Samouczek: ochrona publicznego modułu równoważenia obciążenia za pomocą usługi Azure DDoS Protection
Usługa Azure DDoS Protection umożliwia rozszerzone możliwości ograniczania ryzyka ataków DDoS, takie jak adaptacyjne dostrajanie, powiadomienia o alertach ataku i monitorowanie w celu ochrony publicznych modułów równoważenia obciążenia przed atakami DDoS na dużą skalę.
Ważne
Usługa Azure DDoS Protection wiąże się z kosztami korzystania z jednostki SKU ochrony sieci. Opłaty za nadwyżki mają zastosowanie tylko wtedy, gdy w dzierżawie jest chronionych więcej niż 100 publicznych adresów IP. Upewnij się, że usuniesz zasoby w tym samouczku, jeśli nie używasz zasobów w przyszłości. Aby uzyskać informacje o cenach, zobacz Cennik usługi Azure DDoS Protection. Aby uzyskać więcej informacji na temat usługi Azure DDoS Protection, zobacz Co to jest usługa Azure DDoS Protection?.
Z tego samouczka dowiesz się, jak wykonywać następujące czynności:
- Utwórz plan usługi DDoS Protection.
- Utwórz sieć wirtualną z włączoną usługą DDoS Protection i Bastion.
- Utwórz publiczny moduł równoważenia obciążenia jednostki SKU w warstwie Standardowa z adresem IP frontonu, sondą kondycji, konfiguracją zaplecza i regułą równoważenia obciążenia.
- Utwórz bramę translatora adresów sieciowych dla wychodzącego dostępu do Internetu dla puli zaplecza.
- Utwórz maszynę wirtualną, a następnie zainstaluj i skonfiguruj usługi IIS na maszynach wirtualnych, aby zademonstrować reguły przekierowywania portów i równoważenia obciążenia.
Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
Wymagania wstępne
- Konto platformy Azure z aktywną subskrypcją.
Tworzenie planu ochrony przed atakami DDoS
Zaloguj się w witrynie Azure Portal.
W polu wyszukiwania w górnej części portalu wprowadź ochronę przed atakami DDoS. Wybierz plany ochrony przed atakami DDoS w wynikach wyszukiwania, a następnie wybierz pozycję + Utwórz.
Na karcie Podstawy na stronie Tworzenie planu ochrony przed atakami DDoS wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję platformy Azure. Resource group Wybierz pozycjęUtwórz nowy.
Wprowadź ciąg TutorLoadBalancer-rg.
Wybierz przycisk OK.Szczegóły wystąpienia Nazwisko Wprowadź wartość myDDoSProtectionPlan. Region (Region) Wybierz pozycję (STANY USA) Wschodnie stany USA. Wybierz pozycję Przejrzyj i utwórz , a następnie wybierz pozycję Utwórz , aby wdrożyć plan ochrony przed atakami DDoS.
Tworzenie sieci wirtualnej
W tej sekcji utworzysz sieć wirtualną, podsieć, hosta usługi Azure Bastion i skojarzysz plan usługi DDoS Protection. Sieć wirtualna i podsieć zawierają moduł równoważenia obciążenia i maszyny wirtualne. Host bastionu służy do bezpiecznego zarządzania maszynami wirtualnymi i instalowania usług IIS w celu przetestowania modułu równoważenia obciążenia. Plan usługi DDoS Protection będzie chronić wszystkie zasoby publicznych adresów IP w sieci wirtualnej.
Ważne
Ceny godzinowe zaczynają się od momentu wdrożenia usługi Bastion, niezależnie od użycia danych wychodzących. Aby uzyskać więcej informacji, zobacz Cennik i jednostki SKU. Jeśli wdrażasz usługę Bastion w ramach samouczka lub testu, zalecamy usunięcie tego zasobu po zakończeniu korzystania z niego.
W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne w wynikach wyszukiwania.
W obszarze Sieci wirtualne wybierz pozycję + Utwórz.
W obszarze Tworzenie sieci wirtualnej wprowadź lub wybierz następujące informacje na karcie Podstawy :
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję platformy Azure. Grupa zasobów Wybierz pozycję KorepetytorLoadBalancer-rg Szczegóły wystąpienia Nazwisko Wprowadź myVNet Region (Region) Wybierz pozycję Wschodnie stany USA. Wybierz kartę Adresy IP lub wybierz pozycję Dalej: adresy IP w dolnej części strony.
