快速入門:使用 Azure 入口網站 建立及設定 Azure DDoS 網路保護
使用 Azure 入口網站開始使用 Azure DDoS 網路保護。
DDoS 保護計劃會定義一組跨訂閱且已啟用 DDoS 網路保護的虛擬網路。 您可以為組織設定一個 DDoS 保護計劃,然後將來自多個訂閱的虛擬網路連結至該相同計劃的單一 Microsoft Entra 租用戶。
在此快速入門中,您會建立 DDoS 保護計劃,並將其連結至虛擬網路。
必要條件
- 如果您沒有 Azure 訂用帳戶,請在開始前建立免費帳戶。
- 登入 Azure 入口網站。 務必將您的帳戶指派給網路參與者角色,或已指派操作指南中權限一節中所列適當動作的自訂角色。
建立 DDoS 保護計劃
選取 Azure 入口網站中左上角的 [建立資源]。
搜尋 DDoS 一詞。 若 DDoS 保護計劃出現在搜尋結果中,請選取它。
選取 建立。
輸入或選取下列值。
設定 值 訂用帳戶 選取您的訂用帳戶。 資源群組 選取 [新建],然後輸入 MyResourceGroup。 名稱 輸入 MyDdosProtectionPlan。 區域 輸入美國東部。 選取 [檢閱 + 建立],然後選取 [建立]
注意
雖然 DDoS 保護計劃資源必須與區域相關聯,但使用者可以在不同區域的虛擬網路上,以及在單一 Microsoft Entra 租用戶下,跨多個訂閱啟用 DDoS 保護。
針對虛擬網路啟用 DDoS 保護
針對新虛擬網路啟用
選取 Azure 入口網站中左上角的 [建立資源]。
選取 [網絡],然後選取 [虛擬網路]。
輸入或選取下列值,然後選取 [下一步]。
設定 值 訂用帳戶 選取您的訂用帳戶。 資源群組 選取 [使用現有的],然後選取 [MyResourceGroup] 名稱 輸入 MyVNet。 區域 輸入美國東部。 在 [安全性] 窗格中,選取 [Azure DDoS 網路保護] 選項按鈕上的 [啟用]。
從 [DDoS 保護計劃] 窗格中,選取 [MyDdosProtectionPlan]。 您所選取的計劃可以與虛擬網路位於相同或不同的訂用帳戶中,但兩個訂用帳戶必須都與同一個 Microsoft Entra 租用戶關聯。
選取 [下一步]。 在 [IP 位址] 窗格中,選取 [新增 IPv4 位址空間],然後輸入下列值。 然後選取 [新增]。
設定 值 IPv4 位址空間 輸入 10.1.0.0/16。 子網路名稱 在 [子網路名稱] 底下,選取 [新增子網路] 連結,然後輸入 mySubnet。 子網路位址範圍 輸入 10.1.0.0/24。 選取 [檢閱 + 建立],然後選取 [建立]。
注意
若已針對虛擬網路啟用 DDoS 保護,則無法將虛擬網路移到另一個資源群組或訂用帳戶。 如果您需要移動已啟用 DDoS 保護的虛擬網路,請先將 DDoS 保護停用,移動虛擬網路,然後再啟用 DDoS 保護。 移動之後,就會重設虛擬網路中所有受保護公用 IP 位址的自動調整原則閾值。
針對現有虛擬網路啟用
如果您沒有現有的 DDoS 保護計劃,請完成建立 DDoS 保護計劃中的步驟來建立 DDoS 保護計劃。
在 Azure 入口網站頂端的 [搜尋資源、服務及文件] 方塊中,輸入您要為其啟用 DDoS 網路保護的虛擬網路名稱。 當虛擬網路的名稱出現在搜尋結果中時,請選取它。
選取 [設定] 下的 [DDoS 保護]。
