затем нажмите кнопку "Создать ", чтобы развернуть план защиты от атак DDoS.

Создание виртуальной сети

В этом разделе описано, как создать виртуальную сеть, подсеть, узел Бастиона Azure и связать план защиты от атак DDoS. Виртуальная сеть и подсеть содержат подсистему балансировки нагрузки и виртуальные машины. Узел-бастион используется для безопасного управления виртуальными машинами и установки IIS для тестирования подсистемы балансировки нагрузки. План защиты от атак DDoS защищает все общедоступные IP-ресурсы в виртуальной сети.

Внимание

Почасовая цена начинается с момента развертывания Бастиона независимо от использования исходящих данных. Дополнительные сведения см. в разделе "Цены и номера SKU". Если вы развертываете Бастион в рамках руководства или теста, рекомендуется удалить этот ресурс после завершения работы с ним.

  1. В поле поиска в верхней части портала введите виртуальные сети. В результатах поиска выберите Виртуальные сети.

  2. В разделе Виртуальные сети выберите + Создать.

  3. В подменю Создать виртуальную сеть введите или выберите следующую информацию на вкладке Основы:

    Параметр Value
    Сведения о проекте
    Отток подписок Выберите свою подписку Azure.
    Группа ресурсов Выбор TutorLoadBalancer-rg
    Сведения об экземпляре
    Имя. Введите myVNet.
    Область/регион Выберите Восточная часть США.

  4. Откройте вкладку IP-адрес или щелкните Далее: IP-адреса внизу страницы.

  5. На вкладке IP-адреса укажите следующие сведения:

    Параметр Значение
    Диапазон IPv4-адресов Введите 10.1.0.0/16.

  6. В разделе Имя подсети выберите по умолчанию. Если подсеть отсутствует, выберите + Добавить подсеть.

  7. В окне Изменение подсети введите следующие сведения:

    Параметр Значение
    Имя подсети Введите myBackendSubnet.
    Диапазон адресов подсети Введите 10.1.0.0/24.

  8. Щелкните Сохранить или Добавить.

  9. Выберите вкладку Безопасность.

  10. В разделе BastionHost выберите Включить. Введите такие сведения:

    Параметр Значение
    Имя бастиона Введите myBastionHost.
    Диапазон адресов AzureBastionSubnet Введите 10.1.1.0/26.
    Общедоступный IP-адрес Выберите Создать.
    В поле Имя введите myBastionIP.
    Нажмите кнопку ОК.

  11. В разделе "Защита сети от атак DDoS" выберите "Включить". Затем в раскрывающемся меню выберите myDDoSProtectionPlan.

    Снимок экрана: включение DDoS во время создания виртуальной сети.

  12. Перейдите на вкладку Просмотр и создание или нажмите кнопку Просмотр и создание.

  13. Нажмите кнопку создания.

    Примечание.

    Виртуальная сеть и подсеть будут созданы незамедлительно. Для создания узла Бастиона отправляется задание, на выполнение которого требуется не более 10 минут. В процессе создания узла Бастиона вы можете выполнять другие задачи.

Создание подсистемы балансировки нагрузки

В этом разделе показано, как создать избыточную между зонами подсистему балансировки нагрузки, которая распределяет нагрузку между виртуальными машинами. При избыточности в пределах зоны в одной или нескольких зонах доступности может произойти сбой, и путь к данным выдерживает его, пока одна зона в регионе остается работоспособной.

Во время создания подсистемы балансировки нагрузки вы настроите следующие параметры:

  • Интерфейсный IP-адрес
  • Внутренний пул
  • Правила балансировки нагрузки для входящего трафика
  • Проба работоспособности

  1. В поле поиска в верхней части портала введите Подсистема балансировки нагрузки. В результатах поиска выберите Подсистема балансировки нагрузки.

  2. На странице Подсистема балансировки нагрузки выберите + Создать.

