Esercitazione: Proteggere il servizio di bilanciamento del carico pubblico con Protezione DDoS di Azure
Protezione DDoS di Azure offre funzionalità avanzate di mitigazione DDoS, ad esempio l'ottimizzazione adattiva, le notifiche degli avvisi di attacco e il monitoraggio per proteggere i servizi di bilanciamento del carico pubblici da attacchi DDoS su larga scala.
Importante
Protezione DDoS di Azure comporta un costo quando si usa lo SKU di Protezione di rete. Gli addebiti per eccedenza si applicano solo se nel tenant sono protetti più di 100 indirizzi IP pubblici. Assicurarsi di eliminare le risorse di questa esercitazione se non si intende utilizzarle nuovamente in futuro. Per informazioni sui prezzi, vedere Prezzi di Protezione DDoS di Azure. Per altre informazioni su Protezione DDoS di Azure, vedere Che cos'è Protezione DDoS di Azure?.
In questa esercitazione apprenderai a:
- Creare un piano di protezione DDoS.
- Creare una rete virtuale con Protezione DDoS e il servizio Bastion abilitati.
- Creare un bilanciamento del carico pubblico con SKU standard dotato di IP front-end, probe di integrità, configurazione back-end e regola di bilanciamento del carico.
- Creare un gateway NAT per l'accesso a Internet in uscita per il pool back-end.
- Creare una macchina virtuale, quindi installare e configurare IIS nelle macchine virtuali per illustrare le regole di port forwarding e bilanciamento del carico.
Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
- Un account Azure con una sottoscrizione attiva.
Accedere al portale di Azure.
Nella casella di ricerca nella parte superiore del portale immettere Protezione DDoS. Selezionare Piani di protezione DDoS nei risultati della ricerca e quindi selezionare + Crea.
Nella scheda Informazioni di base della pagina Creare un piano di protezione DDoS immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Abbonamento Seleziona la tua sottoscrizione di Azure. Gruppo di risorse Selezionare Crea nuovo.
Immettere TutorLoadBalancer-rg.
Selezionare OK.Dettagli istanza Nome Immettere myDDoSProtectionPlan. Area Selezionare (Stati Uniti) Stati Uniti orientali. Selezionare Rivedi e crea, quindi selezionare Crea per distribuire il piano di protezione DDoS.
In questa sezione si creeranno una rete virtuale, una subnet e un host Azure Bastion, quindi si assocerà il piano di protezione DDoS. La rete virtuale e la subnet contengono il servizio di bilanciamento del carico e le macchine virtuali. L'host bastion viene usato per gestire in modo sicuro le macchine virtuali e installare IIS per testare il bilanciamento del carico. Il piano di protezione DDoS proteggerà tutte le risorse IP pubbliche nella rete virtuale.
Importante
La tariffa oraria inizia dal momento in cui viene distribuito Bastion, a prescindere dall'utilizzo dei dati in uscita. Per altre informazioni, vedere Prezzi e SKU. Se si distribuisce Bastion nel corso di un'esercitazione o di un test, è consigliabile eliminare questa risorsa dopo averla usata.
Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.
In Reti virtuali selezionare + Crea.
In Crea rete virtuale immettere o selezionare le informazioni seguenti nella scheda Informazioni di base:
Impostazione valore Dettagli del progetto Abbonamento Seleziona la tua sottoscrizione di Azure. Gruppo di risorse Selezionare TutorLoadBalancer-rg Dettagli istanza Nome Immettere myVNet Area Selezionare Stati Uniti orientali. Selezionare la scheda Indirizzi IP oppure Avanti: Indirizzi IP nella parte inferiore della pagina.
Nella scheda Indirizzi IP immettere queste informazioni:
Impostazione Valore Spazio indirizzi IPv4 Immettere 10.1.0.0/16 In Nome subnet selezionare la parola predefinito. Se non è presente una subnet, selezionare + Aggiungi subnet.
In Modifica subnet immettere queste informazioni:
Impostazione Valore Nome subnet Immettere myBackendSubnet Intervallo di indirizzi subnet Immettere 10.1.0.0/24 Selezionare Salva o Aggiungi.
Seleziona la scheda Sicurezza.
