你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

快速入门:创建和配置 Azure DDoS 防护标准

借助于 Azure 门户开始使用 Azure DDoS 防护标准。

DDoS 防护计划在订阅中定义一组已启用 DDoS 防护标准的虚拟网络。 可以为组织配置一个 DDoS 防护计划,然后从一个 AAD 租户下的多个订阅将虚拟网络链接到相同计划。

在本快速入门中,你将创建一个 DDoS 防护计划,并将其链接到虚拟网络。

先决条件

创建 DDoS 防护计划

  1. 在 Azure 门户的左上角,选择“创建资源”。

  2. 搜索术语“DDoS”。 当“DDoS 防护计划”出现在搜索结果中时,将其选中。

  3. 选择“创建” 。

  4. 输入或选择以下值。

    设置
    订阅 选择订阅。
    资源组 选择“新建”,并输入“MyResourceGroup”。
    名称 输入“MyDdosProtectionPlan”。
    区域 输入“美国东部”。
  5. 选择“查看 + 创建”,然后选择“创建”

注意

尽管需要将 DDoS 保护计划资源与某个区域相关联,但用户可以在单个 Azure Active Directory 租户下跨多个订阅在不同区域中的虚拟网络上启用 DDoS 保护。

为虚拟网络启用 DDoS 防护

为新的虚拟网络启用 DDoS 防护

  1. 在 Azure 门户的左上角,选择“创建资源”。

  2. 选择“网络”,然后选择“虚拟网络” 。

  3. 输入或选择以下值。

    设置
    订阅 选择订阅。
    资源组 选择“使用现有”,然后选择“MyResourceGroup”
    名称 输入“MyVnet”。
    区域 输入“美国东部”。
  4. 选择“下一步: IP 地址”并输入以下值。

    设置
    IPv4 地址空间 输入“10.1.0.0/16”。
    子网名称 在“子网名称”下,选择“添加子网”链接并输入“mySubnet”。
    子网地址范围 输入“10.1.0.0/24”。
  5. 选择 添加

  6. 选择“下一页:安全性

  7. 将“DDoS 防护标准版”单选按钮切换为“启用”。

  8. 在“DDoS 防护计划”窗格中选择“MyDdosProtectionPlan”。 所选计划可位于与虚拟网络相同或不同的订阅中,但这两个订阅必须与同一 Azure Active Directory 租户相关联。

  9. 选择“查看 + 创建”,然后选择“创建”。

注意

如果已为虚拟网络启用 DDoS 防护,无法将虚拟网络移到其他资源组或订阅。 如果需要移动已启用 DDoS 标准的虚拟网络,请先禁用该标准并移动虚拟网络,然后启用 DDoS 标准。 移动后,适用于虚拟网络所有受保护的公共 IP 地址的自动优化策略阈值都将重置。

为现有虚拟网络启用 DDoS 防护

  1. 如果没有现有的 DDoS 防护计划,通过完成创建 DDoS 防护计划中的步骤创建一个 DDoS 防护计划。
  2. 输入想要在 Azure 门户顶部的“搜索资源、服务和文档”框中为其启用 DDoS 防护标准版的虚拟网络的名称。 当虚拟网络名称出现在搜索结果中时,将其选中。
  3. 选择“设置”下的“DDoS 防护”。
  4. 选择“启用”。 选择“DDoS 防护计划”下的现有 DDoS 防护计划,或在步骤 1 中创建的计划,然后单击“保存”。 所选计划可位于与虚拟网络相同或不同的订阅中,但这两个订阅必须与同一 Azure Active Directory 租户相关联。

还可以从 DDoS 防护计划(而不是虚拟网络)为现有虚拟网络启用 DDoS 防护计划。

  1. 在 Azure 门户顶部的“搜索资源、服务和文档”框中,搜索“DDoS 防护计划”。 当“DDoS 防护计划”出现在搜索结果中时,将其选中。
  2. 选择要为虚拟网络启用的 DDoS 防护计划。
  3. 在“设置”下选择“受保护的资源”。
  4. 单击“+添加”并选择适当的订阅、资源组和虚拟网络名称。 重新单击“添加”

使用 Azure 防火墙管理器配置 Azure DDoS 防护计划(预览版)

Azure 防火墙管理器是用于大规模管理和保护网络资源的平台。 可以在 Azure 防火墙管理器中将虚拟网络与 DDoS 防护计划相关联。 此功能目前以公共预览版提供。 请参阅使用 Azure 防火墙管理器配置 Azure DDoS 防护计划

Screenshot showing virtual network with DDoS Protection Plan.

为所有虚拟网络启用 DDoS 防护

内置策略将检测所定义范围内未启用 DDoS 防护标准版的任何虚拟网络。 然后,此策略将选择性地创建一个修正任务,以便创建关联来保护虚拟网络。 有关内置策略的完整列表,请参阅 Azure DDoS 防护标准版的 Azure Policy 内置定义

验证并测试

首先检查 DDoS 防护计划的详细信息:

  1. 在门户左上角选择“所有服务”
  2. 在“筛选器”框中输入 DDoS。 当“DDoS 防护计划”出现在结果中时,将其选中
  3. 从列表中选择你的 DDoS 防护计划。

应会列出 MyVnet 虚拟网络。

查看受保护的资源

在“受保护的资源”下,可以查看受保护的虚拟网络和公共 IP 地址,或者将更多虚拟网络添加到 DDoS 防护计划中:

Screenshot showing protected resources.

清理资源

可保留资源以供下一教程使用。 如果不再需要,请删除“MyResourceGroup”资源组。 删除资源组时,DDoS 防护计划及其所有相关资源也会一起删除。 如果你不打算使用此 DDoS 防护计划,则应删除资源,以免产生不必要的费用。

警告

此操作不可逆。

  1. 在 Azure 门户中,搜索并选择“资源组”,或者从 Azure 门户菜单中选择“资源组” 。

  2. 筛选或向下滚动以找到 MyResourceGroup 资源组。

  3. 选择该资源组,然后选择“删除资源组”。

  4. 键入资源组名称以确认,然后选择“删除”。

若要为虚拟网络禁用 DDoS 防护,请执行以下操作:

  1. 输入想要在门户顶部的“搜索资源、服务和文档”框中为其禁用 DDoS 防护标准的虚拟网络的名称。 当虚拟网络名称出现在搜索结果中时,将其选中。
  2. 在“DDoS 防护标准版”下,选择“禁用”。

注意

如果要删除 DDoS 防护计划,必须首先取消与之关联的所有虚拟网络。

后续步骤

要了解如何查看和配置 DDoS 防护计划的遥测,请继续阅读教程。