Delen via

QuickStart: Azure DDoS Network Protection maken en configureren met behulp van Azure CLI

  • Artikel

Ga aan de slag met Azure DDoS Network Protection met behulp van Azure CLI.

Een DDoS-beveiligingsplan definieert een set virtuele netwerken waarvoor DDoS-netwerkbeveiliging is ingeschakeld, tussen abonnementen. U kunt voor uw organisatie één DDoS-beschermingsplan configureren en virtuele netwerken vanuit meerdere abonnementen aan hetzelfde plan koppelen.

In deze quickstart maakt u een DDoS-beveiligingsplan en koppelt u dit aan een virtueel netwerk.

Diagram van DDoS-netwerkbeveiliging.

Vereisten

  • Een Azure-account met een actief abonnement. Gratis een account maken
  • Azure CLI lokaal geïnstalleerd of Azure Cloud Shell

Azure Cloud Shell

Azure host Azure Cloud Shell, een interactieve shell-omgeving die u via uw browser kunt gebruiken. U kunt Bash of PowerShell gebruiken met Cloud Shell om met Azure-services te werken. U kunt de vooraf geïnstalleerde Cloud Shell-opdrachten gebruiken om de code in dit artikel uit te voeren zonder dat u iets hoeft te installeren in uw lokale omgeving.

Om Azure Cloud Shell op te starten:

Optie Voorbeeld/koppeling
Selecteer Uitproberen in de rechterbovenhoek van een code- of opdrachtblok. Als u Try It selecteert, wordt de code of opdracht niet automatisch gekopieerd naar Cloud Shell. Schermopname van een voorbeeld van Probeer het nu voor Azure Cloud Shell.
Ga naar https://shell.azure.com, of selecteer de knop Cloud Shell starten om Cloud Shell in uw browser te openen. Knop om Azure Cloud Shell te starten.
Klik op de knop Cloud Shell in het menu in de balk rechtsboven in de Azure-portal. Schermopname van de knop Cloud Shell in Azure Portal

Azure Cloud Shell gebruiken:

  1. Start Cloud Shell.

  2. Selecteer de knop Kopiëren op een codeblok (of opdrachtblok) om de code of opdracht te kopiëren.

  3. Plak de code of opdracht in de Cloud Shell-sessie door Ctrl+Shift+V in Windows en Linux te selecteren of door Cmd+Shift+V te selecteren in macOS.

  4. Selecteer Enter om de code of opdracht uit te voeren.

Als u ervoor kiest om de CLI lokaal te installeren en te gebruiken, is voor deze quickstart Versie 2.0.56 of hoger van Azure CLI vereist. Voer az --version uit om de versie te zoeken. Als u uw CLI wilt installeren of upgraden, raadpleegt u De Azure CLI installeren.

Een DDoS Protection-plan maken

In Azure kunt u verwante resources toewijzen aan een resourcegroep. U kunt een bestaande resourcegroep gebruiken of een nieuwe maken.

Als u een resourcegroep wilt maken, gebruikt u az group create. In dit voorbeeld noemen we de resourcegroep MyResourceGroup en gebruiken we de locatie VS - oost:

az group create \
    --name MyResourceGroup \
    --location eastus

Maak nu een DDoS-beveiligingsplan met de naam MyDdosProtectionPlan:

az network ddos-protection create \
    --resource-group MyResourceGroup \
    --name MyDdosProtectionPlan

DDoS-beveiliging inschakelen voor een virtueel netwerk

DDoS-beveiliging inschakelen voor een nieuw virtueel netwerk

U kunt DDoS-beveiliging inschakelen bij het maken van een virtueel netwerk. In dit voorbeeld noemen we het virtuele netwerk MyVnet:

az network vnet create \
    --resource-group MyResourceGroup \
    --name MyVnet \
    --location eastus \
    --ddos-protection-plan MyDdosProtectionPlan \
    --ddos-protection true

Notitie

U kunt een virtueel netwerk niet verplaatsen naar een andere resourcegroep of een ander abonnement wanneer DDoS Protection is ingeschakeld voor het virtuele netwerk. Als u een virtueel netwerk wilt verplaatsen waarvoor DDoS Protection is ingeschakeld, schakelt u DDoS Protection eerst uit, verplaatst u het virtuele netwerk en schakelt u DDoS Protection in. Na de verplaatsing worden de drempelwaarden voor automatisch afgestemd beleid voor alle beveiligde openbare IP-adressen in het virtuele netwerk opnieuw ingesteld.

DDoS-beveiliging inschakelen voor een bestaand virtueel netwerk

Wanneer u een DDoS-beveiligingsplan maakt, kunt u een of meer virtuele netwerken aan het plan koppelen. Als u meer dan één virtueel netwerk wilt toevoegen, vermeldt u de namen of id's, gescheiden door spaties. In dit voorbeeld voegen we MyVnet toe:

az group create \
    --name MyResourceGroup \
    --location eastus

az network ddos-protection create \
    --resource-group MyResourceGroup \
    --name MyDdosProtectionPlan 
    --vnets MyVnet

U kunt ook DDoS-beveiliging inschakelen voor een bepaald virtueel netwerk:

az network vnet update \
    --resource-group MyResourceGroup \
    --name MyVnet \
    --ddos-protection-plan MyDdosProtectionPlan \
    --ddos-protection true

DDoS-beveiliging voor een virtueel netwerk uitschakelen

Werk een bepaald virtueel netwerk bij om DDoS-beveiliging uit te schakelen:

az network vnet update \
    --resource-group MyResourceGroup \
    --name MyVnet \
    --ddos-protection-plan MyDdosProtectionPlan \
    --ddos-protection false

Valideren en testen

Controleer eerst de details van uw DDoS-beveiligingsplan:

az network ddos-protection show \
    --resource-group MyResourceGroup \
    --name MyDdosProtectionPlan

Controleer of de opdracht de juiste gegevens van uw DDoS-beveiligingsplan retourneert.

Resources opschonen

U kunt uw resources behouden voor de volgende zelfstudie. Als u deze niet meer nodig hebt, verwijdert u de resourcegroep MyResourceGroup . Wanneer u de resourcegroep verwijdert, verwijdert u ook het DDoS-beveiligingsplan en alle bijbehorende resources.

Gebruik az group delete om de resourcegroep te verwijderen:

az group delete \
--name MyResourceGroup

Notitie

Als u een DDoS-beveiligingsplan wilt verwijderen, moet u eerst alle virtuele netwerken loskoppelen.

Volgende stappen

Ga door naar de zelfstudies voor meer informatie over het weergeven en configureren van telemetrie voor uw DDoS-beschermingsplan.

DDoS-beschermingstelemetrie bekijken en configureren