In BastionHost selezionare Abilita. Immettere le informazioni seguenti:
Impostazione Valore Nome bastion Immettere myBastionHost Spazio indirizzi della subnet AzureBastionSubnet Immettere 10.1.1.0/26 Indirizzo IP pubblico Selezionare Crea nuovo.
Nel campo Nome immettere myBastionIP.
Selezionare OK.In Protezione della rete DDoS selezionare Abilita. Selezionare quindi myDDoSProtectionPlan dal menu a discesa.
Selezionare la scheda Rivedi e crea oppure il pulsante Rivedi e crea.
Seleziona Crea.
Nota
La rete virtuale e la subnet vengono create immediatamente. La creazione dell'host bastion viene inviata come processo e verrà completata entro 10 minuti. È possibile procedere con i passaggi successivi durante la creazione dell'host bastion.
In questa sezione verrà creato un servizio di bilanciamento del carico con ridondanza della zona che bilancia il carico delle macchine virtuali. Con la ridondanza della zona, in caso di errore di una o più zone di disponibilità, il percorso dati continua a funzionare, a condizione che una zona dell'area rimanga integra.
Durante la creazione del servizio di bilanciamento del carico, si configureranno:
- Indirizzo IP front-end IP
- Pool back-end
- Regole di bilanciamento del carico in ingresso
- Probe di integrità
Nella casella di ricerca nella parte superiore del portale immettere Bilanciamento del carico. Selezionare Bilanciamenti del carico nei risultati della ricerca.
Nella pagina Bilanciamento del carico selezionare + Crea.
Nella scheda Informazioni di base della pagina Crea servizio di bilanciamento del carico immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare TutorLoadBalancer-rg. Dettagli istanza Nome Immettere myLoadBalancer Area Selezionare Stati Uniti orientali. SKU Lasciare l'impostazione predefinita Standard. Type Selezionare Pubblico. Livello Lasciare l'impostazione predefinita Locale. Selezionare Avanti: Configurazione IP front-end nella parte inferiore della pagina.
In Configurazione IP front-end selezionare + Aggiungi una configurazione IP front-end.
Immettere myFrontend nel campo Nome.
Selezionare IPv4 per Versione IP.
Selezionare Indirizzo IP per Tipo di IP.
Nota
Per altre informazioni sui prefissi IP, vedere Prefisso dell'indirizzo IP pubblico di Azure.
Selezionare Crea nuovo in Indirizzo IP pubblico.
In Aggiungi un indirizzo IP pubblico immettere myPublicIP per Nome.
Selezionare Con ridondanza della zona in Zona di disponibilità.
Nota
Nelle aree con Zone di disponibilità è possibile selezionare nessuna zona (opzione predefinita), una zona specifica o una zona con ridondanza della zona. La scelta dipende dai requisiti specifici per gli errori di dominio. Nelle aree senza zone di disponibilità, questo campo non viene visualizzato.
Per altre informazioni sulle zone di disponibilità, vedere Panoramica delle zone di disponibilità.Lasciare l'impostazione predefinita Microsoft Network per Preferenza di routing.
Seleziona OK.
Selezionare Aggiungi.
Selezionare Avanti: Pool back-end nella parte inferiore della pagina.
Nella scheda Pool back-end selezionare + Aggiungi un pool back-end.
Immettere myBackendPool-cr nel campo Nome in Aggiungi pool back-end.
Selezionare myVNet in Rete virtuale.
Selezionare Indirizzo IP per Configurazione pool back-end.
Seleziona Salva.
Selezionare Avanti: Regole in ingresso nella parte inferiore della pagina.
In Regola di bilanciamento del carico nella scheda Regole in ingresso, selezionare + Aggiungi una regola di bilanciamento del carico.
In Aggiungi regola di bilanciamento del carico immettere o selezionare le informazioni seguenti:
Impostazione valore Nome Immettere myHTTPRule Versione IP Selezionare IPv4 o IPv6, a seconda dei requisiti. Indirizzo IP front-end IP Selezionare myFrontend (da creare). Pool back-end Selezionare myBackendPool. Protocollo Selezionare TCP. Port Immettere 80. Porta back-end Immettere 80. Probe di integrità Selezionare Crea nuovo.
Nel campo Nome immettere myHealthProbe.
Selezionare TCP in Protocollo.