Na karcie Adresy IP wprowadź następujące informacje:
Ustawienie Wartość Przestrzeń adresowa IPv4 Wprowadź wartość 10.1.0.0/16 W obszarze Nazwa podsieci wybierz wyraz domyślny. Jeśli podsieć nie jest obecna, wybierz pozycję + Dodaj podsieć.
W obszarze Edytuj podsieć wprowadź następujące informacje:
Ustawienie Wartość Nazwa podsieci Wprowadź wartość myBackendSubnet Zakres adresów podsieci Wprowadź wartość 10.1.0.0/24 Wybierz pozycję Zapisz lub Dodaj.
Wybierz kartę Zabezpieczenia.
W obszarze BastionHost wybierz pozycję Włącz. Wprowadź następujące informacje:
Ustawienie Wartość Nazwa bastionu Wprowadź wartość myBastionHost Przestrzeń adresowa azureBastionSubnet Wprowadź wartość 10.1.1.0/26 Publiczny adres IP Wybierz pozycjęUtwórz nowy.
W polu Nazwa wprowadź wartość myBastionIP.
Wybierz przycisk OK.W obszarze Ochrona sieci przed atakami DDoS wybierz pozycję Włącz. Następnie z menu rozwijanego wybierz pozycję myDDoSProtectionPlan.
Wybierz kartę Przeglądanie + tworzenie lub wybierz przycisk Przejrzyj i utwórz .
Wybierz pozycję Utwórz.
Uwaga
Sieć wirtualna i podsieć są tworzone natychmiast. Tworzenie hosta usługi Bastion jest przesyłane jako zadanie i zostanie ukończone w ciągu 10 minut. Możesz przejść do następnych kroków podczas tworzenia hosta usługi Bastion.
Tworzenie modułu równoważenia obciążenia
W tej sekcji utworzysz strefowo nadmiarowy moduł równoważenia obciążenia, który równoważy obciążenie maszyn wirtualnych. Dzięki nadmiarowości stref w co najmniej jednej strefie dostępności może wystąpić błąd, a ścieżka do danych będzie działać tak długo, jak jedna strefa w regionie pozostanie w dobrej kondycji.
Podczas tworzenia modułu równoważenia obciążenia skonfigurujesz:
- Adres IP frontonu
- Pula zaplecza
- Reguły równoważenia obciążenia przychodzącego
- Sonda kondycji
W polu wyszukiwania w górnej części portalu wprowadź ciąg Moduł równoważenia obciążenia. Wybierz pozycję Moduły równoważenia obciążenia w wynikach wyszukiwania.
Na stronie Moduł równoważenia obciążenia wybierz pozycję + Utwórz.
Na karcie Podstawowe na stronie Tworzenie modułu równoważenia obciążenia wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz pozycję KorepetytorLoadBalancer-rg. Szczegóły wystąpienia Nazwisko Wprowadź wartość myLoadBalancer Region (Region) Wybierz pozycję Wschodnie stany USA. SKU Pozostaw wartość domyślną Standardowa. Typ Wybierz pozycję Publiczna. Warstwa Pozostaw wartość domyślną Regionalna. 
Wybierz pozycję Dalej: Konfiguracja adresu IP frontonu w dolnej części strony.
W obszarze Konfiguracja adresu IP frontonu wybierz pozycję + Dodaj konfigurację adresu IP frontonu.
Wprowadź wartość myFrontend w polu Nazwa.
Wybierz pozycję IPv4 dla wersji adresu IP.
Wybierz pozycję Adres IP dla typu adresu IP.
Uwaga
Aby uzyskać więcej informacji na temat prefiksów adresów IP, zobacz Prefiks publicznego adresu IP platformy Azure.
Wybierz pozycję Utwórz nowy w publicznym adresie IP.
W obszarze Dodaj publiczny adres IP wprowadź wartość myPublicIP w polu Nazwa.
W obszarze Strefa dostępności wybierz pozycję Strefowo nadmiarowa.
