Краткое руководство. Создание и настройка защиты сети DDoS Azure с помощью портал Azure
Начало работы с защитой сети DDoS Azure с помощью портал Azure.
План защиты от атак DDoS определяет набор виртуальных сетей с включенной защитой от сети DDoS в подписках. Вы можете настроить один план защиты от атак DDoS для организации и связать виртуальные сети из нескольких подписок в одном клиенте Microsoft Entra с одним планом.
В этом кратком руководстве вы создадите план защиты от атак DDoS и свяжите его с виртуальной сетью.
Необходимые компоненты
- Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.
- Войдите на портал Azure. Убедитесь, что вашей учетной записи назначена роль Участник сетей или настраиваемая роль, которой назначены соответствующие разрешения, перечисленные в руководстве по разрешениям.
Создайте план защиты от атак DDoS
Щелкните Создать ресурс в верхнем левом углу окна портала Azure.
Выполните поиск по запросу DDoS. Когда в результатах поиска появится элемент План защиты от атак DDoS, выберите его.
Нажмите кнопку создания.
Введите или выберите следующие значения:
Параметр Значение Отток подписок Выберите свою подписку. Группа ресурсов Выберите Создать новую, а затем введите MyResourceGroup. Имя. Введите MyDdosProtectionPlan. Область/регион Введите Восточная часть США. Выберите Проверить и создать, а затем — Создать.
Примечание.
Хотя ресурсы плана защиты от атак DDoS должны быть связаны с регионом, пользователи могут включить защиту от атак DDoS на виртуальная сеть в разных регионах и нескольких подписках в одном клиенте Microsoft Entra.
Включение защиты от атак DDoS для виртуальной сети
Включение для новой виртуальной сети
Щелкните Создать ресурс в верхнем левом углу окна портала Azure.
Щелкните Сеть и выберите Виртуальная сеть.
Введите или выберите следующие значения, а затем нажмите кнопку "Далее".
Параметр Значение Отток подписок Выберите свою подписку. Группа ресурсов Выберите Использовать существующую и MyResourceGroup. Имя. Введите MyVnet. Область/регион Введите Восточная часть США. В области "Безопасность" выберите "Включить" на радио защиты сети DDoS Azure.
На панели План защиты от атак DDoS выберите MyDdosProtectionPlan. План, который вы выбираете, может находиться в одной или другой подписке, отличной от виртуальной сети, но обе подписки должны быть связаны с тем же клиентом Microsoft Entra.
Выберите Далее. В области IP-адресов выберите "Добавить адресное пространство IPv4" и введите следующие значения. Нажмите кнопку Добавить.
Параметр Значение Диапазон IPv4-адресов Введите 10.1.0.0/16. Имя подсети В разделе Имя подсети выберите ссылку Добавить подсеть и введите mySubnet. Диапазон адресов подсети Введите 10.1.0.0/24. Выберите Проверить и создать, а затем — Создать.
Примечание.
Невозможно переместить виртуальную сеть в другую группу ресурсов или подписку, если защита от атак DDoS включена для виртуальной сети. Если необходимо переместить виртуальную сеть с включенной защитой от атак DDoS, сначала отключите защиту от атак DDoS, переместите виртуальную сеть и включите защиту от атак DDoS. После перемещения сбрасываются автоматически настраиваемые пороговые значения политик для всех защищенных общедоступных IP-адресов в виртуальной сети.
Включение существующей виртуальной сети
Создайте план защиты от атак DDoS, выполнив действия, описанные в разделе Создание плана защиты от атак DDoS, если у вас нет плана защиты от атак DDoS.
Введите имя виртуальной сети, для которой требуется включить защиту сети DDoS в поле "Поиск ресурсов, служб и документов" в верхней части портал Azure. Когда имя виртуальной сети отобразится в результатах поиска, выберите ее.
В разделе Параметры выберите Защита от атак DDoS.
Выберите Включить. В разделе DDoS protection plan (План защиты от атак DDoS) выберите существующий план защиты от атак DDoS или план, созданный на шаге 1, а затем щелкните Сохранить. План, который вы выбираете, может находиться в одной или другой подписке, отличной от виртуальной сети, но обе подписки должны быть связаны с тем же клиентом Microsoft Entra.