  3. На странице Создание подсистемы балансировки нагрузки на вкладке Основные сведения введите или выберите следующую информацию:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите TutorLoadBalancer-rg.
    Сведения об экземпляре
    Имя. Введите myLoadBalancer.
    Область/регион Выберите Восточная часть США.
    номер SKU Оставьте значение по умолчанию Стандартная.
    Тип Щелкните Общедоступный.
    Уровень Оставьте значение по умолчанию Региональная.

    Снимок экрана: вкладка

  4. В нижней части страницы выберите Далее: интерфейсная IP-конфигурация.

  5. В разделе Интерфейсная IP-конфигурация выберите + Добавить интерфейсную IP-конфигурацию.

  6. Введите myFrontend в поле Имя.

  7. Выберите IPv4 в качестве версии IP-адреса.

  8. Выберите значение IP-адрес для параметра Тип IP-адреса.

    Примечание.

    Дополнительные сведения о префиксах IP-адресов см. в статье Префикс общедоступного IP-адреса Azure.

  9. Выберите вариант Создать новый в разделе Общедоступный IP-адрес.

  10. В окне Добавление общедоступного IP-адреса в поле Имя введите myPublicIP.

  11. Выберите Избыточный между зонами в поле Зона доступности.

    Примечание.

    В регионах с зонами доступности можно выбрать вариант без зоны (параметр по умолчанию), конкретную зону или избыточность между зонами. Выбранный вариант будет зависеть от конкретных требований к сбою домена. Для регионов без зон доступности это поле не отображается.
    Дополнительные сведения о зонах доступности см. здесь.

  12. Для параметра Предпочтение маршрутизации оставьте значение по умолчанию Сеть Майкрософт.

  13. Нажмите ОК.

  14. Выберите Добавить.

  15. Внизу страницы выберите элемент Далее. Серверные пулы.

  16. На вкладке Серверные пулы нажмите кнопку + Добавить серверный пул.

  17. В разделе Добавление серверного пула в поле Имя введите myBackendPool.

  18. Выберите myVNET в поле Виртуальные сети.

  19. Выберите IP-адрес в поле Конфигурация внутреннего пула.

  20. Выберите Сохранить.

  21. Внизу страницы выберите Далее. Правила для входящего трафика.

  22. На вкладке Правила для входящего трафика в разделе Правило балансировки нагрузки выберите + Добавить правило балансировки нагрузки.

  23. В разделе Добавление правила балансировки нагрузки введите следующую информацию или выберите указанные ниже варианты.

    Параметр Значение
    Имя. Введите myHTTPRule.
    Версия IP-адреса Выберите IPv4 или IPv6 в зависимости от своих требований.
    Интерфейсный IP-адрес Выберите myFrontend (для создания).
    Внутренний пул Выберите myBackendPool.
    Протокол Выберите TCP.
    Порт Введите 80.
    Серверный порт Введите 80.
    Проба работоспособности Выберите Создать.
    В поле Имя введите myHealthProbe.
    Выберите TCP в поле Протокол.
    Сохраните остальные значения по умолчанию и щелкните ОК.
    Сохранение сеанса Выберите Отсутствует.
    Время ожидания простоя (в минутах) Введите или выберите 15.
    Сброс TCP Щелкните Включено.
    Плавающий IP-адрес Выберите Отключено.
    Преобразование исходных сетевых адресов (SNAT) для исходящего трафика Оставьте значение по умолчанию (Рекомендуется) Используйте правила для исходящего трафика, чтобы предоставить участникам внутреннего пула доступ в Интернет.

  24. Выберите Добавить.

  25. В нижней части страницы нажмите синюю кнопку Просмотр + создание.

  26. Нажмите кнопку создания.

    Примечание.

    В этом примере мы создадим шлюз NAT, который предоставляет исходящий доступ в сеть Интернет. Вкладка правил для исходящего трафика в конфигурации пропускается, так как она не является обязательной и не требуется для шлюза NAT. Дополнительные сведения о шлюзе NAT Azure см. в разделе Что такое NAT виртуальной сети Azure? Дополнительные сведения об исходящих подключениях в Azure см. по этой ссылке.

