Freigeben über


Schnellstart: Erstellen und Konfigurieren von Azure DDoS-Netzwerkschutz über die Azure CLI

Hier erfahren Sie mehr zu den ersten Schritten mit Azure DDoS Protection über die Azure CLI.

Ein DDoS-Schutzplan definiert abonnementübergreifend eine Reihe virtueller Netzwerke, für die der DDoS-Netzwerkschutz aktiviert ist. Sie können einen DDoS-Schutzplan für Ihre Organisation konfigurieren und virtuelle Netzwerke über verschiedene Abonnements hinweg mit demselben Plan verknüpfen.

In dieser Schnellstartanleitung erstellen Sie einen DDoS-Schutzplan und verknüpfen ihn mit einem virtuellen Netzwerk.

Diagramm des DDoS-Netzwerkschutzes.

Voraussetzungen

Azure Cloud Shell

Azure hostet Azure Cloud Shell, eine interaktive Shell-Umgebung, die Sie über Ihren Browser nutzen können. Sie können entweder Bash oder PowerShell mit Cloud Shell verwenden, um mit Azure-Diensten zu arbeiten. Sie können die vorinstallierten Befehle von Cloud Shell verwenden, um den Code in diesem Artikel auszuführen, ohne etwas in Ihrer lokalen Umgebung installieren zu müssen.

Starten von Azure Cloud Shell:

Option Beispiel/Link
Wählen Sie rechts oben in einem Code- oder Befehlsblock die Option Ausprobieren aus. Durch die Auswahl von Ausprobieren wird der Code oder Befehl nicht automatisch in Cloud Shell kopiert. Screenshot: Beispiel von „Jetzt testen“ für Azure Cloud Shell.
Rufen Sie https://shell.azure.com auf, oder klicken Sie auf die Schaltfläche Cloud Shell starten, um Cloud Shell im Browser zu öffnen. Schaltfläche zum Starten von Azure Cloud Shell.
Wählen Sie im Azure-Portal rechts oben im Menü die Schaltfläche Cloud Shell aus. Screenshot: Schaltfläche „Cloud Shell“ im Azure-Portal

So verwenden Sie Azure Cloud Shell:

  1. Starten Sie Cloud Shell.

  2. Wählen Sie die Schaltfläche Kopieren für einen Codeblock (oder Befehlsblock) aus, um den Code oder Befehl zu kopieren.

  3. Fügen Sie den Code oder Befehl mit STRG+UMSCHALT+V unter Windows und Linux oder CMD+UMSCHALT+V unter macOS in die Cloud Shell-Sitzung ein.

  4. Drücken Sie die EINGABETASTE, um den Code oder Befehl auszuführen.

Wenn Sie die CLI lokal installieren und verwenden möchten, müssen Sie für diese Schnellstartanleitung mindestens die Azure CLI-Version 2.0.56 verwenden. Führen Sie az --version aus, um die Version zu finden. Installations- und Upgradeinformationen finden Sie bei Bedarf unter Installieren von Azure CLI.

Erstellen eines DDoS Protection-Plans

In Azure ordnen Sie verwandte Ressourcen einer Ressourcengruppe zu. Sie können entweder eine vorhandene Ressourcengruppe verwenden oder eine neue erstellen.

Verwenden Sie zum Erstellen einer Ressourcengruppe az group create. In diesem Beispiel legen wir für die Ressourcengruppe den Namen MyResourceGroup fest, und wir verwenden den Standort USA, Osten:

az group create \
    --name MyResourceGroup \
    --location eastus

Erstellen Sie nun einen DDoS-Schutzplan mit dem Namen MyDdosProtectionPlan:

az network ddos-protection create \
    --resource-group MyResourceGroup \
    --name MyDdosProtectionPlan

Aktivieren des DDoS-Schutzes für ein virtuelles Netzwerk

Aktivieren des DDoS-Schutzes für ein neues virtuelles Netzwerk

Sie können den DDoS-Schutz beim Erstellen eines virtuellen Netzwerks aktivieren. In diesem Beispiel legen wir für das virtuelle Netzwerk den Namen MyVnet fest:

az network vnet create \
    --resource-group MyResourceGroup \
    --name MyVnet \
    --location eastus \
    --ddos-protection-plan MyDdosProtectionPlan \
    --ddos-protection true

Hinweis

Sie können ein virtuelles Netzwerk nicht in eine andere Ressourcengruppe oder ein Abonnement verschieben, wenn DDoS Protection für das virtuelle Netzwerk aktiviert ist. Wenn Sie ein virtuelles Netzwerk mit aktivierter DDos Protection verschieben müssen, deaktivieren Sie zuerst DDoS Protection, verschieben Sie das virtuelle Netzwerk und aktivieren Sie dann DDoS Protection wieder. Nach der Verschiebung werden die automatisch optimierten Schwellenwerte der Richtlinie für alle geschützten, öffentlichen IP-Adressen im virtuellen Netzwerk zurückgesetzt.

Aktivieren des DDoS-Schutzes für ein vorhandenes virtuelles Netzwerk

Beim Erstellen eines DDoS-Schutzplans können Sie dem Plan ein oder mehrere virtuelle Netzwerke zuordnen. Um mehrere virtuelle Netzwerke hinzuzufügen, führen Sie die Namen oder IDs auf. Trennen Sie die Namen oder IDs dabei jeweils durch ein Leerzeichen. In diesem Beispiel fügen wir MyVnet hinzu:

az group create \
    --name MyResourceGroup \
    --location eastus

az network ddos-protection create \
    --resource-group MyResourceGroup \
    --name MyDdosProtectionPlan 
    --vnets MyVnet

Alternativ können Sie den DDoS-Schutz auch für ein vorhandenes virtuelles Netzwerk aktivieren:

az network vnet update \
    --resource-group MyResourceGroup \
    --name MyVnet \
    --ddos-protection-plan MyDdosProtectionPlan \
    --ddos-protection true

Deaktivieren des DDoS-Schutzes für ein virtuelles Netzwerk

Aktualisieren Sie ein vorhandenes virtuelles Netzwerk, um den DDoS-Schutz zu deaktivieren:

az network vnet update \
    --resource-group MyResourceGroup \
    --name MyVnet \
    --ddos-protection-plan MyDdosProtectionPlan \
    --ddos-protection false
    

Überprüfen und Testen

Überprüfen Sie zunächst die Details Ihres DDoS-Schutzplans:

az network ddos-protection show \
    --resource-group MyResourceGroup \
    --name MyDdosProtectionPlan

Stellen Sie sicher, dass der Befehl die korrekten Details Ihres DDoS-Schutzplans zurückgibt.

Bereinigen von Ressourcen

Sie können Ihre Ressourcen für das nächste Tutorial beibehalten. Löschen Sie die Ressourcengruppe MyResourceGroup, wenn Sie sie nicht mehr benötigen. Wenn Sie die Ressourcengruppe löschen, werden auch der DDoS-Schutzplan und alle zugehörigen Ressourcen gelöscht.

Führen Sie az group delete aus, um die Ressourcengruppe zu löschen:

az group delete \
--name MyResourceGroup 

Hinweis

Wenn Sie einen DDoS-Schutzplan löschen möchten, müssen Sie zuerst die Zuordnung aller virtuellen Netzwerke für diesen Plan aufheben.

Nächste Schritte

Informationen zum Anzeigen und Konfigurieren von Telemetriedaten für Ihren DDoS-Schutzplan, finden Sie in den Tutorials.