Uwaga
W regionach z Strefy dostępności możesz wybrać opcję bez strefy (opcja domyślna), określoną strefę lub strefowo nadmiarową. Wybór będzie zależeć od konkretnych wymagań dotyczących awarii domeny. W regionach bez Strefy dostępności to pole nie będzie wyświetlane.
Aby uzyskać więcej informacji na temat stref dostępności, zobacz Omówienie stref dostępności.Pozostaw wartość domyślną usługi Microsoft Network w obszarze Preferencja routingu.
Wybierz przycisk OK.
Wybierz Dodaj.
Wybierz pozycję Dalej: pule zaplecza w dolnej części strony.
Na karcie Pule zaplecza wybierz pozycję + Dodaj pulę zaplecza.
Wprowadź nazwę myBackendPool w polu Dodaj pulę zaplecza.
Wybierz pozycję myVNet w obszarze Sieć wirtualna.
Wybierz pozycję Adres IP w obszarze Konfiguracja puli zaplecza.
Wybierz pozycję Zapisz.
Wybierz pozycję Dalej: reguły ruchu przychodzącego w dolnej części strony.
W obszarze Reguła równoważenia obciążenia na karcie Reguły ruchu przychodzącego wybierz pozycję + Dodaj regułę równoważenia obciążenia.
W obszarze Dodawanie reguły równoważenia obciążenia wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Nazwisko Wprowadź myHTTPRule Wersja protokołu IP Wybierz pozycję IPv4 lub IPv6 w zależności od wymagań. Adres IP frontonu Wybierz pozycję myFrontend (Aby utworzyć). Pula zaplecza Wybierz pozycję myBackendPool. Protokół Wybierz pozycję TCP. Port Wprowadź wartość 80. Port zaplecza Wprowadź wartość 80. Sonda kondycji Wybierz pozycjęUtwórz nowy.
W polu Nazwa wprowadź wartość myHealthProbe.
Wybierz pozycję TCP w obszarze Protokół.
Pozostaw pozostałe wartości domyślne i wybierz przycisk OK.Trwałość sesji Wybierz pozycję Brak. Limit czasu bezczynności (w minutach) Wprowadź lub wybierz 15. Resetowanie protokołu TCP Wybierz pozycję Włączone. Pływający adres IP Wybierz opcję Wyłączone. Translacja wychodzących źródłowych adresów sieciowych (SNAT) Pozostaw wartość domyślną (zalecane) Użyj reguł ruchu wychodzącego , aby zapewnić członkom puli zaplecza dostęp do Internetu. Wybierz Dodaj.
Wybierz niebieski przycisk Przejrzyj i utwórz w dolnej części strony.
Wybierz pozycję Utwórz.
Uwaga
W tym przykładzie utworzymy bramę translatora adresów sieciowych w celu zapewnienia wychodzącego dostępu do Internetu. Karta Reguły ruchu wychodzącego w konfiguracji jest pomijana, ponieważ jest opcjonalna i nie jest wymagana w przypadku bramy translatora adresów sieciowych. Aby uzyskać więcej informacji na temat bramy translatora adresów sieciowych platformy Azure, zobacz Co to jest translator adresów sieciowych platformy Azure? Aby uzyskać więcej informacji na temat połączeń wychodzących na platformie Azure, zobacz Source Network Address Translation (SNAT) for outbound connections (Source Network Address Translation) for outbound connections (Translacja adresów sieciowych źródła (SNAT) dla połączeń wychodzących
Tworzenie bramy translatora adresów sieciowych
W tej sekcji utworzysz bramę translatora adresów sieciowych dla wychodzącego dostępu do Internetu dla zasobów w sieci wirtualnej. Aby zapoznać się z innymi opcjami reguł ruchu wychodzącego, zapoznaj się z tematem Translator adresów sieciowych (SNAT) dla połączeń wychodzących.
W polu wyszukiwania w górnej części portalu wprowadź bramę translatora adresów sieciowych. Wybierz pozycję Bramy translatora adresów sieciowych w wynikach wyszukiwania.
W obszarze Bramy translatora adresów sieciowych wybierz pozycję + Utwórz.
W obszarze Tworzenie bramy translatora adresów sieciowych wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz pozycję KorepetytorLoadBalancer-rg. Szczegóły wystąpienia Nazwa bramy translatora adresów sieciowych Wprowadź ciąg myNATgateway. Region (Region) Wybierz pozycję Wschodnie stany USA. Availability zone Wybierz pozycję Brak. Limit czasu bezczynności (w minutach) Wprowadź wartość 15. Wybierz kartę Wychodzący adres IP lub wybierz pozycję Dalej: wychodzący adres IP w dolnej części strony.
W obszarze Wychodzący adres IP wybierz pozycję Utwórz nowy publiczny adres IP obok pozycji Publiczne adresy IP.
Wprowadź wartość myNATgatewayIP w polu Nazwa.
Wybierz przycisk OK.
Wybierz kartę Podsieć lub wybierz przycisk Dalej: Podsieć w dolnej części strony.
Na karcie Sieć wirtualna na karcie Podsieć wybierz pozycję myVNet.
Wybierz pozycję myBackendSubnet w obszarze Nazwa podsieci.
Wybierz niebieski przycisk Przejrzyj i utwórz w dolnej części strony lub wybierz kartę Przeglądanie i tworzenie .
Wybierz pozycję Utwórz.
Tworzenie maszyn wirtualnych
W tej sekcji utworzysz dwie maszyny wirtualne (myVM1 i myVM2) w dwóch różnych strefach (Strefa 1 i Strefa 2).
Te maszyny wirtualne są dodawane do puli zaplecza modułu równoważenia obciążenia utworzonego wcześniej.
W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.
W obszarze Maszyny wirtualne wybierz pozycję + Utwórz>maszynę wirtualną platformy Azure.
W obszarze Tworzenie maszyny wirtualnej wprowadź lub wybierz następujące wartości na karcie Podstawy :
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję platformy Azure Grupa zasobów Wybierz pozycję KorepetytorLoadBalancer-rg Szczegóły wystąpienia Virtual machine name Wprowadź myVM1 Region (Region) Wybierz ((USA) Wschodnie stany USA) Opcje dostępności Wybieranie stref dostępności Availability zone Wybierz strefę 1 Typ zabezpieczeń Wybierz opcję Standardowa. Obraz Wybierz pozycję Windows Server 2022 Datacenter: Azure Edition — Gen2 Wystąpienie usługi Azure Spot Pozostaw wartość domyślną niezaznaczonego. Rozmiar Wybieranie rozmiaru maszyny wirtualnej lub ustawienie domyślne konto Administracja istrator Username Wprowadź nazwę użytkownika Hasło Wprowadź hasło Potwierdź hasło Ponowne wprowadź hasło Reguły portów przychodzących Publiczne porty ruchu przychodzącego Wybierz pozycję Brak Wybierz kartę Sieć lub wybierz pozycję Dalej: Dyski, a następnie pozycję Dalej: Sieć.
Na karcie Sieć wybierz lub wprowadź następujące informacje:
Ustawienie Wartość Interfejs sieciowy Sieć wirtualna Wybierz sieć myVNet Podsieć Wybierz pozycję myBackendSubnet Publiczny adres IP Wybierz pozycję Brak. Sieciowa grupa zabezpieczeń karty sieciowej Wybierz pozycję Zaawansowane Konfigurowanie sieciowej grupy zabezpieczeń Pomiń to ustawienie do czasu ukończenia pozostałych ustawień. Ukończ po wybraniu puli zaplecza. Usuwanie karty sieciowej po usunięciu maszyny wirtualnej Pozostaw wartość domyślną niezaznaczonego. Przyspieszona sieć Pozostaw wartość domyślną wybranej. Równoważenie obciążenia Opcje równoważenia obciążenia Opcje równoważenia obciążenia Wybieranie modułu równoważenia obciążenia platformy Azure Wybieranie modułu równoważenia obciążenia Wybierz pozycję myLoadBalancer Wybieranie puli zaplecza Wybierz pozycję myBackendPool Konfigurowanie sieciowej grupy zabezpieczeń Wybierz pozycjęUtwórz nowy.
W obszarze Tworzenie sieciowej grupy zabezpieczeń wprowadź nazwę myNSG.
W obszarze Reguły ruchu przychodzącego wybierz pozycję +Dodaj regułę ruchu przychodzącego.
