Краткое руководство. Создание и настройка защиты сети DDoS Azure с помощью Azure CLI
Приступая к работе с Azure DDoS Network Protection с помощью Azure CLI.
План защиты от атак DDoS определяет набор виртуальных сетей с включенной защитой от сети DDoS в подписках. Вы можете настроить один план защиты от атак DDoS для своей организации и привязать к нему виртуальные сети из нескольких подписок.
В этом кратком руководстве вы создадите план защиты от атак DDoS и свяжите его с виртуальной сетью.
Необходимые компоненты
- Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
- Локальная установка Azure CLI или Azure Cloud Shell
Azure Cloud Shell
В Azure есть Azure Cloud Shell, интерактивная оболочка среды, с которой можно работать в браузере. Для работы со службами Azure можно использовать Bash или PowerShell с Cloud Shell. Для запуска кода из этой статьи можно использовать предварительно установленные команды Cloud Shell. Ничего дополнительного в локальной среде устанавливать не нужно.
Начало работы с Azure Cloud Shell
| Вариант | Пример и ссылка |
|---|---|
| Нажмите кнопку Попробовать в правом верхнем углу блока кода или команд. При нажатии кнопки Попробовать код или команда не копируется в Cloud Shell автоматически. |  |
| Чтобы открыть Cloud Shell в браузере, перейдите по адресу https://shell.azure.com или нажмите кнопку Запуск Cloud Shell. |  |
| Нажмите кнопку Cloud Shell в строке меню в правом верхнем углу окна портала Azure. |  |
Чтобы использовать Azure Cloud Shell, выполните следующие действия:
Запустите Cloud Shell.
Нажмите кнопку Копировать в блоке кода (или блоке команд), чтобы скопировать код или команду.
Вставьте код или команду в окно сеанса Cloud Shell, нажав клавиши CTRL+SHIFT+V в Windows и Linux или CMD+SHIFT+V в macOS.
Нажмите клавишу ВВОД, чтобы запустить код или команду.
Если вы решили установить и использовать CLI локально, для выполнения инструкций из этого руководства вам потребуется Azure CLI версии 2.0.56 или более поздней версии. Чтобы узнать версию, выполните команду az --version. Если вам необходимо выполнить установку или обновление, обратитесь к статье Установка Azure CLI.
Создание плана защиты от атак DDoS
В Azure выделите связанные ресурсы группе ресурсов. Вы можете выбрать существующую группу ресурсов или создать новую.
Для создания группы ресурсов используйте команду az group create. В нашем примере группе ресурсов присваивается имя MyResourceGroup и назначается расположение Восточная часть США:
az group create \
--name MyResourceGroup \
--location eastus
Теперь создайте план защиты от атак DDoS с именем MyDdosProtectionPlan:
az network ddos-protection create \
--resource-group MyResourceGroup \
--name MyDdosProtectionPlan
Включение защиты от атак DDoS для виртуальной сети
Включение защиты от атак DDoS для новой виртуальной сети
Вы можете включить защиту от атак DDoS при создании виртуальной сети. В нашем примере мы присвоим виртуальной сети имя MyVnet:
az network vnet create \
--resource-group MyResourceGroup \
--name MyVnet \
--location eastus \
--ddos-protection-plan MyDdosProtectionPlan \
--ddos-protection true
Примечание.
Невозможно переместить виртуальную сеть в другую группу ресурсов или подписку, если защита от атак DDoS включена для виртуальной сети. Если необходимо переместить виртуальную сеть с включенной защитой от атак DDoS, сначала отключите защиту от атак DDoS, переместите виртуальную сеть и включите защиту от атак DDoS. После перемещения сбрасываются автоматически настраиваемые пороговые значения политик для всех защищенных общедоступных IP-адресов в виртуальной сети.
Включение защиты от атак DDoS для существующей виртуальной сети
При создании плана защиты от атак DDoS можно связать с планом одну или несколько виртуальных сетей. Чтобы добавить несколько виртуальных сетей, просто перечислите через пробел их имена или идентификаторы. В этом примере мы добавим виртуальную сеть MyVnet:
az group create \
--name MyResourceGroup \
--location eastus
az network ddos-protection create \
--resource-group MyResourceGroup \
--name MyDdosProtectionPlan
--vnets MyVnet
Как вариант, можно включить защиту от атак DDoS для заданной виртуальной сети:
az network vnet update \
--resource-group MyResourceGroup \
--name MyVnet \
--ddos-protection-plan MyDdosProtectionPlan \
--ddos-protection true
Отключение защиты от атак DDoS для виртуальной сети
Обновите заданную виртуальную сеть, чтобы отключить защиту от атак DDoS:
az network vnet update \
--resource-group MyResourceGroup \
--name MyVnet \
--ddos-protection-plan MyDdosProtectionPlan \
--ddos-protection false
Проверка и тестирование
Сначала проверьте сведения о плане защиты от атак DDoS:
az network ddos-protection show \
--resource-group MyResourceGroup \
--name MyDdosProtectionPlan
Убедитесь, что эта команда возвращает правильные сведения о плане защиты от атак DDoS.
Очистка ресурсов
Вы можете сохранить ресурсы для работы со следующим руководством. Если группа ресурсов MyResourceGroup вам больше не нужна, удалите ее. Удалив ее, вы также удалите план защиты от атак DDoS и все связанные с ним ресурсы.
Чтобы удалить группу ресурсов, выполните команду az group delete.
az group delete \
--name MyResourceGroup
Примечание.
Если вы хотите удалить план защиты от атак DDoS, необходимо сначала удалить его связь со всеми виртуальными сетями.
Следующие шаги
Чтобы узнать, как просмотреть и настроить данные телеметрии для плана защиты от атак DDoS, перейдите к следующим руководствам.