次の方法で共有

チュートリアル: Azure DDoS 保護を使用して Azure Route Server を保護する

  • [アーティクル]

この記事は、DDoS で保護された仮想ネットワークを使用して Azure Route Server を作成するのに役立ちます。 Azure DDoS 保護は、パブリックにアクセス可能なルート サーバーを分散型サービス拒否攻撃から保護します。

重要

ネットワーク保護 SKU を使用すると、Azure DDoS Protection のコストが発生します。 超過料金は、テナントで 100 を超えるパブリック IP が保護されている場合にのみ適用されます。 今後リソースを使用しない場合は、このチュートリアルのリソースを必ず削除してください。 価格の詳細については、「Azure DDoS Protection の価格」を参照してください。 Azure DDoS Protection の詳細については、「Azure DDoS Protection とは何か?」を参照してください

このチュートリアルでは、次の作業を行う方法について説明します。

  • DDoS Protection プランを作成する
  • Azure Route Server を作成する
  • DDoS 保護とプランを有効にする
  • Route Server を構成する

前提条件

DDoS 保護プランを作成します

このセクションでは、この記事の後半で作成する仮想ネットワークに関連付ける Azure DDoS 保護プランを作成します。

  1. Azure portal にサインインします。

  2. ポータルの上部にある検索ボックスに、「DDoS 保護」と入力します。 検索結果から [DDoS 保護プラン] を選択します。

  3. [+ 作成] を選択します。

  4. [DDoS 保護プランの作成][基本情報] タブで、次の情報を入力するか選択します。

    設定
    プロジェクトの詳細
    サブスクリプション サブスクリプションを選択します。
    Resource group [新規作成] を選択します。
    RouteServerRG」と入力します。

    を選択します。
    インスタンスの詳細
    Name myDDoSProtectionPlan」と入力します。
    リージョン [米国西部] を選択します。

  5. [Review + create](レビュー + 作成) を選択します。

  6. [作成] を選択します

ルート サーバーを作成する

このセクションでは、Azure Route Server を作成します。 ルート サーバーに使用される仮想ネットワークとパブリック IP アドレスは、ルート サーバーのデプロイ中に作成されます。

  1. ポータルの上部にある検索ボックスに、「Route Server」と入力します。 検索結果から [ルート サーバー] を選びます。

  2. [+ 作成] を選択します。

  3. [Create a Route Server] (Route Server の作成)[基本情報] タブで、次の情報を入力するか選択します。

    設定
    プロジェクトの詳細
    サブスクリプション サブスクリプションを選択します。
    Resource group [RouteServerRG] を選択します。
    インスタンスの詳細
    名前 myRouteServer を入力します。
    リージョン [米国西部] を選択します。
    仮想ネットワークを構成する
    仮想ネットワーク [新規作成] を選択します。
    [名前] に、「myVNet」と入力します。
    事前に設定されている [アドレス空間][サブネット] はそのままにします。 この記事の例では、アドレス空間は 10.1.0.0/16 で、サブネットは 10.1.0.0/24 です。
    [サブネット] で、[サブネット名] に「RouteServerSubnet」と入力します。
    [アドレスの範囲] に、「10.1.1.0/27」と入力します。

    を選択します。
    Subnet RouteServerSubnet (10.1.1.0/27) を選択します。
    パブリック IP アドレス
    パブリック IP アドレス [新規作成] を選択します。
    パブリック IP アドレス名 myPublicIP」と入力します。

    仮想ネットワークの作成とサブネットを示すスクリーンショット。

  4. [Review + create](レビュー + 作成) を選択します。

  5. [作成] を選択します

    Note

    Route Server の展開には、最大で 30 分かかることがあります。

DDoS 保護を有効にする

Azure DDoS ネットワークは、保護するリソースが存在する仮想ネットワークで有効化されます。

  1. ポータルの上部にある検索ボックスに、「仮想ネットワーク」と入力します。 検索結果から、[仮想ネットワーク] を選択します。

  2. [myVNet] を選択します。

  3. [設定] で、[DDoS 保護] を選択します。

  4. [有効化] を選択します。

  5. DDoS 保護プランのプルダウン ボックスで、[myDDoSProtectionPlan] を選択します。

  6. [保存] を選択します。

NVA とのピアリングを設定する

このセクションでは、NVA との BGP ピアリングを設定します。

  1. ポータルの上部にある検索ボックスに、「Route Server」と入力します。 検索結果から [ルート サーバー] を選びます。

  2. [myRouteServer] を選択します。

  3. [設定](Peers) [ピア] を選択します。

  4. [+ 追加] を選択します。

  5. [Add Peer] (ピアの追加) で、次の情報を入力するか選択します。

    設定
    Name お使いの Route Server と NVA の間のピアリングの名前を入力します。
    ASN お使いの NVA の自律システム番号 (ASN) を入力します。
    [IPv4 アドレス] Route Server とピアリングする NVA の IP アドレスを入力します。

  6. [追加] を選択します。

NVA の構成を完了する

お使いの NVA での構成を完了して BGP セッションを確立するには、Azure Route Server のピア IP と ASN が必要です。 この情報は、お使いのルート サーバーの概要ページから取得できます。

  1. ポータルの上部にある検索ボックスに、「Route Server」と入力します。 検索結果から [ルート サーバー] を選びます。

  2. [myRouteServer] を選択します。

  3. [myRouteServer][概要] ページで、[ASN][Peer IPs] (ピア IP) の値をメモします。

    ルート サーバーの概要ページのスクリーンショット。

リソースをクリーンアップする

今後このアプリケーションを使う予定がなければ、次の手順を使用して、仮想ネットワーク、DDoS 保護プラン、Route Server を削除します。

  1. ポータルの上部にある検索ボックスに、「RouteServerRG」と入力します。 検索結果から [RouteServerRG] を選択します。

  2. [リソース グループの削除] を選択します。

  3. [リソース グループの削除] に「RouteServerRG」と入力し、[削除] を選択します。

  4. [削除] を選択して、リソース グループとそのすべてのリソースの削除を確認します。

次のステップ

Azure Route Server を構成して管理する