Tutorial: protección del equilibrador de carga público con Azure DDoS Protection
Azure DDoS Protection permite funcionalidades de mitigación de ataques DDoS mejoradas, como el ajuste adaptable, las notificaciones de alertas de ataque y la supervisión para proteger los equilibradores de carga públicos frente a ataques DDoS a gran escala.
Importante
Azure DDoS Protection incurre en un coste cuando usa la SKU de la Protección de red. Los cargos del uso por encima del límite solo se aplican si hay más de 100 direcciones IP públicas protegidas en el inquilino. Asegúrese de eliminar los recursos de este tutorial si no va a usarlos en el futuro. Para obtener información sobre los precios, consulte Precios de Azure DDoS Protection. Para obtener más información sobre la protección contra DDoS de Azure, consulte ¿Qué es Azure DDoS Protection?.
En este tutorial aprenderá a:
- Cree un plan de DDoS Protection.
- Cree una red virtual con los servicios DDoS Protection y Bastion habilitados.
- Cree un equilibrador de carga público de SKU estándar con IP de front-end, sondeo de estado, configuración de back-end y regla de equilibrio de carga.
- Crear una puerta de enlace NAT para el acceso a Internet de salida para el grupo de back-end.
- Cree una máquina virtual y, a continuación, instale y configure IIS en las máquinas virtuales para mostrar las reglas de reenvío y equilibrio de carga de puertos.
Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
Requisitos previos
- Una cuenta de Azure con una suscripción activa.
Creación de un plan de protección contra DDoS
Inicie sesión en Azure Portal.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Protección contra DDoS. Seleccione Planes de protección contra DDoS en los resultados de la búsqueda y, después, seleccione + Crear.
En la página Aspectos básicos de Crear un plan de protección contra DDoS, escriba o seleccione la siguiente información:
Configuración Valor Detalles del proyecto Subscription Seleccione su suscripción a Azure. Resource group Seleccione Crear nuevo.
Escriba TutorLoadBalancer-rg.
Seleccione
.Detalles de instancia Nombre Escriba myDDoSProtectionPlan. Region Seleccione (EE. UU.) Este de EE. UU. . Seleccione Revisar y crear y, después, seleccione Crear para implementar el plan de protección contra DDoS.
Crear la red virtual
En esta sección, creará una red virtual, una subred y un host de Azure Bastion, y asociará el plan de DDoS Protection. La red virtual y la subred contienen el equilibrador de carga y las máquinas virtuales. El host bastión se usa para administrar de forma segura las máquinas virtuales e instalar IIS para probar el equilibrador de carga. El plan de DDoS Protection protegerá todos los recursos de IP pública de la red virtual.
Importante
Los precios por hora comienzan desde el momento en que se implementa Bastion, independientemente del uso de datos salientes. Para más información, consulte Precios y SKU. Si va a implementar Bastion como parte de un tutorial o prueba, se recomienda eliminar este recurso una vez que haya terminado de usarlo.
En el cuadro de búsqueda de la parte superior del portal, escriba Red virtual. En los resultados de la búsqueda, seleccione Redes virtuales.
En Redes virtuales, seleccione + Crear.
En Crear red virtual, escriba o seleccione esta información en la pestaña Conceptos básicos:
Configuración Valor Detalles del proyecto Subscription Seleccione su suscripción a Azure. Grupo de recursos Seleccione TutorLoadBalancer-rg. Detalles de instancia Nombre Escriba myVNet. Region Seleccione Este de EE. UU. Seleccione la pestaña Direcciones IP o Siguiente: Direcciones IP situado en la parte inferior de la página.
En la pestaña Direcciones IP, especifique esta información:
Configuración Value Espacio de direcciones IPv4 Escriba 10.1.0.0/16. En Nombre de subred, seleccione la palabra predeterminada. Si una subred no está presente, seleccione + Agregar subred.
En Editar subred, especifique esta información:
Configuración Value Nombre de subred Escriba myBackendSubnet. Intervalo de direcciones de subred Escriba 10.1.0.0/24. Seleccione Guardar o Agregar.
Seleccione la pestaña Seguridad .
En BastionHost, seleccione Habilitar. Escriba esta información:
Configuración Valor Nombre del bastión Escriba myBastionHost. Espacio de direcciones de AzureBastionSubnet Escriba 10.1.1.0/26 Dirección IP pública Seleccione Crear nuevo.
En Nombre, escriba myBastionIP.
Seleccione Aceptar.En Protección de red DDoS, seleccione Habilitar. A continuación, en el menú desplegable, seleccione myDDoSProtectionPlan.
Seleccione la pestaña Revisar y crear o el botón Revisar y crear.
Seleccione Crear.
Nota
La red virtual y la subred se crean inmediatamente. La creación del host Bastion se envía como un trabajo y se completará en 10 minutos. Puede continuar con los pasos siguientes mientras se crea el host de Bastion.
Creación de un equilibrador de carga
En esta sección, creará un equilibrador de carga con redundancia de zona que equilibra la carga de las máquinas virtuales. Con la redundancia de zona, aunque se produzcan errores en una o varias zonas disponibilidad, la ruta de los datos puede mantenerse a salvo siempre que una zona de la región permanezca en buen estado.
Durante la creación del equilibrador de carga, configurará:
- Dirección IP del front-end
- Grupo back-end
- Reglas de equilibrio de carga de entrada
- Sondeo de mantenimiento
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Load Balancer. Seleccione Equilibradores de carga en los resultados de la búsqueda.
En la página Equilibrador de carga, seleccione + Crear.
En la pestaña Conceptos básicos de la página Crear equilibrador de carga, escriba o seleccione la siguiente información:
Configuración Valor Detalles del proyecto Suscripción Selecciona tu suscripción. Resource group Seleccione TutorLoadBalancer-rg. Detalles de instancia Nombre Escriba myLoadBalancer. Region Seleccione Este de EE. UU. SKU Deje el valor predeterminado Estándar. Tipo Seleccione Público. Nivel En Regional, deje el valor predeterminado. Seleccione Siguiente: Configuración de IP de front-end en la parte inferior de la página.
En Configuración de IP de front-end, seleccione + Agregar una IP de front-end.
Escriba myFrontEnd en Nombre.
Seleccione IPv4 para Versión de IP.
Seleccione Dirección IP para Tipo de IP.
Nota:
Para más información sobre prefijos de IP, consulte Prefijo de dirección IP pública de Azure.
Seleccione Crear nueva en Dirección IP pública.
En Agregar una dirección IP pública, escriba myPublicIP para Nombre.
Seleccione Con redundancia de zona en Zona de disponibilidad.
Nota
En las regiones con Availability Zones, tiene la opción de seleccionar Ninguna zona (opción predeterminada), una zona específica o redundancia de zona. La elección dependerá de los requisitos de error de dominio específicos. En regiones sin Availability Zones, este campo no aparecerá.
Para más información sobre las zonas de disponibilidad, consulte Introducción a las zonas de disponibilidad.Deje el valor predeterminado Microsoft Network para Preferencia de enrutamiento.
Seleccione Aceptar.
Seleccione Agregar.
Seleccione Siguiente: Grupos de back-end en la parte inferior de la página.
En la pestaña Grupos de back-end, seleccione + Agregar un grupo de back-end.
Escriba myBackendPool como Nombre en Agregar un grupo de back-end.
Seleccione myVNet en Red virtual.
Seleccione Dirección IP en Configuración del grupo de back-end.
Seleccione Guardar.
Seleccione Siguiente: Reglas de entrada en la parte inferior de la página.
En Regla de equilibrio de carga de la pestaña Reglas de entrada, seleccione + Agregar regla de equilibrio de carga.
En Agregar regla de equilibrio de carga, escriba o seleccione la siguiente información:
Configuración Value Nombre Escriba myHTTPRule. Versión de la dirección IP Seleccione IPv4 o IPv6 en función de sus requisitos. Dirección IP del front-end Seleccione myFrontend (Para crearse). Grupo back-end Seleccione MyBackendPool. Protocolo seleccione TCP. Port Escriba 80. Puerto back-end Escriba 80. Sondeo de mantenimiento Seleccione Crear nuevo.
En Nombre, escriba myHealthProbe.
Seleccione TCP en Protocolo.
Deje el resto de los valores predeterminados y seleccione Aceptar.Persistencia de la sesión Seleccione Ninguno. Tiempo de espera de inactividad (minutos) Escriba o seleccione 15. Restablecimiento de TCP Seleccione Habilitado. Dirección IP flotante Seleccione Deshabilitado. Traducción de direcciones de red de origen (SNAT) de salida Deje el valor predeterminado, (Recommended) Use outbound rules to provide backend pool members access to the internet ([Recomendado] Usar reglas de salida para que los miembros del grupo de servidores de back-end puedan acceder a Internet). Seleccione Agregar.
Seleccione el botón azul Revisar y crear en la parte inferior de la página.
Seleccione Crear.
Nota
En este ejemplo, crearemos una puerta de enlace NAT para proporcionar acceso saliente a Internet. La pestaña de reglas de salida de la configuración se omite, ya que es opcional y no se necesita con la puerta de enlace NAT. Para obtener más información sobre la puerta de enlace de Azure NAT, consulte ¿Qué es Azure Virtual Network NAT? Para obtener más información sobre las conexiones salientes en Azure, consulte Traducción de direcciones de red de origen (SNAT) para conexiones salientes
Creación de una instancia de NAT Gateway
En esta sección, creará una puerta de enlace NAT para el acceso a Internet saliente para los recursos de la red virtual. Para ver otras opciones para las reglas de salida, consulte Traducción de direcciones de red (SNAT) para las conexiones salientes.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Puerta de enlace NAT. Seleccione Puertas de enlace NAT en los resultados de búsqueda.
En Puertas de enlace NAT, seleccione + Crear.
En Crear puerta de enlace de traducción de direcciones de red (NAT) , escriba o seleccione la información siguiente:
Configuración Valor Detalles del proyecto Suscripción Selecciona tu suscripción. Resource group Seleccione TutorLoadBalancer-rg. Detalles de instancia Nombre de NAT Gateway Escriba myNATgateway. Region Seleccione Este de EE. UU. Zona de disponibilidad Seleccione Ninguno. Tiempo de espera de inactividad (minutos) Escriba 15. Seleccione la pestaña Dirección IP de salida o seleccione Siguiente: Dirección IP de salida situado en la parte inferior de la página.
En Dirección IP de salida, seleccione Crear una dirección IP pública junto a Direcciones IP públicas.
Escriba myNATgatewayIP en Nombre.
Seleccione Aceptar.
Seleccione la pestaña Subred o seleccione el botón Siguiente: Subred situado en la parte inferior de la página.
En Red virtual de la pestaña Subred, seleccione myVNet.
Seleccione myBackendSubnet en Nombre de subred.
Seleccione el botón azul Revisar y crear en la parte inferior de la página, o seleccione la pestaña Revisar y crear.
Seleccione Crear.
Creación de máquinas virtuales
En esta sección, creará dos máquinas virtuales (myVM1 y myVM2) en dos zonas distintas (Zona 1 y Zona 2).
Estas máquinas virtuales se agregan al grupo de back-end del equilibrador de carga que se creó anteriormente.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Máquina virtual. En los resultados de la búsqueda, seleccione Máquinas virtuales.
En Máquinas virtuales, seleccione + Crear> máquina virtual de Azure.
En Crear una máquina virtual, escriba o seleccione los valores siguientes en la pestaña Básico:
Configuración Valor Detalles del proyecto Suscripción Seleccione su suscripción a Azure. Grupo de recursos Seleccione TutorLoadBalancer-rg. Detalles de instancia Nombre de la máquina virtual Escriba myVM1. Region Seleccione ((EE. UU.) Este de EE. UU.). Opciones de disponibilidad Seleccione Zonas de disponibilidad. Zona de disponibilidad Seleccione Zona 1 Tipo de seguridad Seleccione Estándar. Imagen Seleccione Windows Server 2022 Datacenter: Azure Edition - Gen2 Instancia de Azure Spot Deje esta casilla desactivada, tal y como está de forma predeterminada. Size Elija el tamaño de la máquina virtual o acepte la configuración predeterminada. Cuenta de administrador Nombre de usuario Escriba un nombre de usuario. Contraseña Escriba una contraseña. Confirmar contraseña Vuelva a escribir la contraseña. Reglas de puerto de entrada Puertos de entrada públicos Seleccione Ninguno. Seleccione la pestaña Redes o seleccione Siguiente: Discos y, después, Siguiente: Redes.
En la pestaña Redes, seleccione o escriba la siguiente información:
Configuración Valor Interfaz de red Virtual network Seleccione myVNet. Subnet Seleccione myBackendSubnet. Dirección IP pública Selecciona Ninguno. Grupo de seguridad de red de NIC Seleccione Avanzado. Configuración del grupo de seguridad de red Omita esta configuración hasta que se complete el resto de la configuración. Complete después de Seleccionar un grupo de back-end. Eliminar NIC al eliminar la VM Deje esta casilla desactivada. Redes aceleradas Deje el valor predeterminado de seleccionado. Equilibrio de carga Opciones de equilibrio de carga Opciones de equilibrio de carga Seleccione el equilibrador de carga de Azure. Seleccionar un equilibrador de carga Seleccione myLoadBalancer. Seleccionar un grupo de back-end Seleccione MyBackendPool. Configuración del grupo de seguridad de red Seleccione Crear nuevo.
En la página Crear grupo de seguridad de red, escriba myNSG en Nombre.
En
, seleccione +Agregar una regla de entrada.
En
, seleccione HTTP.
En
, escriba 100.
En Nombre, escriba myNSGRule
Seleccione Agregar
Seleccione Aceptar.Seleccione Revisar + crear.
Revise la configuración y, a continuación, seleccione Crear.
Siga los pasos 1 a 7 para crear otra máquina virtual con los siguientes valores y el resto de la configuración igual que la de myVM1:
Configuración VM 2 Nombre myVM2 Zona de disponibilidad Zona 2 Grupo de seguridad de red Seleccione el grupo myNSG existente.
Nota:
Azure proporciona una dirección IP de acceso de salida predeterminada para las máquinas virtuales que no tienen asignada una dirección IP pública o están en el grupo back-end de un equilibrador de carga de Azure básico interno. El mecanismo de dirección IP de acceso de salida predeterminado proporciona una dirección IP de salida que no se puede configurar.
La dirección IP de acceso de salida predeterminada está deshabilitada cuando se produce uno de los siguientes eventos:
- Se asigna una dirección IP pública a la máquina virtual.
- La máquina virtual se coloca en el grupo back-end de un equilibrador de carga estándar, con o sin reglas de salida.
- Se asigna un recurso de Azure NAT Gateway a la subred de la máquina virtual.
Las máquinas virtuales creadas mediante conjuntos de escalado de máquinas virtuales en modo de orquestación flexible no tienen acceso de salida predeterminado.
Para más información sobre las conexiones de salida en Azure, vea Acceso de salida predeterminado en Azure y Uso de traducción de direcciones de red (SNAT) de origen para conexiones de salida.
Instalación de IIS
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Máquina virtual. En los resultados de la búsqueda, seleccione Máquinas virtuales.
Seleccione myVM1.
En la página Introducción, seleccione Conectar y después Instancia de Bastion.
Escriba el nombre de usuario y la contraseña especificados durante la creación de la máquina virtual.
Seleccione Conectar.
En el escritorio del servidor, vaya a Inicio>Windows PowerShell>Windows PowerShell.
Ejecute los siguientes comandos en la ventana de PowerShell para:
- Instalar el servidor IIS
- Eliminar el archivo predeterminado iisstart.htm
- Agregue un nuevo archivo iisstart.htm que muestre el nombre de la máquina virtual:
# Install IIS server role Install-WindowsFeature -name Web-Server -IncludeManagementTools # Remove default htm file Remove-Item C:\inetpub\wwwroot\iisstart.htm # Add a new htm file that displays server name Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)
Cierre la sesión de Bastion con myVM1.
Repita los pasos 1 a 8 para instalar IIS y el archivo iisstart.htm actualizado en myVM2.
Prueba del equilibrador de carga
En el cuadro de búsqueda que aparece en la parte superior de la página, escriba IP pública. Seleccione Direcciones IP públicas en los resultados de la búsqueda.
En Direcciones IP públicas, seleccione myPublicIP.
Copie el elemento en dirección IP. Pegue la IP pública en la barra de direcciones del explorador. La página de VM personalizada del servidor web de IIS se muestra en el explorador.
Limpieza de recursos
Cuando no los necesite, elimine el grupo de recursos, el equilibrador de carga y todos los recursos relacionados. Para ello, seleccione el grupo de recursos TutorLoadBalancer-rg, que contiene los recursos y, a continuación, seleccione Eliminar.
Pasos siguientes
Avance al siguiente artículo para obtener información sobre: