Schnellstart: Erstellen und Konfigurieren von Azure DDoS Protection für Netzwerke über das Azure-Portal

  • Artikel

Öffnen Sie das Azure-Portal, um mit der Verwendung von Azure DDoS Protection für Netzwerke zu beginnen.

Ein DDoS-Schutzplan definiert abonnementübergreifend eine Reihe virtueller Netzwerke, für die der DDoS-Netzwerkschutz aktiviert ist. Sie können einen DDoS-Schutzplan für Ihre Organisation konfigurieren und virtuelle Netzwerke für mehrere Abonnements in einem einzelnen Microsoft Entra-Mandanten mit demselben Plan verknüpfen.

In diesem Schnellstart erstellen Sie einen DDoS-Schutzplan und verknüpfen ihn mit einem virtuellen Netzwerk.

Diagramm des DDoS-Netzwerkschutzes.

Voraussetzungen

Erstellen eines DDoS-Schutzplans

  1. Klicken Sie im Azure-Portal oben links auf Ressource erstellen.

  2. Suchen Sie nach dem Begriff DDoS. Wenn der DDoS-Schutzplan in den Suchergebnissen angezeigt wird, wählen Sie diesen aus.

  3. Klicken Sie auf Erstellen.

  4. Geben Sie folgende Werte ein bzw. wählen Sie sie aus:

    Einstellung Wert
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie Neue erstellen aus, und geben Sie MyResourceGroup ein.
    Name Geben Sie MyDdosProtectionPlan ein.
    Region Geben Sie USA, Osten ein.

  5. Wählen Sie Überprüfen + erstellen und danach Erstellen aus.

Hinweis

Obwohl Azure DDoS Protection-Planressourcen einer Region zugeordnet werden müssen, können Benutzer den DDoS-Schutz in virtuellen Netzwerken in verschiedenen Regionen und über mehrere Abonnements auf einem einzelnen Microsoft Entra-Mandanten hinweg aktivieren.

Aktivieren des DDoS-Schutzes für ein virtuelles Netzwerk

Aktivieren für ein neues virtuelles Netzwerk

  1. Klicken Sie im Azure-Portal oben links auf Ressource erstellen.

  2. Wählen Sie Netzwerk und anschließend Virtuelles Netzwerk aus.

  3. Geben Sie die folgenden Werte ein oder wählen Sie sie aus und wählen Sie dann Weiter.

    Einstellung Wert
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie Vorhandene verwenden und dann MyResourceGroup aus.
    Name Geben Sie MyVnet ein.
    Region Geben Sie USA, Osten ein.

  4. Wählen Sie im Bereich Sicherheit die Option Aktivieren im Azure DDoS Network Protection-Funkgerät aus.

  5. Wählen Sie MyDdosProtectionPlan im DDoS-Schutzplanbereich aus. Der von Ihnen ausgewählte Plan kann sich im selben oder in einem anderen Abonnement als das virtuelle Netzwerk befinden. Beide Abonnements müssen jedoch dem gleichen Microsoft Entra-Mandanten zugeordnet sein.

  6. Wählen Sie Weiter aus. Wählen Sie im Bereich IP-Adresse die Option IPv4-Adressraum hinzufügen aus, und geben Sie die folgenden Werte ein. Wählen Sie anschließend Hinzufügen.

    Einstellung Wert
    IPv4-Adressraum Geben Sie 10.1.0.0/16 ein.
    Subnetzname Wählen Sie unter Subnetzname den Link Subnetz hinzufügen aus und geben Sie mySubnet ein.
    Subnetzadressbereich Geben Sie 10.1.0.0/24 ein.

  7. Wählen Sie Überprüfen + erstellen und danach Erstellen aus.

    Gif der Erstellung eines virtuellen Netzwerks mit Azure DDoS Protection.

Hinweis

Sie können ein virtuelles Netzwerk nicht in eine andere Ressourcengruppe oder ein Abonnement verschieben, wenn DDoS Protection für das virtuelle Netzwerk aktiviert ist. Wenn Sie ein virtuelles Netzwerk mit aktivierter DDos Protection verschieben müssen, deaktivieren Sie zuerst DDoS Protection, verschieben Sie das virtuelle Netzwerk und aktivieren Sie dann DDoS Protection wieder. Nach der Verschiebung werden die automatisch optimierten Schwellenwerte der Richtlinie für alle geschützten, öffentlichen IP-Adressen im virtuellen Netzwerk zurückgesetzt.

Aktivieren für ein vorhandenes virtuelles Netzwerk

  1. Erstellen Sie anhand der Schritte unter Erstellen eines DDoS-Schutzplans einen DDoS-Schutzplan, sofern noch kein DDoS-Schutzplan vorhanden ist.

  2. Geben Sie oben im Azure-Portal im Feld Ressourcen, Dienste und Dokumente durchsuchen den Namen des virtuellen Netzwerks ein, für das der DDoS-Netzwerkschutz aktiviert werden soll. Wenn der Name des virtuellen Netzwerks in den Suchergebnissen angezeigt wird, wählen Sie ihn aus.

  3. Wählen Sie unter Einstellungen die Option DDoS-Schutz aus.

  4. Wählen Sie Aktivieren aus. Klicken Sie unter DDoS-Schutzplan auf einen vorhandenen DDoS-Schutzplan oder den Plan, den Sie in Schritt 1 erstellt haben, und wählen Sie dann Speichern aus. Der von Ihnen ausgewählte Plan kann sich im selben oder in einem anderen Abonnement als das virtuelle Netzwerk befinden. Beide Abonnements müssen jedoch dem gleichen Microsoft Entra-Mandanten zugeordnet sein.

    Gif der Aktivierung des DDoS-Schutzes für ein virtuelles Netzwerk.

Hinzufügen virtueller Netzwerke zu einem vorhandenen DDoS-Schutzplan

Sie können den DDoS-Schutzplan für ein vorhandenes virtuelles Netzwerk auch aus dem Azure DDoS Protection-Plan statt aus dem virtuellen Netzwerk aktivieren.

  1. Suchen Sie im Feld Ressourcen, Dienste und Dokumente oben im Azure-Portal nach „DDoS-Schutzpläne“. Wenn DDoS-Schutzpläne in den Suchergebnissen angezeigt wird, wählen Sie diese Option aus.

  2. Wählen Sie den gewünschten DDoS-Schutzplan aus, den Sie für Ihr virtuelles Netzwerk aktivieren möchten.

  3. Wählen Sie Geschützte Ressourcen unter Einstellungen aus.

  4. Wählen Sie +Hinzufügen aus, und wählen Sie das richtige Abonnement, die gewünschte Ressourcengruppe und den Namen des virtuellen Netzwerks aus. Wählen Sie erneut Hinzufügen aus.

    Gif des Hinzufügens eines virtuellen Netzwerks mit Azure DDoS Protection.

Konfigurieren eines Plans für Azure DDoS Protection mithilfe von Azure Firewall Manager (Vorschau)

Azure Firewall Manager ist eine Plattform zum bedarfsorientierten Verwalten und Schützen Ihrer Netzwerkressourcen. Sie können Ihren virtuellen Netzwerken einen DDoS-Schutzplan in Azure Firewall Manager zuordnen. Diese Funktionalität befindet sich derzeit in der Public Preview. Weitere Informationen finden Sie unter Konfigurieren eines Plans für Azure DDoS Protection mithilfe von Azure Firewall Manager (Vorschau).

Screenshot des virtuellen Netzwerks mit DDoS-Schutzplan

Aktivieren des DDoS-Schutzes für alle virtuellen Netzwerke

Diese integrierte Richtlinie erkennt alle virtuellen Netzwerke in einem definierten Bereich, für die der DDoS-Netzwerkschutz nicht aktiviert ist. Diese Richtlinie erstellt dann optional einen Wartungstask, die die Zuordnung zum Schutz des virtuellen Netzwerks herstellt. Eine vollständige Liste der integrierten Richtlinien finden Sie unter Integrierte Azure Policy-Definitionen für Azure DDoS Protection für Netzwerke.

Überprüfen und Testen

Überprüfen Sie zunächst die Details Ihres DDoS-Schutzplans:

  1. Wählen Sie oben im Portal auf der linken Seite Alle Dienste aus.
  2. Geben Sie DDoS in das Feld Filter ein. Wenn DDoS-Schutzplan in den Ergebnissen angezeigt wird, wählen Sie diesen aus.
  3. Wählen Sie den DDoS-Schutzplan in der Liste aus.

Das virtuelle Netzwerk MyVnet sollte aufgeführt werden.

Anzeigen geschützter Ressourcen

Unter Geschützte Ressourcen können Sie geschützte virtuelle Netzwerke und öffentliche IP-Adressen anzeigen oder dem DDoS-Schutzplan weitere virtuelle Netzwerke hinzufügen:

Screenshot: Geschützte Ressourcen

Deaktivieren für ein neues virtuelles Netzwerk:

Sie können den DDoS-Schutz aus einem virtuellen Netzwerk deaktivieren, während er in anderen virtuellen Netzwerken weiterhin aktiviert ist. Führen Sie die folgenden Schritte aus, um den DDoS-Schutz für ein virtuelles Netzwerk zu deaktivieren.

  1. Geben Sie oben im Portal im Feld Ressourcen, Dienste und Dokumente durchsuchen den Namen des virtuellen Netzwerks ein, für das der DDoS-Netzwerkschutz deaktiviert werden soll. Wenn der Name des virtuellen Netzwerks in den Suchergebnissen angezeigt wird, wählen Sie ihn aus.

  2. Wählen Sie unter DDoS-Netzwerkschutz die Option Deaktivieren aus.

    Gif der Deaktivierung des DDoS-Schutzes innerhalb eines virtuellen Netzwerks.

Hinweis

Durch das Deaktivieren wird der DDoS-Schutz eines virtuellen Netzwerks nicht gelöscht. Die Kosten für den DDoS-Schutz werden weiterhin in Rechnung gestellt, wenn Sie den DDoS-Schutz nur von einem virtuellen Netzwerk deaktivieren, ohne den DDoS-Schutzplan selbst zu löschen. Um unnötige Kosten zu vermeiden, müssen Sie die Ressource für den DDoS-Schutzplan vollständig löschen. Weitere Informationen finden Sie unter Bereinigen von Ressourcen.

Bereinigen von Ressourcen

Sie können Ihre Ressourcen für das nächste Tutorial beibehalten. Löschen Sie die Ressourcengruppe MyResourceGroup, wenn Sie sie nicht mehr benötigen. Wenn Sie die Ressourcengruppe löschen, werden auch der DDoS-Schutzplan und alle zugehörigen Ressourcen gelöscht. Wenn Sie diesen DDoS-Schutzplan nicht weiter verwenden möchten, sollten Sie Ressourcen entfernen, um unnötige Gebühren zu vermeiden.

Warnung

Diese Aktion kann nicht rückgängig gemacht werden.

  1. Suchen Sie im Azure-Portal nach Ressourcengruppen, und wählen Sie den Eintrag aus, oder wählen Sie im Menü des Azure-Portals die Option Ressourcengruppen aus.

  2. Suchen Sie die Ressourcengruppe MyResourceGroup, indem Sie einen Filter verwenden oder nach unten scrollen.

  3. Wählen Sie die Ressourcengruppe und dann Ressourcengruppe löschen aus.

  4. Geben Sie zur Bestätigung den Ressourcengruppennamen ein, und wählen Sie dann Löschen aus.

Hinweis

Wenn Sie einen DDoS-Schutzplan löschen möchten, müssen Sie zuerst die Zuordnung aller virtuellen Netzwerke für diesen Plan aufheben.

Nächste Schritte

Fahren Sie mit den Tutorials fort, um zu erfahren, wie Sie Metrikwarnungen über Azure Monitor konfigurieren.

Konfigurieren von Azure DDoS Protection-Metrikwarnungen über das Portal