Создание шлюза NAT

В этом разделе вы создадите шлюз NAT для исходящего доступа к Интернету со стороны ресурсов в виртуальной сети. Дополнительные сведения о других параметрах для правил исходящего трафика см. в разделе Преобразование сетевых адресов( SNAT) для исходящих подключений.

  1. В поле поиска в верхней части портала введите сетевой шлюз NAT. В результатах поиска выберите NAT-шлюзы.

  2. На странице Шлюзы NAT выберите + Создать.

  3. В разделе Создание шлюза NAT введите или выберите следующие значения.

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите TutorLoadBalancer-rg.
    Сведения об экземпляре
    Имя шлюза NAT Введите myNATGateway.
    Область/регион Выберите Восточная часть США.
    Availability zone Выберите Отсутствует.
    Время ожидания простоя (в минутах) Введите 15.

  4. Откройте вкладку Исходящий IP-адрес или щелкните Далее: Исходящий IP-адрес внизу страницы.

  5. На вкладке Исходящий IP-адрес выберите Создание общедоступного IP-адреса рядом с пунктом Общедоступные IP-адреса.

  6. Введите myNATgatewayIP в поле Имя.

  7. Нажмите ОК.

  8. Откройте вкладку Подсеть или нажмите кнопку Далее: подсеть внизу страницы.

  9. На странице Виртуальная сеть на вкладке Подсеть выберите myVNet.

  10. В поле Имя подсети выберите myBackendSubnet.

  11. Нажмите синюю кнопку Просмотр и создание внизу страницы или перейдите на вкладку Просмотр и создание.

  12. Нажмите кнопку создания.

Создание виртуальных машин

В этом разделе вы узнаете, как создать две виртуальные машины (myVM1 и myVM2) в двух разных зонах (зона 1 и зона 2).

Эти виртуальные машины добавляются во внутренний пул подсистемы балансировки нагрузки, которую вы создали ранее.

  1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

  2. На странице Виртуальные машины выберите + Создать>Виртуальная машина Azure.

  3. В окне Создание виртуальной машины введите или выберите следующие значения на вкладке Основные сведения:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите подписку Azure.
    Группа ресурсов Выбор TutorLoadBalancer-rg
    Сведения об экземпляре
    Virtual machine name Введите myVM1.
    Область/регион Выберите регион ((США) Восточная часть США 2)
    Параметры доступности Выберите Зоны доступности.
    Availability zone Выберите Зона 1
    Тип безопасности Выберите Стандартное.
    Изображения Выберите Windows Server 2022 Datacenter: Azure Edition — 2-го поколения.
    Точечный экземпляр Azure Оставьте значение по умолчанию (флажок снят).
    Размер Выберите размер виртуальной машины или подтвердите значение по умолчанию.
    Учетная запись администратора
    Username Введите имя пользователя.
    Пароль Введите пароль.
    Подтверждение пароля Введите пароль еще раз.
    Правила входящего порта
    Общедоступные входящие порты Выберите Нет.

  4. Выберите вкладку Сети или Next: Disks (Далее: диски), а затем Next: Networking (Далее: сеть).

  5. На вкладке "Сеть" введите или выберите следующие данные.

    Параметр Значение
    Сетевой интерфейс
    Виртуальная сеть Выберите myVNet.
    Подсеть Выберите myBackendSubnet
    Общедоступный IP-адрес Выберите Отсутствует.
    Группа безопасности сети сетевого адаптера Нажмите кнопку Дополнительно.
    Настройка группы безопасности сети Пропустите этот параметр, пока остальные параметры не будут завершены. Завершите настройку после раздела Выбор серверного пула.
    Удалите сетевую карту при удалении виртуальной машины. Сохраните значение не выбрано, которое подставляется по умолчанию.
    Ускорение работы в сети Сохраните значение выбрано, которое подставляется по умолчанию.
    Балансировка нагрузки
    Параметры балансировки нагрузки
    Варианты балансировки нагрузки Выберите подсистему балансировки нагрузки Azure
    Выберите подсистему балансировки нагрузки Выберите myLoadBalancer.
    Выберите серверный пул Выберите MyBackendPool.
    Настройка группы безопасности сети Выберите Создать.
    В разделе Создание группы безопасности сети в поле Имя введите myNSG.
    В разделе Правила для входящего трафика щелкните + Добавить правило для входящих подключений.
    В поле Служба выберите HTTP.
    В поле Приоритет введите 100.
    В поле "Имя" введите myNSGRule
    Select Add
    Select     OK

  6. Выберите Review + create (Просмотреть и создать).

  7. Проверьте параметры, а затем нажмите кнопку Создать.

  8. Выполните шаги 1–7, чтобы создать еще одну виртуальную машину со следующими значениями (все остальные параметры совпадают с параметрами виртуальной машины myVM1).

    Параметр Виртуальная машина 2
    Имя. myVM2
    Availability zone Зона 2
    группу безопасности сети; Выберите существующий вариант myNSG.

Примечание.

Azure предоставляет IP-адрес исходящего доступа по умолчанию для виртуальных машин, которые либо не назначены общедоступным IP-адресом, либо находятся в серверном пуле внутренней подсистемы балансировки нагрузки Azure. Механизм IP-адреса исходящего трафика по умолчанию предоставляет исходящий IP-адрес, который нельзя настроить.

IP-адрес исходящего доступа по умолчанию отключен при возникновении одного из следующих событий:

  • Общедоступный IP-адрес назначается виртуальной машине.
  • Виртуальная машина размещается в серверном пуле стандартной подсистемы балансировки нагрузки с правилами исходящего трафика или без нее.
  • Ресурс шлюза NAT Azure назначается подсети виртуальной машины.

Виртуальные машины, созданные с помощью масштабируемых наборов виртуальных машин в гибком режиме оркестрации, не имеют исходящего доступа по умолчанию.

Дополнительные сведения об исходящих подключениях в Azure см. в статье об исходящем доступе по умолчанию в Azure и использовании преобразования исходящих сетевых адресов (SNAT) для исходящих подключений.

Установить IIS

  1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

  2. Выберите myVM1.

  3. На странице Обзор выберите Подключиться и Бастион.

  4. Введите имя пользователя и пароль, введенные в процессе создания виртуальной машины.

  5. Нажмите Подключиться.

  6. На рабочем столе сервера выберите Пуск>Windows PowerShell>Windows PowerShell.

  7. В окне PowerShell выполните команды, чтобы:

    • установить сервер IIS;
    • удалить файл iisstart.htm по умолчанию;
    • добавить новый файл iisstart.htm, в котором отображается имя виртуальной машины.
     # Install IIS server role
 Install-WindowsFeature -name Web-Server -IncludeManagementTools

 # Remove default htm file
 Remove-Item  C:\inetpub\wwwroot\iisstart.htm

 # Add a new htm file that displays server name
 Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)

  8. Закройте сеанс Бастиона с myVM1.

  9. Повторите шаги 1–8, чтобы установить IIS и разместить обновленный файл iisstart.htm на myVM2.

Тестирование подсистемы балансировки нагрузки

  1. В поле поиска в верхней части этой страницы введите значение в поле Общедоступный IP-адрес. В результатах поиска выберите элемент Общедоступный IP-адрес.

  2. В списке Общедоступные IP-адреса выберите myPublicIP.

  3. Скопируйте элемент в поле IP-адрес. Вставьте общедоступный IP-адрес в адресную строку браузера. В браузере отобразится страница пользовательской виртуальной машины веб-сервера IIS.

    Снимок экрана: тест подсистемы балансировки нагрузки.

Очистка ресурсов

Ставшие ненужными группу ресурсов, подсистему балансировки нагрузки и все связанные ресурсы можно удалить. Для этого выберите группу ресурсов TutorLoadBalancer-rg , содержащую ресурсы, а затем нажмите кнопку "Удалить".

Следующие шаги

Следующая статья:

Создание общедоступной подсистемы балансировки нагрузки с помощью серверной части на основе IP-адресов