Udostępnij za pośrednictwem

Samouczek: ochrona bramy aplikacji za pomocą usługi Azure DDoS Network Protection

  • Artykuł

Ten artykuł ułatwia utworzenie bramy aplikacja systemu Azure z chronioną siecią wirtualną DDoS. Usługa Azure DDoS Network Protection umożliwia rozszerzone możliwości ograniczania ryzyka ataków DDoS, takie jak adaptacyjne dostrajanie, powiadomienia o alertach ataku i monitorowanie w celu ochrony bram aplikacji przed atakami DDoS na dużą skalę.

Diagram ochrony przed atakami DDoS łączący się z usługą Application Gateway.

Ważne

Usługa Azure DDoS Protection wiąże się z kosztami korzystania z jednostki SKU ochrony sieci. Opłaty za nadwyżki mają zastosowanie tylko wtedy, gdy w dzierżawie jest chronionych więcej niż 100 publicznych adresów IP. Upewnij się, że usuniesz zasoby w tym samouczku, jeśli nie używasz zasobów w przyszłości. Aby uzyskać informacje o cenach, zobacz Cennik usługi Azure DDoS Protection. Aby uzyskać więcej informacji na temat usługi Azure DDoS Protection, zobacz Co to jest usługa Azure DDoS Protection.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Tworzenie planu ochrony przed atakami DDoS
  • Tworzenie bramy aplikacji
  • Kojarzenie planu usługi DDoS Protection z siecią wirtualną
  • Dodawanie maszyn wirtualnych do zaplecza bramy aplikacji
  • Testowanie bramy aplikacji

Wymagania wstępne

Wymagane jest konto platformy Azure z aktywną subskrypcją. Jeśli nie masz jeszcze konta, możesz bezpłatnie utworzyć konto.

Tworzenie planu ochrony przed atakami DDoS

  1. Zaloguj się w witrynie Azure Portal.

  2. W polu wyszukiwania w górnej części portalu wprowadź ochronę przed atakami DDoS. Wybierz plany ochrony przed atakami DDoS w wynikach wyszukiwania, a następnie wybierz pozycję + Utwórz.

  3. Na karcie Podstawy na stronie Tworzenie planu ochrony przed atakami DDoS wprowadź lub wybierz następujące informacje:

    Zrzut ekranu przedstawiający kartę Podstawy tworzenia planu ochrony przed atakami DDoS.

    Ustawienie Wartość
    Szczegóły projektu
    Subskrypcja Wybierz subskrypcję platformy Azure.
    Resource group Wybierz pozycjęUtwórz nowy.
    Wprowadź nazwę myResourceGroupAG.
    Wybierz przycisk OK.
    Szczegóły wystąpienia
    Nazwisko Wprowadź wartość myDDoSProtectionPlan.
    Region (Region) Wybierz pozycję Środkowe stany USA.

  4. Wybierz pozycję Przejrzyj i utwórz , a następnie wybierz pozycję Utwórz , aby wdrożyć plan ochrony przed atakami DDoS.

Tworzenie bramy aplikacji

Bramę aplikacji utworzysz przy użyciu kart na stronie Tworzenie bramy aplikacji.

  1. W menu witryny Azure Portal lub na stronie głównej wybierz pozycję Utwórz zasób.
  2. W obszarze Kategorie wybierz pozycję Sieć , a następnie wybierz pozycję Application Gateway na liście Popularne usługi platformy Azure.

Karta Podstawowe

  1. Na karcie Podstawy wprowadź następujące wartości dla następujących ustawień bramy aplikacji:

    • Grupa zasobów: wybierz grupę zasobów myResourceGroupAG . Jeśli ta grupa nie istnieje, wybierz pozycję Utwórz nową w celu jej utworzenia.

    • Nazwa bramy aplikacji: wprowadź nazwę bramy aplikacji myAppGateway .

      Tworzenie nowej bramy aplikacji: podstawy

  2. Aby platforma Azure komunikowała się między utworzonymi zasobami, wymagana jest sieć wirtualna. Możesz utworzyć nową sieć wirtualną lub użyć istniejącej. W tym przykładzie utworzysz nową sieć wirtualną w tym samym czasie, w której tworzysz bramę aplikacji. Wystąpienia usługi Application Gateway są tworzone w oddzielnych podsieciach. W tym przykładzie utworzysz dwie podsieci: jedną dla bramy aplikacji, a drugą dla serwerów zaplecza.

    Uwaga

    Zasady punktu końcowego usługi dla sieci wirtualnej nie są obecnie obsługiwane w podsieci usługi Application Gateway.

    W obszarze Konfigurowanie sieci wirtualnej utwórz nową sieć wirtualną, wybierając pozycję Utwórz nową. W wyświetlonym oknie Tworzenie sieci wirtualnej wprowadź następujące wartości, aby utworzyć sieć wirtualną i dwie podsieci:

    • Nazwa: wprowadź nazwę sieci wirtualnej myVNet .

    • Nazwa podsieci (podsieć usługi Application Gateway): siatka Podsieci będzie zawierać podsieć o nazwie default. Zmień nazwę tej podsieci na myAGSubnet.
      Podsieć bramy aplikacji może zawierać tylko bramy aplikacji. Inne zasoby nie są dozwolone.

    • Nazwa podsieci (podsieć serwera zaplecza): w drugim wierszu siatki Podsieci wprowadź wartość myBackendSubnet w kolumnie Nazwa podsieci.

    • Zakres adresów (podsieć serwera zaplecza): w drugim wierszu siatki podsieci wprowadź zakres adresów, który nie nakłada się na zakres adresów myAGSubnet. Jeśli na przykład zakres adresów podsieci myAGSubnet to 10.0.0.0/24, wprowadź wartość 10.0.1.0/24 dla zakresu adresów podsieci myBackendSubnet.

    Wybierz przycisk OK , aby zamknąć okno Tworzenie sieci wirtualnej i zapisać ustawienia sieci wirtualnej.

    Tworzenie nowej bramy aplikacji: sieć wirtualna

  3. Na karcie Podstawowe zaakceptuj wartości domyślne innych ustawień, a następnie wybierz pozycję Dalej: Frontony.

Karta Frontonów

  1. Na karcie Frontony sprawdź, czy typ adresu IP frontonu jest ustawiony na Publiczny.
    Adres IP frontonu można skonfigurować tak, aby był publiczny lub prywatny zgodnie z twoim przypadkiem użycia. W tym przykładzie wybierzesz publiczny adres IP frontonu.

    Uwaga

    W przypadku jednostki SKU usługi Application Gateway w wersji 2 musi istnieć konfiguracja publicznego adresu IP frontonu. Nadal można mieć konfigurację publicznego i prywatnego adresu IP frontonu, ale konfiguracja adresu IP frontonu prywatnego (tylko tryb ILB) nie jest obecnie włączona dla jednostki SKU w wersji 2.

  2. Wybierz pozycję Dodaj nowy dla publicznego adresu IP i wprowadź ciąg myAGPublicIPAddress jako nazwę publicznego adresu IP, a następnie wybierz przycisk OK.

    Tworzenie nowej bramy aplikacji: frontony

  3. Wybierz pozycję Dalej: zaplecza.

Karta Zaplecza

Pula zaplecza służy do kierowania żądań do serwerów zaplecza obsługujących żądanie. Pule zaplecza mogą składać się z kart sieciowych, zestawów skalowania maszyn wirtualnych, publicznych adresów IP, wewnętrznych adresów IP, w pełni kwalifikowanych nazw domen (FQDN) i zapleczy wielodostępnych, takich jak usługa aplikacja systemu Azure. W tym przykładzie utworzysz pustą pulę zaplecza z bramą aplikacji, a następnie dodasz elementy docelowe zaplecza do puli zaplecza.

  1. Na karcie Zaplecza wybierz pozycję Dodaj pulę zaplecza.

  2. W oknie Dodawanie puli zaplecza, które zostanie otwarte, wprowadź następujące wartości, aby utworzyć pustą pulę zaplecza:

    • Nazwa: wprowadź nazwę puli zaplecza myBackendPool .
    • Dodaj pulę zaplecza bez obiektów docelowych: wybierz pozycję Tak , aby utworzyć pulę zaplecza bez obiektów docelowych. Obiekty docelowe zaplecza zostaną dodane po utworzeniu bramy aplikacji.

  3. W oknie Dodawanie puli zaplecza wybierz pozycję Dodaj, aby zapisać konfigurację puli zaplecza i wrócić do karty Zaplecza.

    Tworzenie nowej bramy aplikacji: zaplecza

  4. Na karcie Zaplecza wybierz pozycję Dalej: Konfiguracja.

Karta konfiguracji

Na karcie Konfiguracja połączysz pulę frontonu i zaplecza utworzoną przy użyciu reguły routingu.

  1. Wybierz pozycję Dodaj regułę routingu w kolumnie Reguły routingu.

  2. W oknie Dodawanie reguły routingu, które zostanie otwarte, wprowadź następujące wartości w polach Nazwa reguły i Priorytet:

    • Nazwa reguły: wprowadź nazwę reguły myRoutingRule .
    • Priorytet: Wartość priorytetu powinna należeć do zakresu od 1 do 20000 (gdzie 1 reprezentuje najwyższy priorytet i najniższy poziom 20000) — na potrzeby tego przewodnika Szybki start wprowadź wartość 100 dla priorytetu.

  3. Reguła routingu wymaga odbiornika. Na karcie Odbiornik w oknie Dodawanie reguły routingu wprowadź następujące wartości dla odbiornika:

    • Nazwa odbiornika: wprowadź wartość myListener jako nazwę odbiornika.

    • Adres IP frontonu: wybierz pozycję Publiczny, aby wybrać publiczny adres IP utworzony dla frontonu.

      Zaakceptuj wartości domyślne innych ustawień na karcie Odbiornik , a następnie wybierz kartę Elementy docelowe zaplecza, aby skonfigurować pozostałą część reguły routingu.

    Tworzenie nowej bramy aplikacji: odbiornik

  4. Na karcie Elementy docelowe zaplecza wybierz pozycję myBackendPool dla obiektu docelowego zaplecza.

  5. Dla ustawienia Zaplecze wybierz pozycję Dodaj nowe, aby dodać nowe ustawienie zaplecza. Ustawienie Zaplecza określi zachowanie reguły routingu. W oknie Dodawanie zaplecza, które zostanie otwarte, wprowadź wartość myBackendSetting jako nazwę ustawień zaplecza i 80 dla portu zaplecza. Zaakceptuj wartości domyślne innych ustawień w oknie Dodawanie ustawienia zaplecza, a następnie wybierz pozycję Dodaj , aby powrócić do okna Dodawanie reguły routingu.

    Tworzenie nowej bramy aplikacji: ustawienie HTTP

  6. W oknie Dodawanie reguły routingu wybierz pozycję Dodaj, aby zapisać regułę routingu i wrócić do karty Konfiguracja.

    Tworzenie nowej bramy aplikacji: reguła routingu

  7. Wybierz pozycję Dalej: Tagi , a następnie Dalej: Przejrzyj i utwórz.

Karta Przeglądanie i tworzenie

Przejrzyj ustawienia na karcie Przeglądanie i tworzenie , a następnie wybierz pozycję Utwórz , aby utworzyć sieć wirtualną, publiczny adres IP i bramę aplikacji. Tworzenie bramy aplikacji na platformie Azure może potrwać kilka minut. Zaczekaj na pomyślne zakończenie wdrożenia, zanim przejdziesz do kolejnej sekcji.

Włączanie ochrony przed atakami DDoS

Usługa Azure DDoS Network Protection jest włączona w sieci wirtualnej, w której znajduje się zasób, który chcesz chronić.

  1. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne w wynikach wyszukiwania.

  2. Wybierz pozycję myVNet.

  3. Wybierz pozycję Ochrona przed atakami DDoS w obszarze Ustawienia.

  4. Wybierz opcję Włącz.

  5. W polu ściągania w planie ochrony przed atakami DDoS wybierz pozycję myDDoSProtectionPlan.

    Zrzut ekranu przedstawiający ochronę sieci D D o S.

  6. Wybierz pozycję Zapisz.

Dodawanie obiektów docelowych zaplecza

W tym przykładzie użyjesz maszyn wirtualnych jako docelowego zaplecza. Możesz użyć istniejących maszyn wirtualnych lub utworzyć nowe. Utworzysz dwie maszyny wirtualne jako serwery zaplecza dla bramy aplikacji.

W tym celu wykonasz następujące czynności:

  1. Utwórz dwie nowe maszyny wirtualne myVM i myVM2 do użycia jako serwery zaplecza.
  2. Zainstaluj usługi IIS na maszynach wirtualnych, aby sprawdzić, czy brama aplikacji została pomyślnie utworzona.
  3. Dodaj serwery zaplecza do puli zaplecza.

Tworzenie maszyny wirtualnej

  1. W menu witryny Azure Portal lub na stronie głównej wybierz pozycję Utwórz zasób. Zostanie wyświetlone okno Nowe.

  2. Wybierz pozycję Windows Server 2016 Datacenter na liście Popularne . Zostanie wyświetlona strona Tworzenie maszyny wirtualnej.
    Usługa Application Gateway może kierować ruch do dowolnego typu maszyny wirtualnej używanej w puli zaplecza. W tym przykładzie użyjesz maszyny wirtualnej z systemem Windows Server 2016 Datacenter.

  3. Wprowadź następujące wartości na karcie Podstawy dla poniższych ustawień maszyny wirtualnej:

    • Grupa zasobów: wybierz nazwę grupy zasobów myResourceGroupAG .
    • Nazwa maszyny wirtualnej: wprowadź nazwę maszyny wirtualnej myVM .
    • Region: wybierz ten sam region, w którym utworzono bramę aplikacji.
    • Nazwa użytkownika: wpisz nazwę użytkownika administratora.
    • Hasło: wpisz hasło.
    • Publiczne porty wejściowe: Brak.

  4. Zaakceptuj inne wartości domyślne, a następnie wybierz pozycję Dalej: Dyski.

  5. Zaakceptuj wartości domyślne karty Dyski, a następnie wybierz pozycję Dalej: Sieć.

  6. Na karcie Sieć sprawdź, czy wybrano pozycję myVNet w obszarze Sieć wirtualna oraz czy pozycja Podsieć została ustawiona na wartość myBackendSubnet. Zaakceptuj inne wartości domyślne, a następnie wybierz pozycję Dalej: Zarządzanie.
    Usługa Application Gateway może komunikować się z wystąpieniami poza siecią wirtualną, w której się znajduje, ale musisz upewnić się, że istnieje łączność ip.

  7. Na karcie Zarządzanie ustaw opcję Diagnostyka rozruchu na Wartość Wyłącz. Zaakceptuj pozostałe wartości domyślne, a następnie wybierz pozycję Przeglądanie + tworzenie.

  8. Na karcie Przeglądanie + tworzenie przejrzyj ustawienia, usuń wszystkie błędy walidacji, a następnie wybierz pozycję Utwórz.

  9. Poczekaj na ukończenie tworzenia maszyny wirtualnej, zanim przejdziesz dalej.

Instalowanie usług IIS na potrzeby testowania

W tym przykładzie zainstalujesz usługi IIS na maszynach wirtualnych, aby sprawdzić, czy platforma Azure pomyślnie utworzyła bramę aplikacji.

  1. Otwórz program Azure PowerShell.

    Wybierz pozycję Cloud Shell na górnym pasku nawigacyjnym witryny Azure Portal, a następnie wybierz pozycję PowerShell z listy rozwijanej.

    Instalowanie rozszerzenia niestandardowego

  2. Uruchom następujące polecenie, aby zainstalować usługi IIS na maszynie wirtualnej. W razie potrzeby zmień parametr Location:

    Set-AzVMExtension `
  -ResourceGroupName myResourceGroupAG `
  -ExtensionName IIS `
  -VMName myVM `
  -Publisher Microsoft.Compute `
  -ExtensionType CustomScriptExtension `
  -TypeHandlerVersion 1.4 `
  -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
  -Location EastUS

  3. Utwórz drugą maszynę wirtualną i zainstaluj usługi IIS, wykonując kroki ukończone wcześniej. Użyj maszyny wirtualnej myVM2 jako nazwy maszyny wirtualnej i ustawienia VMName polecenia cmdlet Set-AzVMExtension .

Dodawanie serwerów zaplecza do puli zaplecza

  1. W menu witryny Azure Portal wybierz pozycję Wszystkie zasoby lub wyszukaj i wybierz pozycję Wszystkie zasoby. Następnie wybierz pozycję myAppGateway.

  2. Wybierz pozycję Pule zaplecza w menu po lewej stronie.

  3. Wybierz pozycję myBackendPool.

  4. W obszarze Obiekty docelowe zaplecza typ docelowy wybierz pozycję Maszyna wirtualna z listy rozwijanej.

  5. W obszarze Cel wybierz maszyny wirtualne myVM i myVM2 oraz skojarzone z nimi interfejsy sieciowe z listy rozwijanej.

    Dodawanie serwerów zaplecza

  6. Wybierz pozycję Zapisz.

  7. Przed przejściem do następnego kroku poczekaj na zakończenie wdrożenia.

Testowanie bramy aplikacji

Mimo że usługi IIS nie są wymagane do utworzenia bramy aplikacji, zainstalowano ją w tym przewodniku Szybki start, aby sprawdzić, czy platforma Azure pomyślnie utworzyła bramę aplikacji.

Użyj usług do przetestowania bramy aplikacji:

  1. Na ekranie Omówienie znajdź publiczny adres IP bramy aplikacji.Rejestrowanie publicznego adresu IP bramy aplikacji Możesz też wybrać pozycję Wszystkie zasoby, wprowadzić ciąg myAGPublicIPAddress w polu wyszukiwania, a następnie wybrać go w wynikach wyszukiwania. Platforma Azure wyświetla publiczny adres IP na stronie Omówienie.

  2. Skopiuj publiczny adres IP, a następnie wklej go na pasku adresu przeglądarki, aby przeglądać ten adres IP.

  3. Sprawdź odpowiedź. Prawidłowa odpowiedź sprawdza, czy brama aplikacji została pomyślnie utworzona i może pomyślnie nawiązać połączenie z zapleczem.

    Testowanie bramy aplikacji

    Odśwież przeglądarkę wiele razy i powinno być widoczne połączenia zarówno z maszyną myVM, jak i maszyną wirtualną myVM2.

Czyszczenie zasobów

Jeśli nie potrzebujesz już zasobów utworzonych za pomocą bramy aplikacji, usuń grupę zasobów. Usunięcie grupy zasobów spowoduje również usunięcie bramy aplikacji i wszystkich powiązanych zasobów.

Aby usunąć grupę zasobów:

  1. W menu witryny Azure Portal wybierz pozycję Grupy zasobów lub wyszukaj i wybierz pozycję Grupy zasobów.
  2. Na stronie Grupy zasobów wyszukaj pozycję myResourceGroupAG na liście i wybierz ją.
  3. Na stronie grupy zasobów wybierz pozycję Usuń grupę zasobów.
  4. Wprowadź ciąg myResourceGroupAG w obszarze WPISZ NAZWĘ GRUPY ZASOBÓW, a następnie wybierz pozycję Usuń

Następne kroki

Przejdź do następnego artykułu, aby dowiedzieć się, jak:

Konfigurowanie bramy aplikacji z zakończeniem szyfrowania TLS przy użyciu witryny Azure Portal