W obszarze Usługa wybierz pozycję HTTP.
W obszarze Priorytet wprowadź wartość 100.
W polu Nazwa wprowadź myNSGRule
Wybierz pozycję Dodaj
wybierz przycisk OKWybierz pozycję Przejrzyj i utwórz.
Przejrzyj ustawienia, a następnie wybierz pozycję Utwórz.
Wykonaj kroki od 1 do 7, aby utworzyć inną maszynę wirtualną z następującymi wartościami i wszystkimi innymi ustawieniami tak samo jak myVM1:
Ustawienie MW 2 Nazwisko myVM2 Availability zone Strefa 2 Sieciowa grupa zabezpieczeń Wybierz istniejącą grupę myNSG
Uwaga
Platforma Azure udostępnia domyślny adres IP dostępu wychodzącego dla maszyn wirtualnych, które nie są przypisane do publicznego adresu IP lub znajdują się w puli zaplecza wewnętrznego podstawowego modułu równoważenia obciążenia platformy Azure. Domyślny mechanizm adresów IP dostępu wychodzącego zapewnia wychodzący adres IP, który nie jest konfigurowalny.
Domyślny adres IP dostępu wychodzącego jest wyłączony, gdy wystąpi jedno z następujących zdarzeń:
- Publiczny adres IP jest przypisywany do maszyny wirtualnej.
- Maszyna wirtualna jest umieszczana w puli zaplecza standardowego modułu równoważenia obciążenia z regułami ruchu wychodzącego lub bez tych reguł.
- Zasób usługi Azure NAT Gateway jest przypisywany do podsieci maszyny wirtualnej.
Maszyny wirtualne tworzone przy użyciu zestawów skalowania maszyn wirtualnych w trybie elastycznej aranżacji nie mają domyślnego dostępu wychodzącego.
Aby uzyskać więcej informacji na temat połączeń wychodzących na platformie Azure, zobacz Domyślny dostęp wychodzący na platformie Azure i Używanie źródłowego tłumaczenia adresów sieciowych (SNAT) dla połączeń wychodzących.
Instalacja usług IIS
W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.
Wybierz pozycję myVM1.
Na stronie Przegląd wybierz pozycję Połącz, a następnie wybierz pozycję Bastion.
Wprowadź nazwę użytkownika i hasło wprowadzone podczas tworzenia maszyny wirtualnej.
Wybierz pozycję Połącz.
Na pulpicie serwera przejdź do pozycji Uruchom program>Windows PowerShell windows PowerShell.>
W oknie programu PowerShell uruchom następujące polecenia, aby:
- Instalowanie serwera usług IIS
- Usuwanie domyślnego pliku iisstart.htm
- Dodaj nowy plik iisstart.htm, który wyświetla nazwę maszyny wirtualnej:
# Install IIS server role Install-WindowsFeature -name Web-Server -IncludeManagementTools # Remove default htm file Remove-Item C:\inetpub\wwwroot\iisstart.htm # Add a new htm file that displays server name Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)Zamknij sesję usługi Bastion z maszyną wirtualną myVM1.
Powtórz kroki od 1 do 8, aby zainstalować usługi IIS i zaktualizowany plik iisstart.htm na maszynie wirtualnej myVM2.
Testowanie modułu równoważenia obciążenia
W polu wyszukiwania w górnej części strony wprowadź publiczny adres IP. Wybierz pozycję Publiczne adresy IP w wynikach wyszukiwania.
W obszarze Publiczne adresy IP wybierz pozycję myPublicIP.
Skopiuj element w polu Adres IP. Wklej publiczny adres IP na pasku adresu przeglądarki. W przeglądarce zostanie wyświetlona niestandardowa strona maszyny wirtualnej serwera sieci Web usług IIS.
Czyszczenie zasobów
Gdy grupa zasobów, moduł równoważenia obciążenia i wszystkie pokrewne zasoby nie będą już potrzebne, usuń je. W tym celu wybierz grupę zasobów TutorLoadBalancer-rg zawierającą zasoby, a następnie wybierz pozycję Usuń.
Następne kroki
Przejdź do następnego artykułu, aby dowiedzieć się, jak: