Kurz: Ochrana veřejného nástroje pro vyrovnávání zatížení pomocí služby Azure DDoS Protection
Azure DDoS Protection umožňuje rozšířené možnosti omezení rizik útoků DDoS, jako je adaptivní ladění, oznámení o upozorněních na útoky a monitorování, které chrání vaše veřejné nástroje pro vyrovnávání zatížení před rozsáhlými útoky DDoS.
Důležité
Azure DDoS Protection se při použití skladové položky Network Protection účtují náklady. Poplatky za nadlimitní využití platí jenom v případě, že je v tenantovi chráněno více než 100 veřejných IP adres. Pokud prostředky v budoucnu nepoužíváte, ujistěte se, že prostředky v tomto kurzu neodstraníte. Informace o cenách najdete v tématu Ceny služby Azure DDoS Protection. Další informace o službě Azure DDoS Protection najdete v tématu Co je Azure DDoS Protection?
V tomto kurzu se naučíte:
- Vytvořte plán ochrany před útoky DDoS.
- Vytvořte virtuální síť s povolenou službou DDoS Protection a Bastion.
- Vytvořte veřejný nástroj pro vyrovnávání zatížení standardní skladové položky s front-endovou IP adresou, sondou stavu, konfigurací back-endu a pravidlem vyrovnávání zatížení.
- Vytvořte bránu NAT pro odchozí přístup k internetu pro back-endový fond.
- Vytvořte virtuální počítač a pak na virtuálních počítačích nainstalujte a nakonfigurujte službu IIS, abyste si ukázali pravidla předávání portů a vyrovnávání zatížení.
Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.
Požadavky
- Účet Azure s aktivním předplatným.
Vytvoření plánu ochrany před útoky DDoS
Přihlaste se k portálu Azure.
Do vyhledávacího pole v horní části portálu zadejte ochranu před útoky DDoS. Ve výsledcích hledání vyberte plány ochrany před útoky DDoS a pak vyberte + Vytvořit.
Na kartě Základy na stránce Vytvořit plán ochrany před útoky DDoS zadejte nebo vyberte následující informace:
Nastavení Hodnota Podrobnosti projektu Předplatné Vyberte své předplatné Azure. Skupina zdrojů Vyberte, že chcete vytvořit novou IP adresu.
Zadejte TutorLoadBalancer-rg.
Vyberte OK.Podrobnosti o instanci Název Zadejte myDDoSProtectionPlan. Oblast Vyberte USA – východ. Vyberte Zkontrolovat a vytvořit a pak vyberte Vytvořit a nasaďte plán ochrany před útoky DDoS.
Vytvoření virtuální sítě
V této části vytvoříte virtuální síť, podsíť, hostitele Služby Azure Bastion a přidružíte plán DDoS Protection. Virtuální síť a podsíť obsahují nástroj pro vyrovnávání zatížení a virtuální počítače. Hostitel bastionu slouží k bezpečné správě virtuálních počítačů a instalaci služby IIS k otestování nástroje pro vyrovnávání zatížení. Plán DDoS Protection bude chránit všechny prostředky veřejné IP adresy ve virtuální síti.
Důležité
Hodinová cena začíná od okamžiku nasazení Bastionu bez ohledu na využití odchozích dat. Další informace najdete v tématu Ceny a skladové položky. Pokud bastion nasazujete jako součást kurzu nebo testu, doporučujeme tento prostředek po dokončení jeho použití odstranit.
Do vyhledávacího pole v horní části portálu zadejte virtuální síť. Ve výsledcích hledání vyberte virtuální sítě .
Ve virtuálních sítích vyberte + Vytvořit.
V části Vytvořit virtuální síť zadejte nebo vyberte na kartě Základy následující informace:
Nastavení Hodnota Podrobnosti projektu Předplatné Vyberte své předplatné Azure. Skupina prostředků Vybrat tutorLoadBalancer-rg Podrobnosti o instanci Název Zadejte myVNet. Oblast Vyberte USA – východ. Vyberte kartu IP adresy nebo vyberte Další: IP adresy v dolní části stránky.
Na kartě IP adresy zadejte tyto informace:
Nastavení Hodnota Adresní prostor IPv4 Zadejte 10.1.0.0/16. V části Název podsítě vyberte výchozí slovo. Pokud podsíť není k dispozici, vyberte + Přidat podsíť.
Do pole Upravit podsíť zadejte tyto informace:
Nastavení Hodnota Název podsítě Zadejte myBackendSubnet. Rozsah adres podsítě Zadejte 10.1.0.0/24. Vyberte Uložit nebo Přidat.
Vyberte kartu Zabezpečení.
