Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Начните работу с защитой сети DDoS Azure через портал.
План защиты от атак DDoS определяет набор виртуальных сетей с включенной защитой от сети DDoS в подписках. Вы можете настроить один план защиты от атак DDoS для организации и связать виртуальные сети из нескольких подписок в одном клиенте Microsoft Entra с одним планом.
В этом кратком руководстве вы создадите план защиты от атак DDoS и свяжите его с виртуальной сетью.
Предварительные условия
- Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.
- Войдите на портал Azure. Убедитесь, что вашей учетной записи назначена роль Участник сетей или настраиваемая роль, которой назначены соответствующие разрешения, перечисленные в руководстве по разрешениям.
Создайте план защиты от атак DDoS
Щелкните Создать ресурс в верхнем левом углу окна портала Azure.
Выполните поиск по запросу DDoS. Когда в результатах поиска появится элемент План защиты от атак DDoS, выберите его.
Нажмите кнопку создания.
Введите или выберите следующие значения:
Настройка Значение Подписка Выберите свою подписку. Группа ресурсов Выберите Создать новую, а затем введите MyResourceGroup. Имя. Введите MyDdosProtectionPlan. Область/регион Введите Восточная часть США. Выберите Проверить и создать, а затем — Создать.
Примечание.
Хотя ресурсы плана защиты от атак DDoS должны быть связаны с регионом, пользователи могут включить защиту от атак DDoS на виртуальных сетях в различных регионах и нескольких подписках в рамках одного клиента Microsoft Entra.
Включение защиты от атак DDoS для виртуальной сети
Включите для новой виртуальной сети
Щелкните Создать ресурс в верхнем левом углу окна портала Azure.
Щелкните Сеть и выберите Виртуальная сеть.
Введите или выберите следующие значения, а затем нажмите кнопку "Далее".
Параметр Значение Подписка Выберите свою подписку. Группа ресурсов Выберите Использовать существующую группу, а затем выберите MyResourceGroup. Имя. Введите MyVnet. Область/регион Введите Восточная часть США. В области "Безопасность" выберите "Включить" в переключателе сетевой защиты Azure DDoS.
На панели План защиты от атак DDoS выберите MyDdosProtectionPlan. План, который вы выбираете, может находиться в одной или другой подписке, отличной от виртуальной сети, но обе подписки должны быть связаны с тем же клиентом Microsoft Entra.
Выберите Далее. В области IP-адресов выберите "Добавить адресное пространство IPv4" и введите следующие значения. Нажмите кнопку Добавить.
Настройка Значение Диапазон IPv4-адресов Введите 10.1.0.0/16. Имя подсети В разделе Имя подсети выберите ссылку Добавить подсеть и введите mySubnet. Диапазон адресов подсети Введите 10.1.0.0/24. Выберите Проверить и создать, а затем — Создать.
Примечание.
Невозможно переместить виртуальную сеть в другую группу ресурсов или подписку, если защита от атак DDoS включена для виртуальной сети. Если необходимо переместить виртуальную сеть с включенной защитой от атак DDoS, сначала отключите защиту от атак DDoS, переместите виртуальную сеть и включите защиту от атак DDoS. После перемещения автоматически настроенные пороговые значения политик для всех защищенных общедоступных IP-адресов в виртуальной сети сбрасываются.
Включение для существующей виртуальной сети
- Создайте план защиты от атак DDoS, выполнив действия, описанные в разделе Создание плана защиты от атак DDoS, если у вас нет плана защиты от атак DDoS.
- Введите имя виртуальной сети в поле "Поиск ресурсов, служб и документов " в верхней части портала Azure. Когда он появится в результатах поиска, выберите его.
- В разделе "Параметры" выберите защиту от атак DDoS.
- Выберите Включить. В разделе "План защиты от атак DDoS" выберите существующий план или созданный на шаге 1, а затем нажмите кнопку "Сохранить". План может находиться в одной или другой подписке, отличной от виртуальной сети, но оба плана должны быть связаны с тем же клиентом Microsoft Entra.
Добавление виртуальных сетей в существующий план защиты от DDoS-атак
Вы также можете включить план защиты от атак DDoS для существующей виртуальной сети из самого плана защиты от атак DDoS. Это полезно при наличии нескольких виртуальных сетей для защиты с помощью одного плана.
- Найдите планы защиты от атак DDoS в поле "Поиск ресурсов, служб и документов " в верхней части портала Azure. Когда он появится, выберите его.
- Выберите нужный план защиты от атак DDoS из списка.
- В разделе "Параметры" выберите "Защищенные ресурсы".
- Выберите "Добавить", выберите подписку, группу ресурсов и виртуальную сеть, а затем снова нажмите кнопку "Добавить ".
Настройка плана Защиты от атак DDoS Azure с помощью Диспетчера брандмауэра Azure
Диспетчер брандмауэра Azure — это платформа для управления сетевыми ресурсами и их защиты в большом масштабе. Вы можете связать свои виртуальные сети с планом защиты от атак DDoS в Диспетчере брандмауэра Azure. См. статью Настройка плана Защиты от атак DDoS Azure с помощью Диспетчера брандмауэра Azure.
Включение защиты от атак DDoS для всех виртуальных сетей
Эта встроенная политика обнаруживает виртуальные сети в определенной области, которая не включает защиту сети от атак DDoS. Затем она может при необходимости создать задачу исправления, чтобы включить защиту для виртуальной сети. Полный список встроенных политик см. встроенные определения политики Azure для защиты сети Azure DDoS.
Просмотр защищенных ресурсов
Сначала проверьте сведения о плане защиты от атак DDoS:
- Найдите планы защиты от атак DDoS в поле "Поиск ресурсов, служб и документов " в верхней части портала Azure. Когда он появится, выберите его.
- Выберите план защиты от атак DDoS из списка.
- В разделе "Параметры" выберите "Защищенные ресурсы".
- На странице "Защищенные ресурсы " можно просмотреть ресурсы, защищенные этим планом защиты от атак DDoS.
Отключение для виртуальной сети:
Вы можете отключить защиту от атак DDoS для виртуальной сети, сохраняя ее включенную в других виртуальных сетях. Чтобы отключить защиту от атак DDoS для виртуальной сети, выполните следующие действия.
- Найдите виртуальную сеть в поле "Поиск ресурсов, служб и документов" в верхней части портала Azure. Когда он появится, выберите его.
- В разделе "Параметры" выберите "Защита от атак DDoS".
- Выберите "Отключить для защиты сети от атак DDoS".
Примечание.
Отключение защиты от атак DDoS для виртуальной сети не удаляет план защиты. Вы по-прежнему будете нести расходы, если вы отключаете защиту от атак DDoS, не удаляя план. Чтобы избежать ненужных расходов, необходимо удалить ресурс плана защиты от атак DDoS. См. раздел "Очистка ресурсов".
Очистка ресурсов
Вы можете сохранить свои ресурсы для следующего урока. Если она больше не нужна, удалите MyResourceGroup , используемую в этом примере. При удалении группы ресурсов вы также удаляете план защиты от атак DDoS и все связанные с ним ресурсы. Если вам больше не нужен этот план защиты от атак DDoS, удалите все связанные с ним ресурсы, чтобы избежать лишних расходов.
Предупреждение
Это действие необратимо.
На портале Azure найдите и выберите элемент Группы ресурсов или щелкните Группы ресурсов в меню портала Azure.
Прокрутите страницу вниз или используйте фильтр, чтобы найти группу ресурсов MyResourceGroup.
Выберите эту группу ресурсов и щелкните Удалить группу ресурсов.
Введите имя группы ресурсов для подтверждения и щелкните Удалить.
Примечание.
Чтобы удалить план защиты от атак DDoS, сначала разъедините все виртуальные сети от него.
Следующие шаги
Чтобы узнать, как настроить оповещения метрик с помощью Azure Monitor, перейдите к руководствам.