Lasciare tutte le altre impostazioni predefinite e selezionare OK.Persistenza della sessione Selezionare Nessuno. Timeout di inattività (minuti) Immettere o selezionare 15. Reimpostazione TCP Selezionare Enabled. IP mobile selezionare Disabilitato. SNAT (Network Address Translation) di origine in uscita Lasciare l'impostazione predefinita (Scelta consigliata) Usa regole in uscita per fornire l'accesso a Internet ai membri del pool back-end. Selezionare Aggiungi.
Selezionare il pulsante blu Rivedi e crea nella parte inferiore della pagina.
Seleziona Crea.
Nota
In questo esempio si creerà un gateway NAT per fornire l'accesso a Internet in uscita. La scheda Regole in uscita nella configurazione viene ignorata perché è facoltativa e non è necessaria con il gateway NAT. Per altre informazioni sul gateway NAT di Azure, vedere Che cos'è NAT di rete virtuale di Azure? Per altre informazioni sulle connessioni in uscita in Azure, vedere SNAT (Source Network Address Translation) per le connessioni in uscita
In questa sezione verrà creato un gateway NAT per l'accesso a Internet in uscita per le risorse nella rete virtuale. Per altre opzioni per le regole in uscita, vedere Network Address Translation (SNAT) per le connessioni in uscita.
Nella casella di ricerca nella parte superiore del portale immettere gateway NAT. Selezionare Gateway NAT nei risultati della ricerca.
In Gateway NAT selezionare + Crea.
In Crea un gateway NAT (Network Address Translation) immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare TutorLoadBalancer-rg. Dettagli istanza Nome del gateway NAT Immettere myNATgateway. Area Selezionare Stati Uniti orientali. Zona di disponibilità Selezionare Nessuno. Timeout di inattività (minuti) Immettere 15. Selezionare la scheda IP in uscita o selezionare Avanti: IP in uscita nella parte inferiore della pagina.
In IP in uscita selezionare Crea un nuovo indirizzo IP pubblico accanto a Indirizzi IP pubblici.
Immettere myNATgatewayIP nel campo Nome.
Seleziona OK.
Selezionare la scheda Subnet o selezionare il pulsante Avanti: Subnet nella parte inferiore della pagina.
In Rete virtuale nella scheda Subnet selezionare myVNet.
Selezionare myBackendSubnet in Nome subnet.
Selezionare il pulsante blu Rivedi e crea nella parte inferiore della pagina oppure selezionare la scheda Rivedi e crea.
Seleziona Crea.
In questa sezione verranno create due macchine virtuali (myVM1 e myVM2) in due zone diverse (Zona 1 e Zona 2).
Queste macchine virtuali vengono aggiunte al pool back-end del servizio di bilanciamento del carico creato in precedenza.
Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
In Macchine virtuali selezionare + Crea>Macchina virtuale di Azure.
In Crea macchina virtuale immettere o selezionare i valori seguenti nella scheda Informazioni di base:
Impostazione Valore Dettagli del progetto Abbonamento Selezionare la sottoscrizione di Azure Gruppo di risorse Selezionare TutorLoadBalancer-rg Dettagli istanza Virtual machine name Immettere myVM1 Area Selezionare ((Stati Uniti) Stati Uniti orientali) Opzioni di disponibilità Selezionare Zone di disponibilità Zona di disponibilità Selezionare Zona 1 Tipo di sicurezza Selezionare Standard. Image Selezionare Windows Server 2022 Datacenter: Azure Edition - Gen2 Istanza Spot di Azure Lascia deselezionata l'impostazione predefinita. Dimensione Scegliere le dimensioni della macchina virtuale o usare l'impostazione predefinita Account amministratore Username Immettere un nome utente Password Immettere una password Conferma password Reimmettere la password Regole porta in ingresso Porte in ingresso pubbliche Selezionare Nessuno Selezionare la scheda Rete oppure selezionare Avanti: Dischi e quindi Avanti: Rete.
Nella scheda Rete selezionare o immettere le informazioni seguenti:
Impostazione Valore Interfaccia di rete Rete virtuale Selezionare myVNet Subnet Selezionare myBackendSubnet IP pubblico Selezionare Nessuno. Gruppo di sicurezza di rete della scheda di interfaccia di rete Selezionare Avanzato Configura gruppo di sicurezza di rete Ignorare questa impostazione fino al completamento delle altre impostazioni. Completare dopo il passaggio Selezionare un pool back-end. Elimina scheda di interfaccia di rete quando viene eliminata la macchina virtuale Lasciare non selezionato come da impostazione predefinita. Rete accelerata Lasciare selezionato come da impostazione predefinita. Bilanciamento del carico Opzioni di bilanciamento del carico Opzioni di bilanciamento del carico Selezionare Azure Load Balancer Selezionare un servizio di bilanciamento del carico Selezionare myLoadBalancer Selezionare un pool back-end Selezionare myBackendPool Configura gruppo di sicurezza di rete Selezionare Crea nuovo.
Nella pagina Crea gruppo di sicurezza di rete immettere myNSG in Nome.
In Regole in ingresso selezionare +Aggiungi una regola in ingresso.
In Servizio selezionare HTTP.
In Priorità immettere 100.
In Nome immettere myNSGrule
Selezionare Aggiungi
Selezionare OKSelezionare Rivedi e crea.
Rivedere le impostazioni e quindi selezionare Crea.
Seguire i passaggi da 1 a 7 per creare un'altra macchina virtuale con i valori seguenti e tutte le altre impostazioni uguali a myVM1:
Impostazione VM 2 Nome myVM2 Zona di disponibilità Zona 2 Gruppo di sicurezza di rete Selezionare il gruppo di sicurezza di rete myNSG esistente
Nota
Azure fornisce un IP di accesso in uscita predefinito per le macchine virtuali a cui non è stato assegnato un indirizzo IP pubblico o che si trovano nel pool back-end di un servizio del bilanciamento del carico di base di Azure. Il meccanismo dell'IP di accesso in uscita predefinito fornisce un IP in uscita non configurabile.
L'IP di accesso in uscita predefinito è disabilitato quando si verifica uno degli eventi seguenti:
- Alla macchina virtuale viene assegnato un indirizzo IP pubblico.
- La macchina virtuale è posizionata nel pool back-end di un servizio di bilanciamento del carico standard, con o senza regole in uscita.
- Una risorsa Gateway NAT di Azure viene assegnata alla subnet della macchina virtuale.
Le macchine virtuali create usando set di scalabilità di macchine virtuali in modalità di orchestrazione flessibile non hanno l'accesso in uscita predefinito.
Per altre informazioni sulle connessioni in uscita in Azure, vedere Accesso in uscita predefinito in Azure e Uso di Source Network Address Translation (SNAT) per le connessioni in uscita.
Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare myVM1.
Nella pagina Panoramica selezionare Connetti, quindi Bastion.
Immettere il nome utente e la password specificati durante la creazione della VM.
Selezionare Connetti.
Nel desktop del server selezionare Start>Windows PowerShell>Windows PowerShell.
Nella finestra di PowerShell eseguire i comandi seguenti per:
- Installare il server IIS
- Rimuovere il file iisstart.htm predefinito
- Aggiungere un nuovo file iisstart.htm che visualizzi il nome della macchina virtuale:
# Install IIS server role Install-WindowsFeature -name Web-Server -IncludeManagementTools # Remove default htm file Remove-Item C:\inetpub\wwwroot\iisstart.htm # Add a new htm file that displays server name Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)
Chiudere la sessione di Bastion con myVM1.
Ripetere i passaggi da 1 a 8 per installare IIS e il file iisstart.htm aggiornato in myVM2.
Nella casella di ricerca nella parte superiore della pagina immettere IP pubblico. Selezionare Indirizzi IP pubblici nei risultati della ricerca.
In Indirizzi IP pubblici selezionare myPublicIP.
Copiare l'elemento in Indirizzo IP. Incollare l'indirizzo IP pubblico nella barra degli indirizzi del proprio browser. Nel browser viene visualizzata la pagina della macchina virtuale personalizzata del server Web IIS.
Quando non sono più necessari, eliminare il gruppo di risorse, il servizio di bilanciamento del carico e tutte le risorse correlate. A tale scopo, selezionare il gruppo di risorse TutorLoadBalancer-rg che contiene le risorse e quindi selezionare Elimina.
Passare all'articolo successivo per informazioni su come: