共用方式為

快速入門:使用 Azure CLI 建立和設定 Azure DDoS 網路保護

  • 發行項

使用 Azure CLI 的 Azure DDoS 網路保護入門。

DDoS 保護計劃會定義一組跨訂閱且已啟用 DDoS 網路保護的虛擬網路。 您可以為組織設定一個 DDoS 保護計劃,然後將來自多個訂用帳戶的虛擬網路連結至該相同計劃。

在此快速入門中,您將建立 DDoS 保護計劃,並將其連結至虛擬網路。

DDoS 網路保護的圖表。

必要條件

  • 具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶
  • 已在本機安裝 Azure CLI 或 Azure Cloud Shell

Azure Cloud Shell

Azure Cloud Shell 是裝載於 Azure 中的互動式殼層環境,可在瀏覽器中使用。 您可以使用 Bash 或 PowerShell 搭配 Cloud Shell,與 Azure 服務共同使用。 您可以使用 Cloud Shell 預先安裝的命令,執行本文提到的程式碼,而不必在本機環境上安裝任何工具。

要啟動 Azure Cloud Shell:

選項 範例/連結
選取程式碼或命令區塊右上角的 [試試看]。 選取 [試試看] 並不會自動將程式碼或命令複製到 Cloud Shell 中。 Azure Cloud Shell 的「試試看」範例螢幕擷取畫面。
請前往 https://shell.azure.com,或選取 [啟動 Cloud Shell] 按鈕,在瀏覽器中開啟 Cloud Shell。 啟動 Azure Cloud Shell 的按鈕。
選取 Azure 入口網站右上方功能表列上的 [Cloud Shell] 按鈕。 顯示 Azure 入口網站中 Cloud Shell 按鈕的螢幕擷取畫面

若要使用 Azure Cloud Shell:

  1. 啟動 Cloud Shell。

  2. 選取程式碼區塊 (或命令區塊) 上的 [複製] 按鈕以複製程式碼或命令。

  3. 透過在 Windows 和 Linux 上選取 Ctrl+Shift+V;或在 macOS 上選取 Cmd+Shift+V,將程式碼或命令貼到 Cloud Shell 工作階段中。

  4. 選取 Enter 鍵執行程式碼或命令。

如果您選擇在本地安裝和使用 CLI,本快速入門需要有 Azure CLI 2.0.56 版或更新版本。 若要尋找版本,請執行 az --version。 如果您需要安裝或升級,請參閱安裝 Azure CLI 模組

建立 DDoS 保護計劃

在 Azure 中,您可以將相關資源配置到資源群組。 您可以使用現有的資源群組,或建立一個新的群組。

若要建立資源群組,請使用 az group create。 在此範例中,我們會將資源群組命名為 MyResourceGroup,並使用美國東部位置:

az group create \
    --name MyResourceGroup \
    --location eastus

現在,建立名為 MyDdosProtectionPlan 的 DDoS 保護計劃:

az network ddos-protection create \
    --resource-group MyResourceGroup \
    --name MyDdosProtectionPlan

針對虛擬網路啟用 DDoS 保護

針對新的虛擬網路啟用 DDoS 保護

您可以在建立虛擬網路時啟用 DDoS 保護。 在此範例中,我們會將虛擬網路命名為 MyVnet

az network vnet create \
    --resource-group MyResourceGroup \
    --name MyVnet \
    --location eastus \
    --ddos-protection-plan MyDdosProtectionPlan \
    --ddos-protection true

注意

若已針對虛擬網路啟用 DDoS 保護,則無法將虛擬網路移到另一個資源群組或訂用帳戶。 如果您需要移動已啟用 DDoS 保護的虛擬網路,請先將 DDoS 保護停用,移動虛擬網路,然後再啟用 DDoS 保護。 移動之後,就會重設虛擬網路中所有受保護公用 IP 位址的自動調整原則閾值。

針對現有虛擬網路啟用 DDoS 保護

建立 DDoS 保護計劃時,您可以將一或多個虛擬網路與方案產生關聯。 若要新增多個虛擬網路,只需列出名稱或識別碼 (以空格分隔)。 在此範例中,我們將會新增 MyVnet

az group create \
    --name MyResourceGroup \
    --location eastus

az network ddos-protection create \
    --resource-group MyResourceGroup \
    --name MyDdosProtectionPlan 
    --vnets MyVnet

或者,您可以為指定的虛擬網路啟用 DDoS 保護:

az network vnet update \
    --resource-group MyResourceGroup \
    --name MyVnet \
    --ddos-protection-plan MyDdosProtectionPlan \
    --ddos-protection true

針對虛擬網路停用 DDoS 保護

更新指定的虛擬網路以停用 DDoS 保護:

az network vnet update \
    --resource-group MyResourceGroup \
    --name MyVnet \
    --ddos-protection-plan MyDdosProtectionPlan \
    --ddos-protection false

驗證和測試

首先,檢查 DDoS 保護計劃的詳細資料:

az network ddos-protection show \
    --resource-group MyResourceGroup \
    --name MyDdosProtectionPlan

確認命令會傳回 DDoS 保護計劃的正確詳細資料。

清除資源

您可以保留資源,以供下一個教學課程使用。 若不再需要,請刪除 MyResourceGroup 資源群組。 刪除該資源群組時,也將同時刪除 DDoS 保護計劃及其所有相關資源。

若要刪除資源群組,請使用 az group delete

az group delete \
--name MyResourceGroup

注意

如果您想要刪除某個 DDoS 保護計劃,必須先將與其相關聯的所有虛擬網路取消關聯。

下一步

若要了解如何檢視及設定 DDoS 保護計劃的遙測,請繼續進行教學課程。

檢視和設定 DDoS 保護遙測