通过

快速入门:使用 Azure 门户创建和配置 Azure DDoS 网络保护

开始使用 Azure 门户实现 Azure DDoS 网络保护。

DDoS 防护计划跨订阅定义一组已启用 DDoS 网络保护的虚拟网络。 可以为组织配置一个 DDoS 防护计划,然后从一个 Microsoft Entra 租户下的多个订阅将虚拟网络链接到相同计划。

在本快速入门中,你将创建一个 DDoS 防护计划,并将其链接到虚拟网络。

DDoS 网络保护的示意图。

先决条件

创建 DDoS 防护计划

  1. 在 Azure 门户的左上角,选择“创建资源”。

  2. 搜索术语 DDoS。 搜索结果中显示 DDoS 防护计划时,选中。

  3. 选择“创建” 。

  4. 输入或选择以下值。

    设置
    订阅 选择订阅。
    资源组 选择“新建”,并输入“MyResourceGroup”。
    名称 输入“MyDdosProtectionPlan”。
    区域 输入“中国东部”

  5. 选择“查看 + 创建”,然后选择“创建”

注意

尽管需要将 DDoS 保护计划资源与某个区域相关联,但用户可以在单个 Microsoft Entra 租户下跨多个订阅在不同区域中的虚拟网络上启用 DDoS 保护。

为虚拟网络启用 DDoS 防护

为新的虚拟网络启用

  1. 在 Azure 门户的左上角,选择“创建资源”。

  2. 选择“网络”,然后选择“虚拟网络” 。

  3. 输入或选择以下值,然后选择“下一步”。

    设置
    订阅 选择订阅。
    资源组 选择“使用现有”,然后选择“MyResourceGroup”
    名称 输入“MyVnet”。
    区域 输入“中国东部”

  4. 在“安全性”窗格中,选择“Azure DDoS 网络保护”单选按钮上的“启用”。

  5. 在“DDoS 防护计划”窗格中选择“MyDdosProtectionPlan”。 所选计划可位于与虚拟网络相同或不同的订阅中,但这两个订阅必须与同一 Microsoft Entra 租户相关联。

  6. 选择下一步。 在“IP 地址”窗格中,选择“添加 IPv4 地址空间”并输入以下值。 然后选择“添加” 。

    设置
    IPv4 地址空间 输入 10.1.0.0/16。
    子网名称 在“子网名称”下,选择“添加子网”链接并输入“mySubnet”。
    子网地址范围 输入 10.1.0.0/24。

  7. 选择“查看 + 创建”,然后选择“创建”。

注意

如果已为虚拟网络启用 DDoS 防护,则无法将虚拟网络移到其他资源组或订阅。 如果需要移动已启用 DDoS 防护的虚拟网络,请先禁用 DDoS 防护,移动虚拟网络,然后再启用 DDoS 防护。 移动后,适用于虚拟网络所有受保护的公共 IP 地址的自动优化策略阈值都将重置。

为现有虚拟网络启用

  1. 如果没有现有的 DDoS 防护计划,通过完成创建 DDoS 防护计划中的步骤创建一个 DDoS 防护计划。
  2. 在 Azure 门户顶部的 “搜索资源、服务和文档 ”框中输入虚拟网络的名称。 当它出现在搜索结果中时,请选择它。
  3. “设置”下,选择 “DDoS 保护”。
  4. 选择“启用”。 在 DDoS 保护计划下,选择现有计划或步骤 1 中创建的计划,然后选择“ 保存”。 该计划可以处于与虚拟网络相同或不同的订阅中,但两者都必须与同一 Microsoft Entra 租户相关联。

将虚拟网络添加到现有 DDoS 防护计划

还可以从 DDoS 防护计划本身为现有虚拟网络启用 DDoS 保护计划。 如果有多个虚拟网络可以使用同一计划进行保护,这非常有用。

  1. 在 Azure 门户顶部的“搜索资源、服务和文档”框中搜索 DDoS 保护计划。 出现时,请选择它。
  2. 从列表中选择所需的 DDoS 保护计划。
  3. “设置”下,选择“ 受保护的资源”。
  4. 选择 “添加”、“订阅”、“资源组”和“虚拟网络”,然后再次选择“ 添加 ”。

使用 Azure 防火墙管理器配置 Azure DDoS 保护计划

Azure 防火墙管理器是用于大规模管理和保护网络资源的平台。 可以在 Azure 防火墙管理器中将虚拟网络与 DDoS 防护计划相关联。 请参阅使用 Azure 防火墙管理器配置 Azure DDoS 防护计划

为所有虚拟网络启用 DDoS 防护

内置策略 检测未启用 DDoS 网络保护的已定义范围内的虚拟网络。 然后,它可以选择创建修正任务,为虚拟网络启用保护。 有关内置策略的完整列表,请参阅 Azure DDoS 网络保护的 Azure Policy 内置定义

查看受保护的资源

首先检查 DDoS 防护计划的详细信息:

  1. 在 Azure 门户顶部的“搜索资源、服务和文档”框中搜索 DDoS 保护计划。 出现时,请选择它。
  2. 从列表中选择你的 DDoS 防护计划。
  3. “设置”下,选择“ 受保护的资源”。
  4. “受保护的资源 ”页中,可以查看受此 DDoS 保护计划保护的资源。

为虚拟网络禁用:

可以禁用虚拟网络的 DDoS 保护,同时在其他虚拟网络上启用它。 若要禁用虚拟网络的 DDoS 保护,请执行以下步骤。

  1. 在 Azure 门户顶部的“搜索资源、服务和文档”框中搜索虚拟网络。 出现时,请选择它。
  2. “设置”下,选择 “DDoS 保护”。
  3. DDoS 网络保护选择“禁用”。

注意

为虚拟网络禁用 DDoS 保护不会删除保护计划。 如果仅禁用 DDoS 保护而不删除计划,则仍会产生费用。 若要避免不必要的费用,需要删除 DDoS 保护计划资源。 请参阅 “清理资源”。

清理资源

可保留资源以供下一教程使用。 如果不再需要,请删除此示例中使用的 MyResourceGroup 。 删除资源组时,DDoS 防护计划及其所有相关资源也会一起删除。 如果你不打算使用此 DDoS 防护计划,则应删除资源,以免产生不必要的费用。

警告

此操作不可逆。

  1. 在 Azure 门户中,搜索并选择“资源组”,或者从 Azure 门户菜单中选择“资源组” 。

  2. 筛选或向下滚动以找到 MyResourceGroup 资源组。

  3. 选择该资源组,然后选择“删除资源组”。

  4. 键入资源组名称以确认,然后选择“删除”。

注意

若要删除 DDoS 保护计划,请先取消关联所有虚拟网络。

后续步骤

要了解如何通过 Azure Monitor 配置指标警报,请继续学习教程。

通过门户配置 Azure DDoS 防护指标警报