クイックスタート: Azure CLI を使用して Azure DDoS のネットワーク保護を作成および構成する
Azure CLI を使用して Azure DDoS のネットワーク保護の使用を始めます。
DDoS 保護プランでは、サブスクリプションの境界を越えて、DDoS ネットワーク保護が有効になった仮想ネットワークのセットを定義します。 組織で 1 つの DDoS Protection プランを構成し、複数のサブスクリプションから同じプランに仮想ネットワークをリンクできます。
このクイックスタートでは、DDoS 保護プランを作成し、それを仮想ネットワークにリンクします。
前提条件
- アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。
- ローカルにインストールされた Azure CLI または Azure Cloud Shell
Azure Cloud Shell
Azure では、ブラウザーを介して使用できる対話型のシェル環境、Azure Cloud Shell がホストされています。 Cloud Shell で Bash または PowerShell を使用して、Azure サービスを操作できます。 ローカル環境に何もインストールしなくても、Cloud Shell にプレインストールされているコマンドを使用して、この記事のコードを実行できます。
Azure Cloud Shell を開始するには、以下のようにします。
オプション | 例とリンク |
---|---|
コードまたはコマンド ブロックの右上隅にある [使ってみる] を選択します。 [使ってみる] を選択しても、コードまたはコマンドは Cloud Shell に自動的にはコピーされません。 | |
https://shell.azure.com に移動するか、[Cloud Shell を起動する] ボタンを選択して、ブラウザーで Cloud Shell を開きます。 | |
Azure portal の右上にあるメニュー バーの [Cloud Shell] ボタンを選択します。 |
Azure Cloud Shell を使用するには、以下のようにします。
Cloud Shell を開始します。
コード ブロック (またはコマンド ブロック) の [コピー] ボタンを選択し、コードまたはコマンドをコピーします。
Windows と Linux では Ctrl+Shift+V キーを選択し、macOS では Cmd+Shift+V キーを選択して、コードまたはコマンドを Cloud Shell セッションに貼り付けます。
Enter キーを選択して、コードまたはコマンドを実行します。
CLI をローカルにインストールして使用する場合、このクイックスタートでは Azure CLI バージョン 2.0.56 以降が必要です。 バージョンを確認するには、az --version
を実行します。 インストールまたはアップグレードが必要な場合は、Azure CLI のインストールに関するページを参照してください。
DDoS Protection プランを作成する
Azure で、関連するリソースをリソース グループに割り当てます。 既存のリソース グループを使用することも、新しいリソース グループを作成することもできます。
リソース グループを作成するには、az group create を使用します。 この例では、リソース グループに MyResourceGroup という名前を付け、"米国東部" の場所を使用します。
az group create \
--name MyResourceGroup \
--location eastus
次に、MyDdosProtectionPlan という名前の DDoS Protection プランを作成します。
az network ddos-protection create \
--resource-group MyResourceGroup \
--name MyDdosProtectionPlan
仮想ネットワークの DDoS 保護を有効にする
新しい仮想ネットワークの DDoS 保護を有効にする
仮想ネットワークを作成するときに、DDoS 保護を有効にすることができます。 この例では、仮想ネットワークに MyVnet という名前を付けます。
az network vnet create \
--resource-group MyResourceGroup \
--name MyVnet \
--location eastus \
--ddos-protection-plan MyDdosProtectionPlan \
--ddos-protection true
Note
仮想ネットワークに対して DDoS Protection が有効になっている場合、仮想ネットワークを別のリソース グループまたはサブスクリプションに移動することはできません。 DDoS Protection が有効になっている仮想ネットワークを移動する必要がある場合は、まず DDoS Protection を無効にし、仮想ネットワークを移動してから、DDoS Protection を有効にします。 移動後に、仮想ネットワーク内のすべての保護されたパブリック IP アドレスの自動調整されたポリシーしきい値がリセットされます。
既存の仮想ネットワークの DDoS 保護を有効にする
DDoS Protection プランを作成するときに、1 つまたは複数の仮想ネットワークをプランに関連付けることができます。 複数の仮想ネットワークを追加するには、名前または ID をスペースで区切って列挙します。 この例では、MyVnet を追加します。
az group create \
--name MyResourceGroup \
--location eastus
az network ddos-protection create \
--resource-group MyResourceGroup \
--name MyDdosProtectionPlan
--vnets MyVnet
また、特定の仮想ネットワークに対して DDoS 保護を有効にすることもできます。
az network vnet update \
--resource-group MyResourceGroup \
--name MyVnet \
--ddos-protection-plan MyDdosProtectionPlan \
--ddos-protection true
仮想ネットワークに対して DDoS 保護を無効にする
DDoS 保護を無効にするよう、特定の仮想ネットワークを更新します。
az network vnet update \
--resource-group MyResourceGroup \
--name MyVnet \
--ddos-protection-plan MyDdosProtectionPlan \
--ddos-protection false
検証とテスト
まず、DDoS 保護プランの詳細を確認します。
az network ddos-protection show \
--resource-group MyResourceGroup \
--name MyDdosProtectionPlan
コマンドで DDoS 保護プランの正しい詳細が返されることを確認します。
リソースをクリーンアップする
次のチュートリアルのためにリソースを保持しておくことができます。 不要になったら、MyResourceGroup リソース グループを削除します。 リソース グループを削除する際に、DDoS Protection プランとその関連リソースもすべて削除します。
リソース グループを削除するには、az group delete を使用します。
az group delete \
--name MyResourceGroup
Note
DDoS 保護プランを削除する場合は、最初にそのプランからすべての仮想ネットワークの関連付けを解除する必要があります。
次のステップ
DDoS 保護プラン用にテレメトリを表示および構成する方法を学習するには、チュートリアルに進んでください。