Rychlý start: Vytvoření a konfigurace služby Azure DDoS Network Protection pomocí Azure CLI

Začínáme se službou Azure DDoS Network Protection pomocí Azure CLI

Plán ochrany před útoky DDoS definuje sadu virtuálních sítí s povolenou službou DDoS Network Protection napříč předplatnými. Můžete nakonfigurovat jeden plán ochrany před útoky DDoS pro vaši organizaci a propojit virtuální sítě z více předplatných se stejným plánem.

V tomto rychlém startu vytvoříte plán ochrany před útoky DDoS a propojete ho s virtuální sítí.

Diagram služby DDoS Network Protection

Požadavky

Azure Cloud Shell

Azure hostí interaktivní prostředí Azure Cloud Shell, které můžete používat v prohlížeči. Pro práci se službami Azure můžete v prostředí Cloud Shell použít buď Bash, nebo PowerShell. Předinstalované příkazy Cloud Shellu můžete použít ke spuštění kódu v tomto článku, aniž byste museli instalovat cokoli do místního prostředí.

Spuštění služby Azure Cloud Shell:

Možnost Příklad nebo odkaz
Vyberte Vyzkoušet v pravém horním rohu bloku kódu nebo příkazu. Výběrem možnosti Vyzkoušet se kód ani příkaz automaticky nekopíruje do Cloud Shellu. Snímek obrazovky znázorňující příklad možnosti Vyzkoušet pro Azure Cloud Shell
Přejděte na adresu https://shell.azure.com nebo výběrem tlačítka Spustit Cloud Shell otevřete Cloud Shell v prohlížeči. Tlačítko pro spuštění Azure Cloud Shellu
Zvolte tlačítko Cloud Shell v pruhu nabídky v pravém horním rohu webu Azure Portal. Snímek obrazovky znázorňující tlačítko Cloud Shell na webu Azure Portal

Použití Azure Cloud Shellu:

  1. Spusťte Cloud Shell.

  2. Výběrem tlačítka Kopírovat v bloku kódu (nebo bloku příkazů) zkopírujte kód nebo příkaz.

  3. Vložte kód nebo příkaz do relace Cloud Shellu tak, že ve Windows a Linuxu vyberete ctrl+Shift+V nebo vyberete Cmd+Shift+V v macOS.

  4. Stisknutím klávesy Enter spusťte kód nebo příkaz.

Pokud se rozhodnete nainstalovat a používat rozhraní příkazového řádku místně, tento rychlý start vyžaduje Azure CLI verze 2.0.56 nebo novější. Verzi zjistíte spuštěním příkazu az --version. Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace rozhraní příkazového řádku Azure CLI.

Vytvoření plánu ochrany před útoky DDoS

V Azure přidělíte související prostředky ke skupině prostředků. Můžete použít existující skupinu prostředků nebo vytvořit novou.

Pokud chcete vytvořit skupinu prostředků, použijte příkaz az group create. V tomto příkladu pojmenujeme naši skupinu prostředků MyResourceGroup a použijeme umístění USA – východ:

az group create \
    --name MyResourceGroup \
    --location eastus

Teď vytvořte plán ochrany DDoS s názvem MyDdosProtectionPlan:

az network ddos-protection create \
    --resource-group MyResourceGroup \
    --name MyDdosProtectionPlan

Povolení ochrany před útoky DDoS pro virtuální síť

Povolení ochrany před útoky DDoS pro novou virtuální síť

Ochranu před útoky DDoS můžete povolit při vytváření virtuální sítě. V tomto příkladu pojmenujeme naši virtuální síť MyVnet:

az network vnet create \
    --resource-group MyResourceGroup \
    --name MyVnet \
    --location eastus \
    --ddos-protection-plan MyDdosProtectionPlan \
    --ddos-protection true

Poznámka:

Virtuální síť nemůžete přesunout do jiné skupiny prostředků nebo předplatného, pokud je pro virtuální síť povolená ochrana před útoky DDoS Protection. Pokud potřebujete přesunout virtuální síť s povolenou službou DDoS Protection, nejprve zakažte DDoS Protection, přesuňte virtuální síť a pak povolte DDoS Protection. Po přesunu se resetují prahové hodnoty automaticky vyladěných zásad pro všechny chráněné veřejné IP adresy ve virtuální síti.

Povolení ochrany před útoky DDoS pro existující virtuální síť

Při vytváření plánu ochrany před útoky DDoS můžete k plánu přidružit jednu nebo více virtuálních sítí. Pokud chcete přidat více než jednu virtuální síť, jednoduše uveďte názvy nebo ID oddělené mezerami. V tomto příkladu přidáme MyVnet:

az group create \
    --name MyResourceGroup \
    --location eastus

az network ddos-protection create \
    --resource-group MyResourceGroup \
    --name MyDdosProtectionPlan 
    --vnets MyVnet

Případně můžete povolit ochranu před útoky DDoS pro danou virtuální síť:

az network vnet update \
    --resource-group MyResourceGroup \
    --name MyVnet \
    --ddos-protection-plan MyDdosProtectionPlan \
    --ddos-protection true

Zakázání ochrany před útoky DDoS pro virtuální síť

Aktualizujte danou virtuální síť a zakažte ochranu před útoky DDoS:

az network vnet update \
    --resource-group MyResourceGroup \
    --name MyVnet \
    --ddos-protection-plan MyDdosProtectionPlan \
    --ddos-protection false
    

Ověření a test

Nejprve zkontrolujte podrobnosti o plánu ochrany před útoky DDoS:

az network ddos-protection show \
    --resource-group MyResourceGroup \
    --name MyDdosProtectionPlan

Ověřte, že příkaz vrátí správné podrobnosti o plánu ochrany před útoky DDoS.

Vyčištění prostředků

Prostředky si můžete ponechat pro další kurz. Pokud už ji nepotřebujete, odstraňte skupinu prostředků MyResourceGroup . Když odstraníte skupinu prostředků, odstraníte také plán ochrany před útoky DDoS a všechny související prostředky.

K odstranění skupiny prostředků použijte příkaz az group delete:

az group delete \
--name MyResourceGroup 

Poznámka:

Pokud chcete odstranit plán ochrany před útoky DDoS, musíte nejprve zrušit přidružení všech virtuálních sítí.

Další kroky

Pokud chcete zjistit, jak zobrazit a nakonfigurovat telemetrii pro váš plán ochrany před útoky DDoS, pokračujte v kurzech.