V části BastionHost vyberte Povolit. Zadejte tyto informace:
Nastavení Hodnota Název bastionu Zadejte myBastionHost. Adresní prostor AzureBastionSubnet Zadejte 10.1.1.0/26. Veřejná IP adresa Vyberte, že chcete vytvořit novou IP adresu.
Jako název zadejte myBastionIP.
Vyberte OK.V části Ochrana sítě DDoS vyberte Povolit. Potom v rozevírací nabídce vyberte myDDoSProtectionPlan.
Vyberte kartu Zkontrolovat a vytvořit nebo vyberte tlačítko Zkontrolovat a vytvořit.
Vyberte Vytvořit.
Poznámka:
Virtuální síť a podsíť se vytvoří okamžitě. Vytvoření hostitele Bastion se odešle jako úloha a dokončí se do 10 minut. Během vytváření hostitele Bastion můžete pokračovat k dalším krokům.
Vytvoření nástroje pro vyrovnávání zatížení
V této části vytvoříte zónově redundantní nástroj pro vyrovnávání zatížení, který vyrovnává zatížení virtuálních počítačů. Díky redundanci zón zůstane cesta k datům dostupná i v případě, že dojde k selhání jedné nebo několika zón (pokud alespoň jedna zóna v oblasti zůstane v pořádku).
Během vytváření nástroje pro vyrovnávání zatížení nakonfigurujete:
- Front-endová IP adresa
- Back-endový fond
- Příchozí pravidla vyrovnávání zatížení
- Sonda stavu
Do vyhledávacího pole v horní části portálu zadejte Nástroj pro vyrovnávání zatížení. Ve výsledcích hledání vyberte nástroje pro vyrovnávání zatížení.
Na stránce Nástroje pro vyrovnávání zatížení vyberte + Vytvořit.
Na kartě Základy na stránce Vytvořit nástroj pro vyrovnávání zatížení zadejte nebo vyberte následující informace:
Nastavení Hodnota Podrobnosti projektu Předplatné Vyberte své předplatné. Skupina prostředků Vyberte TutorLoadBalancer-rg. Podrobnosti o instanci Název Enter myLoadBalancer Oblast Vyberte USA – východ. Skladová jednotka (SKU) Ponechte výchozí standard. Typ Vyberte Veřejný. Úroveň Ponechte výchozí oblast. 
Vyberte Další: Konfigurace front-endové IP adresy v dolní části stránky.
V konfiguraci front-endové IP adresy vyberte + Přidat konfiguraci front-endové IP adresy.
Zadejte název myFrontend.
Jako verzi PROTOKOLU IP vyberte protokol IPv4.
Vyberte IP adresu pro typ IP adresy.
Poznámka:
Další informace o předponách IP adres najdete v tématu Předpona veřejné IP adresy Azure.
Vyberte Vytvořit nový ve veřejné IP adrese.
Do pole Přidat veřejnou IP adresu zadejte název myPublicIP.
Vyberte zónově redundantní v zóně dostupnosti.
Poznámka:
V oblastech s Zóny dostupnosti máte možnost vybrat bez zónu (výchozí možnost), konkrétní zónu nebo zónově redundantní. Volba bude záviset na konkrétních požadavcích na selhání domény. V oblastech bez Zóny dostupnosti se toto pole nezobrazí.
Další informace o zónách dostupnosti najdete v tématu Přehled zón dostupnosti.Pro předvolbu směrování ponechte výchozí nastavení sítě Microsoft.
Vyberte OK.
Vyberte Přidat.
Vyberte Další: Back-endové fondy v dolní části stránky.
Na kartě Back-endové fondy vyberte + Přidat back-endový fond.
Jako název zadejte myBackendPool v části Přidat back-endový fond.
Vyberte myVNet ve virtuální síti.
Vyberte IP adresu pro konfiguraci back-endových fondů.
Zvolte Uložit.
Vyberte Další: Příchozí pravidla v dolní části stránky.
V části Pravidlo vyrovnávání zatížení na kartě Příchozí pravidla vyberte + Přidat pravidlo vyrovnávání zatížení.
V části Přidat pravidlo vyrovnávání zatížení zadejte nebo vyberte následující informace:
Nastavení Hodnota Name Enter myHTTPRule Verze protokolu IP V závislosti na vašich požadavcích vyberte protokol IPv4 nebo IPv6 . Front-endová IP adresa Vyberte myFrontend (Chcete-li vytvořit). Back-endový fond Vyberte myBackendPool. Protokol Vyberte TCP. Port Zadejte 80. Back-endový port Zadejte 80. Sonda stavu Vyberte, že chcete vytvořit novou IP adresu.
