Tutorial: Proteja seu balanceador de carga público com a Proteção contra DDoS do Azure
A Proteção contra DDoS do Azure permite recursos aprimorados de mitigação de DDoS, como ajuste adaptável, notificações de alerta de ataque e monitoramento, para proteger seus balanceadores de carga públicos contra ataques DDoS em grande escala.
Importante
A Proteção contra DDoS do Azure incorre em um custo quando você usa a SKU de Proteção de Rede. As cobranças por excesso só se aplicam se mais de 100 IPs públicos estiverem protegidos no locatário. Certifique-se de excluir os recursos neste tutorial se você não estiver usando os recursos no futuro. Para obter informações sobre preços, consulte Preços de proteção contra DDoS do Azure. Para obter mais informações sobre a proteção contra DDoS do Azure, consulte O que é a Proteção contra DDoS do Azure?.
Neste tutorial, irá aprender a:
- Crie um plano de proteção contra DDoS.
- Crie uma rede virtual com o serviço Proteção contra DDoS e Bastion ativado.
- Crie um balanceador de carga público SKU padrão com IP de frontend, sonda de integridade, configuração de back-end e regra de balanceamento de carga.
- Crie um gateway NAT para acesso de saída à Internet para o pool de back-end.
- Crie uma máquina virtual e, em seguida, instale e configure o IIS nas VMs para demonstrar as regras de encaminhamento de porta e balanceamento de carga.
Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.
Pré-requisitos
- Uma conta do Azure com uma subscrição ativa.
Criar um plano de proteção contra DDoS
Inicie sessão no portal do Azure.
Na caixa de pesquisa na parte superior do portal, digite Proteção contra DDoS. Selecione Planos de proteção contra DDoS nos resultados da pesquisa e, em seguida, selecione + Criar.
Na guia Noções básicas da página Criar um plano de proteção contra DDoS, insira ou selecione as seguintes informações:
Definição Value Detalhes do projeto Subscrição Selecione a subscrição do Azure. Grupo de recursos Selecione Criar novo.
Digite TutorLoadBalancer-rg.
Selecione OK.Detalhes da instância Nome Digite myDDoSProtectionPlan. País/Região Selecione (EUA) Leste dos EUA. Selecione Rever + criar e, em seguida, selecione Criar para implementar o plano de proteção contra DDoS.
Criar a rede virtual
Nesta seção, você criará uma rede virtual, uma sub-rede, um host do Azure Bastion e associará o plano de Proteção contra DDoS. A rede virtual e a sub-rede contêm o balanceador de carga e as máquinas virtuais. O host bastion é usado para gerenciar com segurança as máquinas virtuais e instalar o IIS para testar o balanceador de carga. O plano de proteção contra DDoS protegerá todos os recursos IP públicos na rede virtual.
Importante
O preço por hora começa a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para obter mais informações, consulte Preços e SKUs. Se você estiver implantando o Bastion como parte de um tutorial ou teste, recomendamos excluir esse recurso depois de terminar de usá-lo.
Na caixa de pesquisa na parte superior do portal, digite Rede virtual. Selecione Redes Virtuais nos resultados da pesquisa.
Em Redes virtuais, selecione + Criar.
Em Criar rede virtual, insira ou selecione as seguintes informações na guia Noções básicas :
Definição Valor Detalhes do Projeto Subscrição Selecione a subscrição do Azure. Grupo de Recursos Selecione TutorLoadBalancer-rg Detalhes da instância Nome Insira myVNet País/Região Selecione E.U.A. Leste. Selecione a guia Endereços IP ou selecione Avançar: Endereços IP na parte inferior da página.
No separador Endereços IP, introduza estas informações:
Definição Value Espaço de endereçamento IPv4 Digite 10.1.0.0/16 Em Nome da sub-rede, selecione a palavra padrão. Se uma sub-rede não estiver presente, selecione + Adicionar sub-rede.
Em Editar sub-rede, insira estas informações:
Definição Value Nome da sub-rede Digite myBackendSubnet Intervalo de endereços da sub-rede Digite 10.1.0.0/24 Selecione Salvar ou Adicionar.
Selecione ao separador Segurança.
Em BastionHost, selecione Ativar. Insira estas informações:
Definição Value Nome do bastião Entre em myBastionHost Espaço de endereço AzureBastionSubnet Digite 10.1.1.0/26 Endereço IP público Selecione Criar novo.
Em Nome, digite myBastionIP.
Selecione OK.Em Proteção de rede DDoS, selecione Ativar. Em seguida, no menu suspenso, selecione myDDoSProtectionPlan.
Selecione o separador Rever + criar ou selecione o botão Rever + criar .
Selecione Criar.
Nota
A rede virtual e a sub-rede são criadas imediatamente. A criação do host Bastion é enviada como um trabalho e será concluída em 10 minutos. Você pode prosseguir para as próximas etapas enquanto o host Bastion é criado.
Criar um balanceador de carga
Nesta seção, você criará um balanceador de carga redundante de zona que balanceia a carga das máquinas virtuais. Com a redundância de zona, uma ou mais zonas de disponibilidade podem falhar e o caminho de dados mantém-se desde que uma zona na região permaneça em bom estado de funcionamento.
Durante a criação do balanceador de carga, você configurará:
- Endereço IP de front-end
- Conjunto de back-end
- Regras de balanceamento de carga de entrada
- Sonda de estado de funcionamento
Na caixa de pesquisa na parte superior do portal, digite Balanceador de carga. Selecione Balanceadores de carga nos resultados da pesquisa.
Na página Balanceador de carga, selecione + Criar.
Na guia Noções básicas da página Criar balanceador de carga, insira ou selecione as seguintes informações:
Definição Value Detalhes do projeto Subscrição Selecione a sua subscrição. Grupo de recursos Selecione TutorLoadBalancer-rg. Detalhes da instância Nome Digite myLoadBalancer País/Região Selecione E.U.A. Leste. SKU Deixe o padrão padrão. Type Selecione Público. Escalão de serviço Deixe o padrão Regional. 
Selecione Next: Frontend IP configuration na parte inferior da página.
Em Configuração de IP frontend, selecione + Adicionar uma configuração IP frontend.
Digite myFrontend em Name.
Selecione IPv4 para a versão IP.
Selecione o endereço IP para o tipo de IP.
Nota
Para obter mais informações sobre prefixos IP, consulte Prefixo de endereço IP público do Azure.
Selecione Criar novo em Endereço IP público.
Em Adicionar um endereço IP público, digite myPublicIP para Name.
Selecione Zona redundante na zona de disponibilidade.
Nota
Em regiões com zonas de disponibilidade, você tem a opção de selecionar no-zone (opção padrão), uma zona específica ou zone-redundante. A escolha dependerá dos seus requisitos específicos de falha de domínio. Em regiões sem zonas de disponibilidade, este campo não aparecerá.
Para obter mais informações sobre zonas de disponibilidade, consulte Visão geral das zonas de disponibilidade.Deixe o padrão do Microsoft Network para preferência de roteamento.
Selecione OK.
Selecione Adicionar.
Selecione Next: Backend pools na parte inferior da página.
Na guia Pools de back-end, selecione + Adicionar um pool de back-end.
Digite myBackendPool para Nome em Adicionar pool de back-end.
Selecione myVNet em Rede virtual.
Selecione Endereço IP para Configuração do Pool de Back-end.
Selecione Guardar.
Selecione Avançar: Regras de entrada na parte inferior da página.
Em Regra de balanceamento de carga, na guia Regras de entrada, selecione + Adicionar uma regra de balanceamento de carga.
Em Adicionar regra de balanceamento de carga, insira ou selecione as seguintes informações:
Definição Valor Nome Digite myHTTPRule Versão do IP Selecione IPv4 ou IPv6 , dependendo dos seus requisitos. Endereço IP de front-end Selecione myFrontend (A ser criado). Conjunto de back-end Selecione myBackendPool. Protocolo Selecione TCP. Porta Digite 80. Porta back-end Digite 80. Sonda de estado de funcionamento Selecione Criar novo.
Em Nome, digite myHealthProbe.
Selecione TCP em Protocolo.
Deixe o restante dos padrões e selecione OK.Persistência da sessão Selecione Nenhuma. Tempo limite de inatividade (minutos) Digite ou selecione 15. Redefinição de TCP Selecione Ativado. IP Flutuante selecione Desativado. Conversão de endereços de rede de origem de saída (SNAT) Deixe o padrão de (Recomendado) Usar regras de saída para fornecer aos membros do pool de back-end acesso à Internet. Selecione Adicionar.
Selecione o botão azul Rever + criar na parte inferior da página.
Selecione Criar.
Nota
Neste exemplo, criaremos um gateway NAT para fornecer acesso de saída à Internet. A guia de regras de saída na configuração é ignorada, pois é opcional e não é necessária com o gateway NAT. Para obter mais informações sobre o gateway NAT do Azure, consulte O que é NAT de Rede Virtual do Azure? Para obter mais informações sobre conexões de saída no Azure, consulte Conversão de endereços de rede de origem (SNAT) para conexões de saída
Criar um NAT gateway
Nesta seção, você criará um gateway NAT para acesso de saída à Internet para recursos na rede virtual. Para obter outras opções de regras de saída, consulte Conversão de endereços de rede (SNAT) para conexões de saída.
Na caixa de pesquisa na parte superior do portal, digite gateway NAT. Selecione Gateways NAT nos resultados da pesquisa.
Em gateways NAT, selecione + Criar.
Em Criar gateway NAT (conversão de endereços de rede), insira ou selecione as seguintes informações:
Definição Value Detalhes do projeto Subscrição Selecione a sua subscrição. Grupo de recursos Selecione TutorLoadBalancer-rg. Detalhes da instância Nome do gateway NAT Digite myNATgateway. País/Região Selecione E.U.A. Leste. Availability zone Selecione Nenhuma. Tempo limite de inatividade (minutos) Digite 15. Selecione a guia IP de saída ou selecione Avançar: IP de saída na parte inferior da página.
Em IP de saída, selecione Criar um novo endereço IP público ao lado de Endereços IP públicos.
Digite myNATgatewayIP em Name.
Selecione OK.
Selecione a guia Sub-rede ou selecione o botão Avançar: Sub-rede na parte inferior da página.
Em Rede virtual, na guia Sub-rede , selecione myVNet.
Selecione myBackendSubnet em Nome da sub-rede.
Selecione o botão azul Rever + criar na parte inferior da página ou selecione o separador Rever + criar .
Selecione Criar.
Criar máquinas virtuais
Nesta seção, você criará duas VMs (myVM1 e myVM2) em duas zonas diferentes (Zona 1 e Zona 2).
Essas VMs são adicionadas ao pool de back-end do balanceador de carga criado anteriormente.
Na caixa de pesquisa na parte superior do portal, digite Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Em Máquinas virtuais, selecione + Criar>máquina virtual do Azure.
Em Criar uma máquina virtual, insira ou selecione os seguintes valores na guia Noções básicas :
Definição Value Detalhes do Projeto Subscrição Selecione a sua subscrição do Azure Grupo de Recursos Selecione TutorLoadBalancer-rg Detalhes da instância Virtual machine name Digite myVM1 País/Região Selecione ((EUA) Leste dos EUA) Opções de disponibilidade Selecionar zonas de disponibilidade Availability zone Selecione a Zona 1 Tipo de segurança selecione Standard. Image Selecione Windows Server 2022 Datacenter: Azure Edition - Gen2 Instância do Azure Spot Deixe o padrão de desmarcado. Tamanho Escolha o tamanho da VM ou assuma a configuração padrão Conta de administrador Username Introduza um nome de utilizador Palavra-passe Introduza uma palavra-passe Confirme a palavra-passe Reintroduza a palavra-passe Regras de porta de entrada Portas de entrada públicas Selecione Nenhum Selecione a guia Rede ou selecione Avançar: Discos e, em seguida, Avançar: Rede.
Na guia Rede, selecione ou insira as seguintes informações:
Definição Value Interface de Rede Rede virtual Selecione myVNet Sub-rede Selecione myBackendSubnet IP público Selecione Nenhuma. Grupo de segurança de rede NIC Selecione Avançado Configurar grupo de segurança de rede Ignore essa configuração até que o restante das configurações seja concluído. Concluir depois de Selecione um pool de back-end. Excluir NIC quando a VM for excluída Deixe o padrão de desmarcado. Rede acelerada Deixe o padrão de selecionado. Balanceamento de carga Opções de balanceamento de carga Opções de balanceamento de carga Selecione o balanceador de carga do Azure Selecione um balanceador de carga Selecione myLoadBalancer Selecione um pool de back-end Selecione myBackendPool Configurar grupo de segurança de rede Selecione Criar novo.
No grupo Criar segurança de rede, insira myNSG em Nome.
Em Regras de entrada, selecione +Adicionar uma regra de entrada.
Em Serviço, selecione HTTP.
Em Prioridade, insira 100.
Em Nome, digite myNSGRule
Selecione Adicionar
Selecione OKSelecione Rever + criar.
Reveja as definições e, em seguida, selecione Criar.
Siga as etapas 1 a 7 para criar outra VM com os seguintes valores e todas as outras configurações iguais a myVM1:
Definição VM 2 Nome myVM2 Availability zone Zona 2 Grupo de segurança de rede Selecione o myNSG existente
Nota
O Azure fornece um IP de acesso de saída padrão para VMs que não recebem um endereço IP público ou estão no pool de back-end de um balanceador de carga básico interno do Azure. O mecanismo IP de acesso de saída padrão fornece um endereço IP de saída que não é configurável.
O IP de acesso de saída padrão é desativado quando um dos seguintes eventos acontece:
- Um endereço IP público é atribuído à VM.
- A VM é colocada no pool de back-end de um balanceador de carga padrão, com ou sem regras de saída.
- Um recurso do Gateway NAT do Azure é atribuído à sub-rede da VM.
As VMs que você cria usando conjuntos de dimensionamento de máquina virtual no modo de orquestração flexível não têm acesso de saída padrão.
Para obter mais informações sobre conexões de saída no Azure, consulte Acesso de saída padrão no Azure e Usar SNAT (Conversão de Endereço de Rede de Origem) para conexões de saída.
Instalar o IIS
Na caixa de pesquisa na parte superior do portal, digite Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione myVM1.
Na página Descrição geral, selecione Ligar e, em seguida, Bastion.
Insira o nome de usuário e a senha inseridos durante a criação da VM.
Selecione Ligar.
Na área de trabalho do servidor, navegue até Iniciar>o Windows PowerShell>Windows PowerShell.
Na janela do PowerShell, execute os seguintes comandos para:
- Instalar o servidor IIS
- Remover o arquivo iisstart.htm padrão
- Adicione um novo arquivo de iisstart.htm que exiba o nome da VM:
# Install IIS server role Install-WindowsFeature -name Web-Server -IncludeManagementTools # Remove default htm file Remove-Item C:\inetpub\wwwroot\iisstart.htm # Add a new htm file that displays server name Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)Feche a sessão Bastion com myVM1.
Repita as etapas 1 a 8 para instalar o IIS e o arquivo iisstart.htm atualizado no myVM2.
Testar o balanceador de carga
Na caixa de pesquisa na parte superior da página, digite IP público. Selecione Endereços IP públicos nos resultados da pesquisa.
Em Endereços IP públicos, selecione myPublicIP.
Copie o item no endereço IP. Cole o IP público na barra de endereço do seu navegador. A página VM personalizada do servidor Web do IIS é exibida no navegador.
Clean up resources (Limpar recursos)
Quando já não for necessário, elimine o grupo de recursos, o balanceador de carga e todos os recursos relacionados. Para fazer isso, selecione o grupo de recursos TutorLoadBalancer-rg que contém os recursos e, em seguida, selecione Excluir.
Próximos passos
Avance para o próximo artigo para saber como: