クイック スタート: ARM テンプレートを使用して Azure DDoS ネットワーク保護を作成および構成する

  • [アーティクル]

このクイックスタートでは、Azure Resource Manager テンプレート (ARM テンプレート) を使用して、分散型サービス拒否 (DDoS) 攻撃に対する保護計画と仮想ネットワーク (VNet) を作成し、その VNet に対して保護計画を有効にする方法について説明します。 Azure DDoS ネットワーク保護プランでは、サブスクリプションの境界を越えて、DDoS 保護が有効になった仮想ネットワークのセットを定義します。 組織で 1 つの DDoS Protection プランを構成し、複数のサブスクリプションから同じプランに仮想ネットワークをリンクできます。

DDoS ネットワーク保護の図。

Azure Resource Manager テンプレートは JavaScript Object Notation (JSON) ファイルであり、プロジェクトのインフラストラクチャと構成が定義されています。 このテンプレートでは、宣言型の構文が使用されています。 デプロイしようとしているものを、デプロイを作成する一連のプログラミング コマンドを記述しなくても記述できます。

環境が前提条件を満たしていて、ARM テンプレートの使用に慣れている場合は、 [Azure へのデプロイ] ボタンを選択します。 Azure portal でテンプレートが開きます。

Resource Manager テンプレートを Azure に配置するボタン。

前提条件

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

テンプレートを確認する

このクイックスタートで使用されるテンプレートは Azure クイックスタート テンプレートからのものです。

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "metadata": {
    "_generator": {
      "name": "bicep",
      "version": "0.5.6.12127",
      "templateHash": "14909118711877377105"
    }
  },
  "parameters": {
    "ddosProtectionPlanName": {
      "type": "string",
      "metadata": {
        "description": "Specify a DDoS protection plan name."
      }
    },
    "virtualNetworkName": {
      "type": "string",
      "metadata": {
        "description": "Specify a DDoS virtual network name."
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Specify a location for the resources."
      }
    },
    "vnetAddressPrefix": {
      "type": "string",
      "defaultValue": "172.17.0.0/16",
      "metadata": {
        "description": "Specify the virtual network address prefix"
      }
    },
    "subnetPrefix": {
      "type": "string",
      "defaultValue": "172.17.0.0/24",
      "metadata": {
        "description": "Specify the virtual network subnet prefix"
      }
    },
    "ddosProtectionPlanEnabled": {
      "type": "bool",
      "defaultValue": true,
      "metadata": {
        "description": "Enable DDoS protection plan."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Network/ddosProtectionPlans",
      "apiVersion": "2021-05-01",
      "name": "[parameters('ddosProtectionPlanName')]",
      "location": "[parameters('location')]"
    },
    {
      "type": "Microsoft.Network/virtualNetworks",
      "apiVersion": "2021-05-01",
      "name": "[parameters('virtualNetworkName')]",
      "location": "[parameters('location')]",
      "properties": {
        "addressSpace": {
          "addressPrefixes": [
            "[parameters('vnetAddressPrefix')]"
          ]
        },
        "subnets": [
          {
            "name": "default",
            "properties": {
              "addressPrefix": "[parameters('subnetPrefix')]"
            }
          }
        ],
        "enableDdosProtection": "[parameters('ddosProtectionPlanEnabled')]",
        "ddosProtectionPlan": {
          "id": "[resourceId('Microsoft.Network/ddosProtectionPlans', parameters('ddosProtectionPlanName'))]"
        }
      },
      "dependsOn": [
        "[resourceId('Microsoft.Network/ddosProtectionPlans', parameters('ddosProtectionPlanName'))]"
      ]
    }
  ]
}

このテンプレートでは、次の 2 つのリソースが定義されます。

テンプレートのデプロイ

この例では、テンプレートで新しいリソース グループ、DDoS 保護プラン、VNet を作成します。

  1. Azure にサインインしてテンプレートを開くには、 [Azure へのデプロイ] ボタンを選択します。

    Resource Manager テンプレートを Azure にデプロイするボタン。

  2. 新しいリソース グループ、DDoS 保護プラン、VNet の名前を作成するための値を入力します。

    DDoS クイックスタート テンプレート。

    • サブスクリプション:リソースがデプロイされる Azure サブスクリプションの名前。
    • [リソース グループ] :既存のリソース グループを選択するか、新しいリソース グループを作成します。
    • [リージョン] :リソース グループがデプロイされるリージョン (米国東部など)。
    • [Ddos Protection Plan Name](DDoS 保護プランの名前) : 新しい DDoS 保護プランの名前。
    • 仮想ネットワーク名: 新しい VNet の名前を作成します。
    • [場所] :リソースのデプロイ用リソース グループと同じリージョンを使用する関数。
    • [Vnet Address Prefix](VNet のアドレス プレフィックス) : 既定値を使用するか、ご利用の VNet アドレスを入力します。
    • [Subnet Prefix](サブネットのプレフィックス) : 既定値を使用するか、ご利用の VNet サブネットを入力します。
    • [Ddos Protection Plan Enabled](DDoS 保護プランが有効) : 既定値は true です。DDoS 保護プランが有効になります。

  3. [確認と作成] を選択します。

  4. テンプレートの検証に成功したことを確認し、 [作成] を選択してデプロイを開始します。

デプロイされているリソースを確認する

Azure CLI または Azure PowerShell コマンドをコピーするには、 [コピー] ボタンを選択します。 [使ってみる] ボタンをクリックすると、コマンドを実行するための Azure Cloud Shell が開きます。

az network ddos-protection show \
  --resource-group MyResourceGroup \
  --name MyDdosProtectionPlan

出力結果として新しいリソースが表示されます。

{
  "etag": "W/\"abcdefgh-1111-2222-bbbb-987654321098\"",
  "id": "/subscriptions/b1111111-2222-3333-aaaa-012345678912/resourceGroups/MyResourceGroup/providers/Microsoft.Network/ddosProtectionPlans/MyDdosProtectionPlan",
  "location": "eastus",
  "name": "MyDdosProtectionPlan",
  "provisioningState": "Succeeded",
  "resourceGroup": "MyResourceGroup",
  "resourceGuid": null,
  "tags": null,
  "type": "Microsoft.Network/ddosProtectionPlans",
  "virtualNetworks": [
    {
      "id": "/subscriptions/b1111111-2222-3333-aaaa-012345678912/resourceGroups/MyResourceGroup/providers/Microsoft.Network/virtualNetworks/MyVNet",
      "resourceGroup": "MyResourceGroup"
    }
  ]
}

リソースをクリーンアップする

作業が完了したら、リソースを削除してください。 コマンドによって、リソース グループと含まれるすべてのリソースが削除されます。

az group delete --name MyResourceGroup

次のステップ

DDoS 保護プラン用にテレメトリを表示および構成する方法を学習するには、チュートリアルに進んでください。

DDoS 保護テレメトリの表示と構成