選取啟用。 在 [DDoS 保護計劃] 底下,選取現有的 DDoS 保護計劃或是您在步驟 1 中建立的計劃,然後選取 [儲存]。 您所選取的計劃可以與虛擬網路位於相同或不同的訂用帳戶中,但兩個訂用帳戶必須都與同一個 Microsoft Entra 租用戶關聯。
將虛擬網路新增至現有 DDoS 保護計劃
您也可以從 DDoS 保護計劃啟用現有虛擬網路的 DDoS 保護計劃,而不是從虛擬網路啟用。
在 Azure 入口網站頂端的 [搜尋資源、服務和文件] 方塊中,搜尋 [DDoS 保護計劃]。 當 [DDoS 保護計劃] 出現在搜尋結果中,請選取它。
選取您想要為虛擬網路啟用所需的 DDoS 保護計劃。
選取 [設定] 下的 [受保護的資源]。
選取 [+新增],並選取合適的訂閱、資源群組和虛擬網路名稱。 再次選取 [新增]。
使用 Azure 防火牆管理員設定 Azure DDoS 保護計劃 (預覽版)
Azure 防火牆管理員是大規模管理及保護網路資源的平台。 您可以將您的虛擬網路與 Azure 防火牆管理員內的 DDoS 保護計劃建立關聯。 此功能目前以公開預覽形式提供。 請參閱使用 Azure 防火牆管理員設定 Azure DDoS 保護計劃。
針對所有虛擬網路啟用 DDoS 保護
此內建原則會偵測未啟用 DDoS 網路保護的定義範圍內任何虛擬網路。 接著,此原則會選擇性建立補救工作,以建立關聯來保護虛擬網路。 如需內建原則的完整清單,請參閱適用於 Azure DDoS 網路保護的 Azure 原則內建定義。
驗證和測試
首先,檢查 DDoS 保護計劃的詳細資料:
- 選取入口網站左上角的 [所有服務]。
- 在 [篩選] 方塊中,輸入 DDoS。 當 DDoS 保護計劃出現在結果中時,請選取它。
- 從清單中選取您的 DDoS 保護計劃。
其中應會列出 MyVnet 虛擬網路。
檢視受保護的資源
在 [受保護的資源] 底下,您可以檢視受保護的虛擬網路和公用 IP 位址,或將更多虛擬網路新增至您的 DDoS 保護計劃:
針對虛擬網路停用:
您可以在其他虛擬網路上啟用 DDoS 保護時,停用虛擬網路的 DDoS 保護。 若要針對虛擬網路停用 DDoS 保護,請執行下列步驟。
在入口網站頂端的 [搜尋資源、服務及文件] 方塊中,輸入您要停用 DDoS 網路保護的虛擬網路名稱。 當虛擬網路的名稱出現在搜尋結果中時,請選取它。
在 [DDoS 網路保護] 底下,選取 [停用]。
注意
從虛擬網路停用 DDoS 保護將不會刪除它。 如果您只停用來自虛擬網路的 DDoS 保護,而不刪除 DDoS 保護計劃本身,DDoS 保護成本仍會收取費用。 若要避免不必要的成本,您必須完全刪除 DDoS 保護計劃資源。 請參閱 清除資源。
清除資源
您可以保留資源,以供下一個教學課程使用。 若不再需要,請刪除 MyResourceGroup 資源群組。 刪除該資源群組時,也將同時刪除 DDoS 保護計劃及其所有相關資源。 如果您不打算使用此 DDoS 保護計劃,則應移除資源以避免產生不必要的費用。
警告
這項動作無法復原。
在 Azure 入口網站中,搜尋並選取資源群組,或從 Azure 入口網站功能表選取資源群組。
篩選或向下捲動,以尋找 MyResourceGroup 資源群組。
選取資源群組,然後選取 [刪除資源群組]。
輸入資源群組名稱以確認,然後選取 [刪除]。
注意
如果您想要刪除某個 DDoS 保護計劃,必須先將與其相關聯的所有虛擬網路取消關聯。
下一步
若要了解如何透過 Azure 監視器設定計量警示,請繼續瀏覽教學課程。