Поделиться через


Краткое руководство. Создание и настройка защиты сети DDoS Azure с помощью Azure CLI

Приступая к работе с Azure DDoS Network Protection с помощью Azure CLI.

План защиты от атак DDoS определяет набор виртуальных сетей с включенной защитой от сети DDoS в подписках. Вы можете настроить один план защиты от атак DDoS для своей организации и привязать к нему виртуальные сети из нескольких подписок.

В этом кратком руководстве вы создадите план защиты от атак DDoS и свяжите его с виртуальной сетью.

Схема защиты сети от атак DDoS.

Необходимые компоненты

Azure Cloud Shell

В Azure есть Azure Cloud Shell, интерактивная оболочка среды, с которой можно работать в браузере. Для работы со службами Azure можно использовать Bash или PowerShell с Cloud Shell. Для запуска кода из этой статьи можно использовать предварительно установленные команды Cloud Shell. Ничего дополнительного в локальной среде устанавливать не нужно.

Начало работы с Azure Cloud Shell

Вариант Пример и ссылка
Нажмите кнопку Попробовать в правом верхнем углу блока кода или команд. При нажатии кнопки Попробовать код или команда не копируется в Cloud Shell автоматически. Снимок экрана: пример открытия Azure Cloud Shell с помощью кнопки
Чтобы открыть Cloud Shell в браузере, перейдите по адресу https://shell.azure.com или нажмите кнопку Запуск Cloud Shell. Кнопка запуска Azure Cloud Shell.
Нажмите кнопку Cloud Shell в строке меню в правом верхнем углу окна портала Azure. Снимок экрана: кнопка

Чтобы использовать Azure Cloud Shell, выполните следующие действия:

  1. Запустите Cloud Shell.

  2. Нажмите кнопку Копировать в блоке кода (или блоке команд), чтобы скопировать код или команду.

  3. Вставьте код или команду в окно сеанса Cloud Shell, нажав клавиши CTRL+SHIFT+V в Windows и Linux или CMD+SHIFT+V в macOS.

  4. Нажмите клавишу ВВОД, чтобы запустить код или команду.

Если вы решили установить и использовать CLI локально, для выполнения инструкций из этого руководства вам потребуется Azure CLI версии 2.0.56 или более поздней версии. Чтобы узнать версию, выполните команду az --version. Если вам необходимо выполнить установку или обновление, обратитесь к статье Установка Azure CLI.

Создание плана защиты от атак DDoS

В Azure выделите связанные ресурсы группе ресурсов. Вы можете выбрать существующую группу ресурсов или создать новую.

Для создания группы ресурсов используйте команду az group create. В нашем примере группе ресурсов присваивается имя MyResourceGroup и назначается расположение Восточная часть США:

az group create \
    --name MyResourceGroup \
    --location eastus

Теперь создайте план защиты от атак DDoS с именем MyDdosProtectionPlan:

az network ddos-protection create \
    --resource-group MyResourceGroup \
    --name MyDdosProtectionPlan

Включение защиты от атак DDoS для виртуальной сети

Включение защиты от атак DDoS для новой виртуальной сети

Вы можете включить защиту от атак DDoS при создании виртуальной сети. В нашем примере мы присвоим виртуальной сети имя MyVnet:

az network vnet create \
    --resource-group MyResourceGroup \
    --name MyVnet \
    --location eastus \
    --ddos-protection-plan MyDdosProtectionPlan \
    --ddos-protection true

Примечание.

Невозможно переместить виртуальную сеть в другую группу ресурсов или подписку, если защита от атак DDoS включена для виртуальной сети. Если необходимо переместить виртуальную сеть с включенной защитой от атак DDoS, сначала отключите защиту от атак DDoS, переместите виртуальную сеть и включите защиту от атак DDoS. После перемещения сбрасываются автоматически настраиваемые пороговые значения политик для всех защищенных общедоступных IP-адресов в виртуальной сети.

Включение защиты от атак DDoS для существующей виртуальной сети

При создании плана защиты от атак DDoS можно связать с планом одну или несколько виртуальных сетей. Чтобы добавить несколько виртуальных сетей, просто перечислите через пробел их имена или идентификаторы. В этом примере мы добавим виртуальную сеть MyVnet:

az group create \
    --name MyResourceGroup \
    --location eastus

az network ddos-protection create \
    --resource-group MyResourceGroup \
    --name MyDdosProtectionPlan 
    --vnets MyVnet

Как вариант, можно включить защиту от атак DDoS для заданной виртуальной сети:

az network vnet update \
    --resource-group MyResourceGroup \
    --name MyVnet \
    --ddos-protection-plan MyDdosProtectionPlan \
    --ddos-protection true

Отключение защиты от атак DDoS для виртуальной сети

Обновите заданную виртуальную сеть, чтобы отключить защиту от атак DDoS:

az network vnet update \
    --resource-group MyResourceGroup \
    --name MyVnet \
    --ddos-protection-plan MyDdosProtectionPlan \
    --ddos-protection false
    

Проверка и тестирование

Сначала проверьте сведения о плане защиты от атак DDoS:

az network ddos-protection show \
    --resource-group MyResourceGroup \
    --name MyDdosProtectionPlan

Убедитесь, что эта команда возвращает правильные сведения о плане защиты от атак DDoS.

Очистка ресурсов

Вы можете сохранить ресурсы для работы со следующим руководством. Если группа ресурсов MyResourceGroup вам больше не нужна, удалите ее. Удалив ее, вы также удалите план защиты от атак DDoS и все связанные с ним ресурсы.

Чтобы удалить группу ресурсов, выполните команду az group delete.

az group delete \
--name MyResourceGroup 

Примечание.

Если вы хотите удалить план защиты от атак DDoS, необходимо сначала удалить его связь со всеми виртуальными сетями.

Следующие шаги

Чтобы узнать, как просмотреть и настроить данные телеметрии для плана защиты от атак DDoS, перейдите к следующим руководствам.