Do pole Název zadejte myHealthProbe.
Vyberte protokol TCP v protokolu.
Ponechte zbývající výchozí hodnoty a vyberte OK.Trvalost relace Vyberte Žádná. Časový limit nečinnosti (minuty) Zadejte nebo vyberte 15. Resetování protokolu TCP Vyberte Povoleno. Plovoucí IP adresa Vyberte Zakázáno. Překlad odchozích zdrojových síťových adres (SNAT) Ponechte výchozí hodnotu (doporučeno) Použití pravidel odchozích přenosů k poskytování přístupu členů back-endového fondu k internetu. Vyberte Přidat.
V dolní části stránky vyberte modré tlačítko Zkontrolovat a vytvořit .
Vyberte Vytvořit.
Poznámka:
V tomto příkladu vytvoříme bránu NAT, která zajistí odchozí přístup k internetu. Karta odchozích pravidel v konfiguraci se vynechá, protože je volitelná a není potřeba s bránou NAT Gateway. Další informace o službě Azure NAT Gateway najdete v tématu Co je překlad adres (NAT) služby Azure Virtual Network? Další informace o odchozích připojeních v Azure najdete v tématu Překlad zdrojových síťových adres (SNAT) pro odchozí připojení.
Vytvoření brány NAT
V této části vytvoříte bránu NAT pro odchozí přístup k internetu pro prostředky ve virtuální síti. Další možnosti odchozích pravidel najdete v tématu Překlad síťových adres (SNAT) pro odchozí připojení.
Do vyhledávacího pole v horní části portálu zadejte NAT Gateway. Ve výsledcích hledání vyberte brány NAT.
V bránách NAT vyberte + Vytvořit.
V části Vytvořit bránu překladu síťových adres (NAT) zadejte nebo vyberte následující informace:
Nastavení Hodnota Podrobnosti projektu Předplatné Vyberte své předplatné. Skupina prostředků Vyberte TutorLoadBalancer-rg. Podrobnosti o instanci Název brány NAT Zadejte myNATgateway. Oblast Vyberte USA – východ. Availability zone Vyberte Žádná. Časový limit nečinnosti (minuty) Zadejte 15. Vyberte kartu Odchozí IP adresa nebo vyberte Další: Odchozí IP adresa v dolní části stránky.
V části Odchozí IP adresa vyberte Vytvořit novou veřejnou IP adresu vedle veřejných IP adres.
Do pole Název zadejte myNATgatewayIP.
Vyberte OK.
Vyberte kartu Podsíť nebo vyberte tlačítko Další: Podsíť v dolní části stránky.
Ve virtuální síti na kartě Podsíť vyberte myVNet.
V části Název podsítě vyberte myBackendSubnet.
Vyberte modré tlačítko Zkontrolovat a vytvořit v dolní části stránky nebo vyberte kartu Revize a vytvoření .
Vyberte Vytvořit.
Vytvoření virtuálních počítačů
V této části vytvoříte dva virtuální počítače (myVM1 a myVM2) ve dvou různých zónách (zóna 1 a zóna 2).
Tyto virtuální počítače se přidají do back-endového fondu nástroje pro vyrovnávání zatížení, který byl vytvořen dříve.
Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Ve výsledcích hledání vyberte virtuální počítače .
Ve virtuálních počítačích vyberte + Vytvořit>virtuální počítač Azure.
V části Vytvořit virtuální počítač zadejte nebo vyberte na kartě Základy následující hodnoty:
Nastavení Hodnota Podrobnosti projektu Předplatné Vybrat předplatné Azure Skupina prostředků Vybrat tutorLoadBalancer-rg Podrobnosti o instanci Virtual machine name Zadejte myVM1 Oblast Vyberte ((USA) – východ USA. Možnosti dostupnosti Vybrat zóny dostupnosti Availability zone Vybrat zónu 1 Typ zabezpečení Vyberte položku Standardní. Image Vyberte Windows Server 2022 Datacenter: Azure Edition – Gen2. Instance Azure Spot Ponechte výchozí nezaškrtnutou možnost. Velikost Volba velikosti virtuálního počítače nebo nastavení výchozího nastavení Účet správce Username Zadejte uživatelské jméno. Heslo Zadejte heslo. Potvrdit heslo Opětovné zadání hesla Pravidla portů pro příchozí spojení Veřejné příchozí porty Vybrat žádné Vyberte kartu Sítě nebo vyberte Další: Disky a další: Sítě.
Na kartě Sítě vyberte nebo zadejte následující informace:
Nastavení Hodnota Síťové rozhraní Virtuální síť Výběr sítě myVNet Podsíť Výběr podsítě myBackendSubnet Veřejná IP adresa Vyberte Žádná. Skupina zabezpečení sítě síťových adaptérů Výběr možnosti Upřesnit Konfigurace skupiny zabezpečení sítě Toto nastavení přeskočte, dokud se nedokončí zbytek nastavení. Dokončení po výběru back-endového fondu Odstranění síťové karty při odstranění virtuálního počítače Ponechte výchozí hodnotu nevybrané. Akcelerované síťové služby Ponechte výchozí hodnotu vybranou. Vyrovnávání zatížení Možnosti vyrovnávání zatížení Možnosti vyrovnávání zatížení Výběr nástroje pro vyrovnávání zatížení Azure Výběr nástroje pro vyrovnávání zatížení Vybrat myLoadBalancer Výběr back-endového fondu Vyberte myBackendPool Konfigurace skupiny zabezpečení sítě Vyberte, že chcete vytvořit novou IP adresu.
Ve skupině Vytvořit zabezpečení sítě zadejte myNSG do pole Název.
V části Příchozí pravidla vyberte +Přidat příchozí pravidlo.
V části Služba vyberte HTTP.
V části Priorita zadejte 100.
Do pole Název zadejte myNSGRule
Vybrat přidat
tlačítko OK.Vyberte Zkontrolovat a vytvořit.
Zkontrolujte nastavení a pak vyberte Vytvořit.
Postupujte podle kroků 1 až 7 a vytvořte další virtuální počítač s následujícími hodnotami a všechna ostatní nastavení stejná jako myVM1:
Nastavení VIRTUÁLNÍ POČÍTAČ 2 Název myVM2 Availability zone Zóna 2 Skupina zabezpečení sítě Vyberte existující myNSG.
Poznámka:
Azure poskytuje výchozí odchozí IP adresu pro virtuální počítače, které nemají přiřazenou veřejnou IP adresu nebo jsou v back-endovém fondu interního základního nástroje pro vyrovnávání zatížení Azure. Výchozí mechanismus odchozích IP adres poskytuje odchozí IP adresu, která není konfigurovatelná.
Výchozí ip adresa odchozího přístupu je zakázaná, když dojde k jedné z následujících událostí:
- Virtuálnímu počítači se přiřadí veřejná IP adresa.
- Virtuální počítač se umístí do back-endového fondu standardního nástroje pro vyrovnávání zatížení s odchozími pravidly nebo bez něj.
- Prostředek Azure NAT Gateway je přiřazen k podsíti virtuálního počítače.
Virtuální počítače, které vytvoříte pomocí škálovacích sad virtuálních počítačů v flexibilním režimu orchestrace, nemají výchozí odchozí přístup.
Další informace o odchozích připojeních v Azure najdete v tématu Výchozí odchozí přístup v Azure a použití překladu zdrojových síťových adres (SNAT) pro odchozí připojení.
instalace IIS
Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Ve výsledcích hledání vyberte virtuální počítače .
Vyberte myVM1.
Na stránce Přehled vyberte Připojit a pak Bastion.
Zadejte uživatelské jméno a heslo zadané během vytváření virtuálního počítače.
Vyberte Připojit.
Na ploše serveru přejděte do části Spuštění>Prostředí Windows PowerShell pro Windows PowerShell>.
V okně PowerShellu spusťte následující příkazy:
- Instalace serveru IIS
- Odebrání výchozího souboru iisstart.htm
- Přidejte nový soubor iisstart.htm, který zobrazuje název virtuálního počítače:
# Install IIS server role Install-WindowsFeature -name Web-Server -IncludeManagementTools # Remove default htm file Remove-Item C:\inetpub\wwwroot\iisstart.htm # Add a new htm file that displays server name Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)Ukončete relaci Bastionu s myVM1.
Opakováním kroků 1 až 8 nainstalujte službu IIS a aktualizovaný soubor iisstart.htm na myVM2.
Testování Load Balanceru
Do vyhledávacího pole v horní části stránky zadejte veřejnou IP adresu. Ve výsledcích hledání vyberte veřejné IP adresy .
Ve veřejných IP adresách vyberte myPublicIP.
Zkopírujte položku v IP adrese. Vložte veřejnou IP adresu do adresního řádku prohlížeče. Vlastní stránka virtuálního počítače webového serveru IIS se zobrazí v prohlížeči.
Vyčištění prostředků
Pokud už je nepotřebujete, odstraňte skupinu prostředků, nástroj pro vyrovnávání zatížení a všechny související prostředky. Uděláte to tak, že vyberete skupinu prostředků TutorLoadBalancer-rg obsahující prostředky a pak vyberete Odstranit.
Další kroky
V dalším článku se dozvíte, jak: