快速入门:使用 Azure 门户创建和配置 Azure DDoS 网络保护
开始使用 Azure 门户实现 Azure DDoS 网络保护。
DDoS 防护计划跨订阅定义一组已启用 DDoS 网络保护的虚拟网络。 可以为组织配置一个 DDoS 防护计划,然后从一个 Microsoft Entra 租户下的多个订阅将虚拟网络链接到相同计划。
在本快速入门中,你将创建一个 DDoS 防护计划,并将其链接到虚拟网络。
先决条件
创建 DDoS 防护计划
在 Azure 门户的左上角,选择“创建资源”。
搜索术语 DDoS。 搜索结果中显示 DDoS 防护计划时,选中。
选择“创建” 。
输入或选择以下值。
设置 值 订阅 选择订阅。 资源组 选择“新建”,并输入“MyResourceGroup”。 名称 输入“MyDdosProtectionPlan”。 区域 输入“中国东部”。 选择“查看 + 创建”,然后选择“创建”
注意
尽管需要将 DDoS 保护计划资源与某个区域相关联,但用户可以在单个 Microsoft Entra 租户下跨多个订阅在不同区域中的虚拟网络上启用 DDoS 保护。
为虚拟网络启用 DDoS 防护
为新的虚拟网络启用
在 Azure 门户的左上角,选择“创建资源”。
选择“网络”,然后选择“虚拟网络” 。
输入或选择以下值,然后选择“下一步”。
设置 值 订阅 选择订阅。 资源组 选择“使用现有”,然后选择“MyResourceGroup” 名称 输入“MyVnet”。 区域 输入“中国东部”。 在“安全性”窗格中,选择“Azure DDoS 网络保护”单选按钮上的“启用”。
在“DDoS 防护计划”窗格中选择“MyDdosProtectionPlan”。 所选计划可位于与虚拟网络相同或不同的订阅中,但这两个订阅必须与同一 Microsoft Entra 租户相关联。
选择下一步。 在“IP 地址”窗格中,选择“添加 IPv4 地址空间”并输入以下值。 然后选择“添加” 。
设置 值 IPv4 地址空间 输入 10.1.0.0/16。 子网名称 在“子网名称”下,选择“添加子网”链接并输入“mySubnet”。 子网地址范围 输入 10.1.0.0/24。 选择“查看 + 创建”,然后选择“创建”。
注意
如果已为虚拟网络启用 DDoS 防护,则无法将虚拟网络移到其他资源组或订阅。 如果需要移动已启用 DDoS 防护的虚拟网络,请先禁用 DDoS 防护,移动虚拟网络,然后再启用 DDoS 防护。 移动后,适用于虚拟网络所有受保护的公共 IP 地址的自动优化策略阈值都将重置。
为现有虚拟网络启用
如果没有现有的 DDoS 防护计划,通过完成创建 DDoS 防护计划中的步骤创建一个 DDoS 防护计划。
输入想要在 Azure 门户顶部的“搜索资源、服务和文档”框中为其启用 DDoS 网络保护的虚拟网络的名称。 当虚拟网络名称出现在搜索结果中时,将其选中。
选择“设置”下的“DDoS 防护”。
选择“启用”。 选择“DDoS 防护计划”下的现有 DDoS 防护计划,或在步骤 1 中创建的计划,然后选择“保存”。 所选计划可位于与虚拟网络相同或不同的订阅中,但这两个订阅必须与同一 Microsoft Entra 租户相关联。
将虚拟网络添加到现有 DDoS 防护计划
还可以从 DDoS 防护计划(而不是虚拟网络)为现有虚拟网络启用 DDoS 防护计划。
在 Azure 门户顶部的“搜索资源、服务和文档”框中,搜索“DDoS 防护计划”。 当“DDoS 防护计划”出现在搜索结果中时,将其选中。
选择要为虚拟网络启用的 DDoS 防护计划。
在“设置”下选择“受保护的资源”。
选择“+添加”并选择适当的订阅、资源组和虚拟网络名称。 再次选择添加。
使用 Azure 防火墙管理器配置 Azure DDoS 防护计划(预览版)
Azure 防火墙管理器是用于大规模管理和保护网络资源的平台。 可以在 Azure 防火墙管理器中将虚拟网络与 DDoS 防护计划相关联。 此功能目前以公共预览版提供。
为所有虚拟网络启用 DDoS 防护
此内置策略将检测所定义范围内未启用 DDoS 网络保护的任何虚拟网络。 然后,此策略将选择性地创建一个修正任务,以创建关联来保护虚拟网络。 有关内置策略的完整列表,请参阅 Azure DDoS 网络保护的 Azure Policy 内置定义。
验证并测试
首先检查 DDoS 防护计划的详细信息:
- 在门户左上角选择“所有服务”。
- 在“筛选器”框中输入 DDoS。 当“DDoS 防护计划”出现在结果中时,将其选中。
- 从列表中选择你的 DDoS 防护计划。
应会列出 MyVnet 虚拟网络。
查看受保护的资源
在“受保护的资源”下,可以查看受保护的虚拟网络和公共 IP 地址,或者将更多虚拟网络添加到 DDoS 防护计划中:
为虚拟网络禁用:
可在虚拟网络中禁用 DDoS 防护,同时仍在其他虚拟网络上启用它。 若要禁用虚拟网络的 DDoS 保护,请执行以下步骤。
输入想要在门户顶部的“搜索资源、服务和文档”框中为其禁用 DDoS 网络保护的虚拟网络的名称。 当虚拟网络名称出现在搜索结果中时,将其选中。
在“DDoS 网络保护”下,选择“禁用”。
注意
在虚拟网络中禁用 DDoS 防护不会将其删除。 如果仅在虚拟网络中禁用 DDoS 防护,而不删除 DDoS 防护计划本身,则仍需支付 DDoS 防护费用。 为了避免不必要的成本,需要完全删除 DDoS 防护计划资源。 请参阅清理资源。
清理资源
可保留资源以供下一教程使用。 如果不再需要,请删除“MyResourceGroup”资源组。 删除资源组时,DDoS 防护计划及其所有相关资源也会一起删除。 如果你不打算使用此 DDoS 防护计划,则应删除资源,以免产生不必要的费用。
警告
此操作不可逆。
在 Azure 门户中,搜索并选择“资源组”,或者从 Azure 门户菜单中选择“资源组” 。
筛选或向下滚动以找到 MyResourceGroup 资源组。
选择该资源组,然后选择“删除资源组”。
键入资源组名称以确认,然后选择“删除”。
注意
如果要删除 DDoS 防护计划,必须首先取消与之关联的所有虚拟网络。
后续步骤
要了解如何通过 Azure Monitor 配置指标警报,请继续学习教程。