通过

快速入门:使用 Azure CLI 创建和配置 Azure DDoS 网络保护

开始使用 Azure CLI 实现 Azure DDoS 网络保护。

DDoS 防护计划跨订阅定义一组已启用 DDoS 网络保护的虚拟网络。 可以为组织配置一个 DDoS 防护计划,然后从多个订阅将虚拟网络链接到相同计划。

在本快速入门中,你将创建一个 DDoS 防护计划,并将其链接到虚拟网络。

DDoS 网络保护的示意图。

先决条件

  • 具有活动订阅的 Azure 帐户。 创建试用版订阅
  • 已安装在本地的 Azure CLI 或 Azure 本地的 Shell

如果选择在本地安装并使用 CLI,本快速入门要求 Azure CLI 2.0.56 或更高版本。 若要查找版本,请运行 az --version。 如需进行安装或升级,请参阅安装 Azure CLI

创建 DDoS 防护计划

在 Azure 中,可将相关的资源分配到资源组。 可以使用现有资源组,也可以创建新组。

若要创建资源组,请使用 az group create。 在此示例中,我们将资源组命名为“MyResourceGroup”,并使用“中国东部”位置:

az group create \
    --name MyResourceGroup \
    --location chinaeast

现在,创建名为“MyDdosProtectionPlan”的 DDoS 防护计划:

az network ddos-protection create \
    --resource-group MyResourceGroup \
    --name MyDdosProtectionPlan

为虚拟网络启用 DDoS 防护

为新的虚拟网络启用 DDoS 防护

创建虚拟网络时,可以启用 DDoS 防护。 在此示例中,我们将为虚拟网络命名为 MyVnet

az network vnet create \
    --resource-group MyResourceGroup \
    --name MyVnet \
    --location chinaeast \
    --ddos-protection-plan MyDdosProtectionPlan \
    --ddos-protection true

注意

如果已为虚拟网络启用 DDoS 防护,则无法将虚拟网络移到其他资源组或订阅。 如果需要移动已启用 DDoS 防护的虚拟网络,请先禁用 DDoS 防护,移动虚拟网络,然后再启用 DDoS 防护。 移动后,适用于虚拟网络所有受保护的公共 IP 地址的自动优化策略阈值都将重置。

为现有虚拟网络启用 DDoS 保护

创建 DDoS 防护计划时,可以将一个或多个虚拟网络关联到计划。 若要添加多个虚拟网络,请列出名称或 ID(以空格分隔)。 在此示例中,我们将添加“MyVnet”:

az group create \
    --name MyResourceGroup \
    --location chinaeast

az network ddos-protection create \
    --resource-group MyResourceGroup \
    --name MyDdosProtectionPlan 
    --vnets MyVnet

或者,可以为给定虚拟网络启用 DDoS 防护:

az network vnet update \
    --resource-group MyResourceGroup \
    --name MyVnet \
    --ddos-protection-plan MyDdosProtectionPlan \
    --ddos-protection true

禁用虚拟网络的 DDoS 防护

更新给定虚拟网络以禁用 DDoS 防护:

az network vnet update \
    --resource-group MyResourceGroup \
    --name MyVnet \
    --ddos-protection-plan MyDdosProtectionPlan \
    --ddos-protection false

验证并测试

首先检查 DDoS 防护计划的详细信息:

az network ddos-protection show \
    --resource-group MyResourceGroup \
    --name MyDdosProtectionPlan

验证该命令是否返回正确的 DDoS 防护计划详细信息。

清理资源

可保留资源以供下一教程使用。 如果不再需要,请删除“MyResourceGroup”资源组。 删除资源组时,DDoS 防护计划及其所有相关资源也会一起删除。

若要删除资源组,请使用 az group delete

az group delete \
--name MyResourceGroup

注意

若要删除 DDoS 保护计划,请先取消关联所有虚拟网络。

后续步骤

要了解如何查看和配置 DDoS 防护计划的遥测,请继续阅读教程。

查看和配置 DDoS 防护遥测