Udostępnij przez

Samouczek: ochrona publicznego modułu równoważenia obciążenia za pomocą usługi Azure DDoS Protection

Usługa Azure DDoS Protection umożliwia rozszerzone możliwości ograniczania ryzyka ataków DDoS, takie jak adaptacyjne dostrajanie, powiadomienia o alertach ataku i monitorowanie w celu ochrony publicznych modułów równoważenia obciążenia przed atakami DDoS na dużą skalę.

Important

Usługa Azure DDoS Protection wiąże się z kosztami korzystania z jednostki SKU ochrony sieci. Opłaty za nadwyżki mają zastosowanie tylko wtedy, gdy u klienta jest chronionych więcej niż 100 publicznych adresów IP. Upewnij się, że usuniesz zasoby w tym samouczku, jeśli nie zamierzasz używać zasobów w przyszłości. Aby uzyskać informacje o cenach, zobacz Cennik usługi Azure DDoS Protection. Aby uzyskać więcej informacji na temat usługi Azure DDoS Protection, zobacz Co to jest usługa Azure DDoS Protection?.

W tym poradniku nauczysz się, jak:

  • Utwórz plan DDoS Protection.
  • Utwórz sieć wirtualną z włączoną usługą DDoS Protection i Bastion.
  • Utwórz standardowy publiczny moduł równoważenia obciążenia SKU z adresem IP frontonu, sondą monitorującą kondycję, konfiguracją zaplecza i regułą równoważenia obciążenia.
  • Utwórz bramę NAT dla wychodzącego dostępu do Internetu dla puli backendowej.
  • Utwórz maszynę wirtualną, a następnie zainstaluj i skonfiguruj usługi IIS na maszynach wirtualnych, aby zademonstrować reguły przekierowywania portów i równoważenia obciążenia.

Jeśli nie masz subskrypcji Azure, przed rozpoczęciem utwórz darmowe konto.

Prerequisites

  • Konto Azure z aktywną subskrypcją.

Tworzenie planu ochrony przed atakami DDoS

  1. Zaloguj się do witryny Azure Portal.

  2. W polu wyszukiwania w górnej części portalu wprowadź ochronę przed atakami DDoS. Wybierz plany ochrony przed atakami DDoS w wynikach wyszukiwania, a następnie wybierz pozycję + Utwórz.

  3. Na karcie Podstawy na stronie Tworzenie planu ochrony przed atakami DDoS wprowadź lub wybierz następujące informacje:

    Zrzut ekranu przedstawiający tworzenie planu ochrony przed atakami DDoS.

    Setting Value
    Szczegóły projektu
    Subscription Wybierz subskrypcję platformy Azure.
    Grupa zasobów Wybierz pozycjęUtwórz nowy.
    Wprowadź TutorLoadBalancer-rg.
    Wybierz przycisk OK.
    Szczegóły wystąpienia
    Name Wprowadź myDDoSProtectionPlan.
    Region Wybierz (US) Wschodnie USA.

  4. Wybierz pozycję Przejrzyj i utwórz , a następnie wybierz pozycję Utwórz , aby wdrożyć plan ochrony przed atakami DDoS.

Tworzenie sieci wirtualnej

W tej sekcji utworzysz sieć wirtualną, podsieć, host Azure Bastion oraz przypiszesz plan ochrony przed DDoS. Sieć wirtualna i podsieć zawierają moduł równoważenia obciążenia i maszyny wirtualne. Host bastionu służy do bezpiecznego zarządzania maszynami wirtualnymi i instalowania usług IIS w celu przetestowania modułu równoważenia obciążenia. Plan ochrony DDoS Protection będzie chronić wszystkie publiczne zasoby IP w sieci wirtualnej.

Important

Ceny godzinowe zaczynają się od momentu wdrożenia usługi Bastion, niezależnie od użycia danych wychodzących. Aby uzyskać więcej informacji, zobacz Ceny i SKU. Jeśli wdrażasz Bastion w ramach samouczka lub testu, zalecamy usunięcie tego zasobu po zakończeniu jego używania.

  1. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne w wynikach wyszukiwania.

  2. W obszarze Sieci wirtualne wybierz pozycję + Utwórz.

  3. W obszarze Tworzenie sieci wirtualnej wprowadź lub wybierz następujące informacje na karcie Podstawy :

    Setting Value
    Szczegóły projektu
    Subscription Wybierz subskrypcję platformy Azure.
    Grupa zasobów Wybierz TutorLoadBalancer-rg
    Szczegóły wystąpienia
    Name Wprowadź myVNet
    Region Wybierz pozycję Wschodnie stany USA.

  4. Wybierz kartę Adresy IP lub wybierz pozycję Dalej: adresy IP w dolnej części strony.

  5. Na karcie Adresy IP wprowadź następujące informacje:

    Setting Value
    Przestrzeń adresowa IPv4 Wprowadź 10.1.0.0/16

  6. W obszarze Nazwa podsieci wybierz wyraz domyślny. Jeśli podsieć nie jest obecna, wybierz pozycję + Dodaj podsieć.

  7. W obszarze Edytuj podsieć wprowadź następujące informacje:

    Setting Value
    Nazwa podsieci Wprowadź myBackendSubnet
    Zakres adresów podsieci Wprowadź 10.1.0.0/24

  8. Wybierz pozycję Zapisz lub Dodaj.

  9. Wybierz kartę Zabezpieczenia.

  10. W obszarze BastionHost wybierz pozycję Włącz. Wprowadź następujące informacje:

    Setting Value
    Nazwa bastionu Wprowadź myBastionHost
    Przestrzeń adresowa azureBastionSubnet Wprowadź 10.1.1.0/26
    Publiczny adres IP Wybierz pozycjęUtwórz nowy.
    W polu Nazwa wprowadź wartość myBastionIP.
    Wybierz przycisk OK.

  11. W obszarze Ochrona sieci przed atakami DDoS wybierz pozycję Włącz. Następnie z menu rozwijanego wybierz pozycję myDDoSProtectionPlan.

    Zrzut ekranu przedstawiający włączanie ataków DDoS podczas tworzenia sieci wirtualnej.

  12. Wybierz kartę Przegląd i tworzenie lub wybierz przycisk Przegląd i tworzenie.

  13. Wybierz Utwórz.

    Note

    Sieć wirtualna i podsieć są tworzone natychmiast. Tworzenie hosta usługi Bastion jest przesyłane jako zadanie i zostanie ukończone w ciągu 10 minut. Możesz przejść do następnych kroków podczas tworzenia hosta usługi Bastion.

Tworzenie modułu równoważenia obciążenia

W tej sekcji utworzysz strefowo nadmiarowy moduł równoważenia obciążenia, który równoważy obciążenie maszyn wirtualnych. Dzięki nadmiarowości stref w jednej lub kilku strefach dostępności może dojść do awarii, a ścieżka danych będzie działać dopóki jedna strefa w regionie pozostanie w dobrej kondycji.

Podczas tworzenia modułu równoważenia obciążenia skonfigurujesz:

  • Adres IP frontonu
  • Pula serwerów backendowych
  • Reguły równoważenia obciążenia przychodzącego
  • Sonda kondycji

  1. W polu wyszukiwania na górze portalu wprowadź Równoważnik obciążenia. Wybierz Równoważniki obciążenia z wyników wyszukiwania.

  2. Na stronie Moduł równoważenia obciążenia wybierz pozycję + Utwórz.

  3. Na karcie Podstawowe na stronie Tworzenie modułu równoważenia obciążenia wprowadź lub wybierz następujące informacje:

    Setting Value
    Szczegóły projektu
    Subscription Wybierz swoją subskrypcję.
    Grupa zasobów Wybierz KorepetytorLoadBalancer-rg.
    Szczegóły wystąpienia
    Name Wprowadź myLoadBalancer
    Region Wybierz pozycję Wschodnie stany USA.
    SKU Pozostaw wartość domyślną Standardowa.
    Typ Wybierz pozycję Publiczna.
    Tier Pozostaw wartość domyślną Regionalna.

    Zrzut ekranu zakładki podstawowej tworzenia standardowego modułu równoważenia obciążenia.

  4. W dolnej części strony wybierz pozycję Dalej: Konfiguracja IP frontendu.

  5. W sekcji Konfiguracja adresu IP frontonu, wybierz + Dodaj konfigurację adresu IP frontonu.

  6. Wprowadź myFrontend w Nazwa.

  7. Wybierz pozycję IPv4 dla wersji adresu IP.

  8. Wybierz adres IP dla typu IP.

    Note

    Aby uzyskać więcej informacji na temat prefiksów adresów IP, zobacz Prefiks publicznego adresu IP platformy Azure.

  9. Wybierz pozycję Utwórz nowy na pozycji Publiczny adres IP.

  10. W Dodaj publiczny adres IP wprowadź myPublicIP dla Nazwa.

  11. Wybierz Strefa nadmiarowa w Strefie dostępności.

    Note

    W regionach ze strefami dostępności możesz wybrać opcję bez określonej strefy (opcja domyślna), określoną strefę lub z nadmiarowością strefową. Wybór będzie zależeć od konkretnych wymagań dotyczących awarii domeny. W regionach bez Strefy dostępności to pole nie będzie wyświetlane.
    Aby uzyskać więcej informacji na temat stref dostępności, zobacz Omówienie stref dostępności.

  12. Pozostaw domyślną opcję Microsoft Network dla preferencji routingu.

  13. Kliknij przycisk OK.

  14. Wybierz Dodaj.

  15. Wybierz opcję Dalej: pule użytkowników zaplecza u dołu strony.

  16. Na zakładce Pule zaplecza wybierz pozycję + Dodaj pulę zaplecza.

  17. Wprowadź nazwę myBackendPool w polu Dodaj pulę zaplecza.

  18. Wybierz pozycję myVNet w obszarze Sieć wirtualna.

  19. Wybierz IP adres dla konfiguracji puli backend.

  20. Wybierz Zapisz.

  21. Wybierz pozycję Dalej: reguły ruchu przychodzącego na dole strony.

  22. W obszarze Reguła równoważenia obciążenia na karcie Reguły ruchu przychodzącego, wybierz pozycję + Dodaj regułę równoważenia obciążenia.

  23. W Dodaj regułę równoważenia obciążenia wprowadź lub wybierz następujące informacje:

    Setting Value
    Name Wprowadź myHTTPRule
    Wersja protokołu IP Wybierz pozycję IPv4 lub IPv6 w zależności od wymagań.
    Adres IP frontonu Wybierz myFrontend (Do utworzenia).
    Pula serwerów backendowych Wybierz pozycję myBackendPool.
    Protocol Wybierz pozycję TCP.
    Port Wprowadź 80.
    Port zaplecza Wprowadź 80.
    Sonda kondycji Wybierz pozycjęUtwórz nowy.
    W polu Nazwa wprowadź wartość myHealthProbe.
    Wybierz TCP w Protokołach.
    Pozostaw pozostałe wartości domyślne i wybierz przycisk OK.
    Trwałość sesji Wybierz pozycję Brak.
    Limit czasu bezczynności (w minutach) Wprowadź lub wybierz 15.
    Resetowanie protokołu TCP Wybierz pozycję Włączone.
    Pływający adres IP Wybierz opcję Wyłączone.
    Tłumaczenie wychodzących źródłowych adresów sieciowych (SNAT) Pozostaw wartość domyślną (zalecane), ale użyj reguł ruchu wychodzącego, aby zapewnić członkom puli zaplecza dostęp do Internetu.

  24. Wybierz Dodaj.

  25. Wybierz niebieski przycisk Przejrzyj i utwórz w dolnej części strony.

  26. Wybierz Utwórz.

    Note

    W tym przykładzie utworzymy bramę translatora adresów sieciowych w celu zapewnienia wychodzącego dostępu do Internetu. Karta reguł ruchu wychodzącego w konfiguracji jest pomijana, ponieważ jest opcjonalna i niewymagana przy użyciu bramy NAT. Aby uzyskać więcej informacji na temat bramy NAT sieci wirtualnej platformy Azure, zobacz Co to jest Azure Virtual Network NAT? Aby uzyskać więcej informacji na temat połączeń wychodzących na platformie Azure, zobacz Translacja adresów sieciowych źródła (SNAT) dla połączeń wychodzących

Utwórz bramę NAT

W tej sekcji utworzysz bramę NAT dla dostępu do sieci Internet wychodzącego dla zasobów w sieci wirtualnej. Aby zapoznać się z innymi opcjami reguł ruchu wychodzącego, zapoznaj się z tematem Translator adresów sieciowych (SNAT) dla połączeń wychodzących.

  1. W polu wyszukiwania w górnej części portalu wprowadź NAT gateway. Wybierz bramy NAT w wynikach wyszukiwania.

  2. W bramach NAT wybierz + Utwórz.

  3. W Utwórz bramę translacji adresów sieciowych (NAT) wprowadź lub wybierz następujące informacje:

    Setting Value
    Szczegóły projektu
    Subscription Wybierz swoją subskrypcję.
    Grupa zasobów Wybierz KorepetytorLoadBalancer-rg.
    Szczegóły wystąpienia
    Nazwa bramy NAT Wprowadź myNATgateway.
    Region Wybierz pozycję Wschodnie stany USA.
    Strefa dostępności Wybierz pozycję Brak.
    Limit czasu bezczynności (w minutach) Wprowadź 15.

  4. Wybierz kartę Wychodzący adres IP lub wybierz pozycję Dalej: wychodzący adres IP w dolnej części strony.

  5. W obszarze Wychodzący adres IP wybierz pozycję Utwórz nowy publiczny adres IP obok pozycji Publiczne adresy IP.

  6. Wprowadź myNATgatewayIP w Nazwa.

  7. Kliknij przycisk OK.

  8. Wybierz kartę Podsieć lub wybierz przycisk Dalej: Podsieć w dolnej części strony.

  9. Na karcie Sieć wirtualna na karcie Podsieć wybierz pozycję myVNet.

  10. Wybierz myBackendSubnet pod nazwą podsieci.

  11. Wybierz niebieski przycisk Przejrzyj i utwórz na dole strony lub wybierz kartę Przejrzyj i utwórz.

  12. Wybierz Utwórz.

Tworzenie maszyn wirtualnych

W tej sekcji utworzysz dwie maszyny wirtualne (myVM1 i myVM2) w dwóch różnych strefach (Strefa 1 i Strefa 2).

Te maszyny wirtualne są dodawane do puli zaplecza modułu równoważenia obciążenia utworzonego wcześniej.

  1. W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.

  2. W obszarze Maszyny wirtualne wybierz pozycję + Utwórz>maszynę wirtualną platformy Azure.

  3. W obszarze Tworzenie maszyny wirtualnej wprowadź lub wybierz następujące wartości na karcie Podstawy :

    Setting Value
    Szczegóły projektu
    Subscription Wybierz subskrypcję platformy Azure
    Grupa zasobów Wybierz TutorLoadBalancer-rg
    Szczegóły wystąpienia
    Nazwa maszyny wirtualnej Wprowadź myVM1
    Region Wybierz ((USA) Wschodnie stany USA)
    Opcje dostępności Wybieranie stref dostępności
    Strefa dostępności Wybierz strefę 1
    Typ zabezpieczeń Wybierz opcję Standardowa.
    obraz Wybierz pozycję Windows Server 2022 Datacenter: Azure Edition — Gen2
    Instancja Azure Spot Pozostaw domyślnie pole bez zaznaczenia.
    Size Wybierz rozmiar maszyny wirtualnej lub zaakceptuj ustawienia domyślne
    Konto administratora
    Username Wprowadź nazwę użytkownika
    Password Wprowadź hasło
    Potwierdź hasło Ponowne wprowadź hasło
    Reguły portów przychodzących
    Publiczne porty ruchu przychodzącego Wybierz pozycję Brak

  4. Wybierz kartę Sieć lub wybierz pozycję Dalej: Dyski, a następnie pozycję Dalej: Sieć.

  5. Na karcie Sieć wybierz lub wprowadź następujące informacje:

    Setting Value
    Interfejs sieciowy
    Sieć wirtualna Wybierz sieć myVNet
    Subnet Wybierz myBackendSubnet
    Publiczny adres IP Wybierz pozycję Brak.
    Grupa zabezpieczeń sieciowych NIC Wybierz pozycję Zaawansowane
    Konfigurowanie sieciowej grupy zabezpieczeń Pomiń to ustawienie do czasu ukończenia pozostałych ustawień. Ukończ po wybraniu puli serwerów zaplecza.
    Usuwanie karty sieciowej po usunięciu maszyny wirtualnej Pozostaw domyślne ustawienie niezaznaczone.
    Przyspieszona sieć Pozostaw domyślną opcję wybraną.
    Równoważenie obciążenia
    Opcje równoważenia obciążenia
    Opcje równoważenia obciążenia Wybieranie modułu równoważenia obciążenia platformy Azure
    Wybieranie modułu równoważenia obciążenia Wybierz myLoadBalancer
    Wybierz pulę zaplecza Wybierz pozycję myBackendPool
    Konfigurowanie sieciowej grupy zabezpieczeń Wybierz pozycjęUtwórz nowy.
    W Utwórz grupę zabezpieczeń sieci wpisz myNSG w polu Nazwa.
    W obszarze Reguły ruchu przychodzącego wybierz pozycję +Dodaj regułę ruchu przychodzącego.
    W obszarze Usługa wybierz pozycję HTTP.
    W obszarze Priorytet wprowadź wartość 100.
    W polu Nazwa wprowadź myNSGRuleWybierz pozycję
    wybierz

  6. Wybierz opcję Recenzja i utwórz.

  7. Przejrzyj ustawienia, a następnie wybierz pozycję Utwórz.

  8. Wykonaj kroki od 1 do 7, aby utworzyć inną maszynę wirtualną z następującymi wartościami i wszystkimi innymi ustawieniami tak samo jak myVM1:

    Setting MW 2
    Name myVM2
    Strefa dostępności Strefa 2
    Sieciowa grupa zabezpieczeń Wybierz istniejący myNSG

Note

Platforma Azure udostępnia domyślny adres IP dostępu wychodzącego dla maszyn wirtualnych, które nie są przypisane do publicznego adresu IP lub znajdują się w puli zaplecza wewnętrznego podstawowego modułu równoważenia obciążenia platformy Azure. Domyślny mechanizm adresów IP dostępu wychodzącego zapewnia wychodzący adres IP, który nie jest konfigurowalny.

Domyślny adres IP dostępu wychodzącego jest wyłączony, gdy wystąpi jedno z następujących zdarzeń:

  • Publiczny adres IP jest przypisywany do maszyny wirtualnej.
  • Maszyna wirtualna (VM) jest umieszczana w puli zaplecza standardowego modułu równoważenia obciążenia, z regułami wychodzącymi lub bez nich.
  • Zasób usługi Azure NAT Gateway jest przypisywany do podsieci maszyny wirtualnej.

Maszyny wirtualne tworzone przy użyciu zestawów skalowania maszyn wirtualnych w trybie elastycznej aranżacji nie mają domyślnego dostępu wychodzącego.

Aby uzyskać więcej informacji na temat połączeń wychodzących na platformie Azure, zobacz Domyślny dostęp wychodzący na platformie Azure i Używanie źródłowego tłumaczenia adresów sieciowych (SNAT) dla połączeń wychodzących.

Instalacja usług IIS

  1. W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.

  2. Wybierz pozycję myVM1.

  3. Na stronie Przegląd wybierz pozycję Połącz, a następnie wybierz pozycję Bastion.

  4. Wprowadź nazwę użytkownika i hasło wprowadzone podczas tworzenia maszyny wirtualnej.

  5. Wybierz i podłącz.

  6. Na pulpicie serwera przejdź do >>

  7. W oknie programu PowerShell uruchom następujące polecenia, aby:

    • Instalowanie serwera usług IIS
    • Usuwanie domyślnego pliku iisstart.htm
    • Dodaj nowy plik iisstart.htm, który wyświetla nazwę maszyny wirtualnej:
     # Install IIS server role
 Install-WindowsFeature -name Web-Server -IncludeManagementTools

 # Remove default htm file
 Remove-Item  C:\inetpub\wwwroot\iisstart.htm

 # Add a new htm file that displays server name
 Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)

  8. Zamknij sesję usługi Bastion z maszyną wirtualną myVM1.

  9. Powtórz kroki od 1 do 8, aby zainstalować usługi IIS i zaktualizowany plik iisstart.htm na myVM2.

Testowanie modułu równoważenia obciążenia

  1. W polu wyszukiwania w górnej części strony wprowadź publiczny adres IP. Wybierz Adresy IP publiczne w wynikach wyszukiwania.

  2. W obszarze Publiczne adresy IP wybierz pozycję myPublicIP.

  3. Skopiuj element w polu Adres IP. Wklej publiczny adres IP na pasku adresu przeglądarki. W przeglądarce zostanie wyświetlona niestandardowa strona maszyny wirtualnej serwera sieci Web usług IIS.

    Zrzut ekranu przedstawiający test modułu równoważenia obciążenia.

Uprzątnij zasoby

Gdy grupa zasobów, moduł równoważenia obciążenia i wszystkie pokrewne zasoby nie będą już potrzebne, usuń je. W tym celu wybierz grupę zasobów TutorLoadBalancer-rg zawierającą zasoby, a następnie wybierz pozycję Usuń.

Dalsze kroki

Przejdź do następnego artykułu, aby dowiedzieć się, jak:

Tworzenie publicznego modułu równoważenia obciążenia przy użyciu zaplecza opartego na adresach IP

  • Last updated on