通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

快速入门:使用 Azure CLI 创建和配置 Azure DDoS 网络保护

  • 项目

开始使用 Azure CLI 实现 Azure DDoS 网络保护。

DDoS 防护计划跨订阅定义一组已启用 DDoS 网络保护的虚拟网络。 可以为组织配置一个 DDoS 防护计划,然后从多个订阅将虚拟网络链接到相同计划。

在本快速入门中,你将创建一个 DDoS 防护计划,并将其链接到虚拟网络。

DDoS 网络保护的示意图。

先决条件

  • 具有活动订阅的 Azure 帐户。 免费创建帐户
  • 本地安装的 Azure CLI 或 Azure Cloud Shell

Azure Cloud Shell

Azure 托管 Azure Cloud Shell(一个可通过浏览器使用的交互式 shell 环境)。 可以将 Bash 或 PowerShell 与 Cloud Shell 配合使用来使用 Azure 服务。 可以使用 Cloud Shell 预安装的命令来运行本文中的代码,而不必在本地环境中安装任何内容。

若要启动 Azure Cloud Shell,请执行以下操作:

选项 示例/链接
选择代码或命令块右上角的“试用”。 选择“试用”不会自动将代码或命令复制到 Cloud Shell。 显示 Azure Cloud Shell 的“试用”示例的屏幕截图。
转到 https://shell.azure.com 或选择“启动 Cloud Shell”按钮可在浏览器中打开 Cloud Shell。 用于启动 Azure Cloud Shell 的按钮。
选择 Azure 门户右上角菜单栏上的 Cloud Shell 按钮。 显示 Azure 门户中的 Cloud Shell 按钮的屏幕截图

若要使用 Azure Cloud Shell,请执行以下操作:

  1. 启动 Cloud Shell。

  2. 选择代码块(或命令块)上的“复制”按钮以复制代码或命令。

  3. 在 Windows 和 Linux 上选择 Ctrl+Shift+V,或在 macOS 上选择 Cmd+Shift+V 将代码或命令粘贴到 Cloud Shell 会话中。

  4. 选择“Enter”运行代码或命令。

如果选择在本地安装并使用 CLI,本快速入门要求 Azure CLI 2.0.56 或更高版本。 若要查找版本,请运行 az --version。 如需进行安装或升级,请参阅安装 Azure CLI

创建 DDoS 防护计划

在 Azure 中,可将相关的资源分配到资源组。 可以使用现有资源组,也可以创建新组。

若要创建资源组,请使用 az group create。 在此示例中,我们将资源组命名为“MyResourceGroup”,并使用“美国东部”位置:

az group create \
    --name MyResourceGroup \
    --location eastus

现在,创建名为“MyDdosProtectionPlan”的 DDoS 防护计划:

az network ddos-protection create \
    --resource-group MyResourceGroup \
    --name MyDdosProtectionPlan

为虚拟网络启用 DDoS 防护

为新的虚拟网络启用 DDoS 防护

创建虚拟网络时,可以启用 DDoS 防护。 在此示例中,我们将为虚拟网络命名为 MyVnet

az network vnet create \
    --resource-group MyResourceGroup \
    --name MyVnet \
    --location eastus \
    --ddos-protection-plan MyDdosProtectionPlan \
    --ddos-protection true

注意

如果已为虚拟网络启用 DDoS 防护,则无法将虚拟网络移到其他资源组或订阅。 如果需要移动已启用 DDoS 防护的虚拟网络,请先禁用 DDoS 防护,移动虚拟网络,然后再启用 DDoS 防护。 移动后,适用于虚拟网络所有受保护的公共 IP 地址的自动优化策略阈值都将重置。

为现有虚拟网络启用 DDoS 保护

创建 DDoS 防护计划时,可以将一个或多个虚拟网络关联到计划。 若要添加多个虚拟网络,只需列出其名称或 ID(以空格分隔)。 在此示例中,我们将添加“MyVnet”:

az group create \
    --name MyResourceGroup \
    --location eastus

az network ddos-protection create \
    --resource-group MyResourceGroup \
    --name MyDdosProtectionPlan 
    --vnets MyVnet

或者,可以为给定虚拟网络启用 DDoS 防护:

az network vnet update \
    --resource-group MyResourceGroup \
    --name MyVnet \
    --ddos-protection-plan MyDdosProtectionPlan \
    --ddos-protection true

禁用虚拟网络的 DDoS 防护

更新给定虚拟网络以禁用 DDoS 防护:

az network vnet update \
    --resource-group MyResourceGroup \
    --name MyVnet \
    --ddos-protection-plan MyDdosProtectionPlan \
    --ddos-protection false

验证并测试

首先检查 DDoS 防护计划的详细信息:

az network ddos-protection show \
    --resource-group MyResourceGroup \
    --name MyDdosProtectionPlan

验证该命令是否返回正确的 DDoS 防护计划详细信息。

清理资源

可保留资源以供下一教程使用。 如果不再需要,请删除“MyResourceGroup”资源组。 删除资源组时,DDoS 防护计划及其所有相关资源也会一起删除。

若要删除资源组,请使用 az group delete

az group delete \
--name MyResourceGroup

注意

如果要删除 DDoS 防护计划,必须首先取消与之关联的所有虚拟网络。

后续步骤

要了解如何查看和配置 DDoS 防护计划的遥测,请继续阅读教程。

查看和配置 DDoS 防护遥测