Добавление виртуальная сеть в существующий план защиты от атак DDoS
Вы также можете включить план защиты от атак DDoS для существующей виртуальной сети из плана защиты от атак DDoS, а не из виртуальной сети.
Найдите "Планы защиты от атак DDoS" в поле Поиск ресурсов, служб и документов в верхней части портала Azure. Когда в результатах поиска появится элемент Планы защиты от атак DDoS, выберите его.
Выберите нужный план защиты от атак DDoS, который необходимо включить для виртуальной сети.
Выберите Защищенные ресурсы в разделе Настройки.
Нажмите кнопку +Добавить и выберите нужную подписку, группу ресурсов и имя виртуальной сети. Снова нажмите кнопку "Добавить ".
Настройка плана Защиты от атак DDoS Azure с помощью Диспетчера брандмауэра Azure (предварительная версия)
Диспетчер брандмауэра Azure — это платформа для управления сетевыми ресурсами и их защиты в большом масштабе. Вы можете связать свои виртуальные сети с планом защиты от атак DDoS в Диспетчере брандмауэра Azure. Сейчас эта функция доступна только в общедоступной предварительной версии. См. статью Настройка плана Защиты от атак DDoS Azure с помощью Диспетчера брандмауэра Azure.
Включение защиты от атак DDoS для всех виртуальных сетей
Эта встроенная политика обнаруживает любые виртуальные сети в определенных область, у которых нет поддержки защиты от сети DDoS. Эта политика при необходимости создаст задачу исправления, которая создает связь для защиты виртуальная сеть. Полный список встроенных политик см. в Политика Azure встроенных определений защиты сети Azure DDoS.
Проверка и тестирование
Сначала проверьте сведения о плане защиты от атак DDoS:
- В левой верхней части портала выберите Все службы.
- Введите DDoS в поле Фильтр. Когда в результатах поиска появится элемент Планы защиты от атак DDos, щелкните его.
- Выберите план защиты от атак DDoS из списка.
Должна быть указана виртуальная сеть MyVnet.
Просмотр защищенных ресурсов
В разделе Защищенные ресурсы можно просмотреть список защищенных виртуальных сетей и общедоступных IP-адресов или добавить дополнительные виртуальные сети в план защиты от атак DDoS.
Отключите для виртуальной сети:
Вы можете отключить защиту от атак DDoS из виртуальной сети, хотя она по-прежнему включена в других виртуальных сетях. Чтобы отключить защиту от атак DDoS для виртуальной сети, выполните следующие действия.
Введите имя виртуальной сети, для которой необходимо отключить защиту сети DDoS в поле "Поиск ресурсов, служб и документов" в верхней части портала. Когда имя виртуальной сети отобразится в результатах поиска, выберите ее.
В разделе "Защита от сети DDoS" выберите "Отключить".
Примечание.
Отключение защиты от атак DDoS из виртуальной сети не приведет к удалению. Затраты на защиту от атак DDoS по-прежнему будут взиматься, если вы отключаете защиту от атак DDoS из виртуальной сети, не удаляя сам план защиты от атак DDoS. Чтобы избежать ненужных затрат, необходимо полностью удалить ресурс плана защиты от атак DDoS. См. статью "Очистка ресурсов".
Очистка ресурсов
Вы можете сохранить ресурсы для работы со следующим руководством. Если группа ресурсов MyResourceGroup вам больше не нужна, удалите ее. Удалив ее, вы также удалите план защиты от атак DDoS и все связанные с ним ресурсы. Если вам больше не нужен этот план защиты от атак DDoS, удалите все связанные с ним ресурсы, чтобы избежать лишних расходов.
Предупреждение
Это действие необратимо.
На портале Azure найдите и выберите элемент Группы ресурсов или щелкните Группы ресурсов в меню портала Azure.
Прокрутите страницу вниз или используйте фильтр, чтобы найти группу ресурсов MyResourceGroup.
Выберите эту группу ресурсов и щелкните Удалить группу ресурсов.
Введите имя группы ресурсов для подтверждения и щелкните Удалить.
Примечание.
Если вы хотите удалить план защиты от атак DDoS, необходимо сначала удалить его связь со всеми виртуальными сетями.
Следующие шаги
Чтобы узнать, как настроить оповещения метрик с помощью Azure Monitor, перейдите к руководствам.