Краткое руководство. Создание и настройка защиты сети от атак DDoS Azure с помощью шаблона ARM
В этом кратком руководстве описывается, как с помощью шаблона Azure Resource Manager (шаблона ARM) создать план Защиты от атак DDoS и виртуальную сеть, а затем применить его к этой виртуальной сети. План защиты сети DDoS Azure определяет набор виртуальных сетей с поддержкой защиты от атак DDoS в подписках. Вы можете настроить один план защиты от атак DDoS для своей организации и привязать к нему виртуальные сети из нескольких подписок.
Шаблон Azure Resource Manager — это файл нотации объектов JavaScript (JSON), который определяет инфраструктуру и конфигурацию проекта. В шаблоне используется декларативный синтаксис. Вы описываете предполагаемое развертывание без написания последовательности команд программирования для создания развертывания.
Если среда соответствует предварительным требованиям и вы знакомы с использованием шаблонов ARM, нажмите кнопку Развертывание в Azure. Шаблон откроется на портале Azure.
Необходимые компоненты
Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.
Изучение шаблона
Шаблон, используемый в этом кратком руководстве, взят из шаблонов быстрого запуска Azure.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"metadata": {
"_generator": {
"name": "bicep",
"version": "0.5.6.12127",
"templateHash": "14909118711877377105"
}
},
"parameters": {
"ddosProtectionPlanName": {
"type": "string",
"metadata": {
"description": "Specify a DDoS protection plan name."
}
},
"virtualNetworkName": {
"type": "string",
"metadata": {
"description": "Specify a DDoS virtual network name."
}
},
"location": {
"type": "string",
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "Specify a location for the resources."
}
},
"vnetAddressPrefix": {
"type": "string",
"defaultValue": "172.17.0.0/16",
"metadata": {
"description": "Specify the virtual network address prefix"
}
},
"subnetPrefix": {
"type": "string",
"defaultValue": "172.17.0.0/24",
"metadata": {
"description": "Specify the virtual network subnet prefix"
}
},
"ddosProtectionPlanEnabled": {
"type": "bool",
"defaultValue": true,
"metadata": {
"description": "Enable DDoS protection plan."
}
}
},
"resources": [
{
"type": "Microsoft.Network/ddosProtectionPlans",
"apiVersion": "2021-05-01",
"name": "[parameters('ddosProtectionPlanName')]",
"location": "[parameters('location')]"
},
{
"type": "Microsoft.Network/virtualNetworks",
"apiVersion": "2021-05-01",
"name": "[parameters('virtualNetworkName')]",
"location": "[parameters('location')]",
"properties": {
"addressSpace": {
"addressPrefixes": [
"[parameters('vnetAddressPrefix')]"
]
},
"subnets": [
{
"name": "default",
"properties": {
"addressPrefix": "[parameters('subnetPrefix')]"
}
}
],
"enableDdosProtection": "[parameters('ddosProtectionPlanEnabled')]",
"ddosProtectionPlan": {
"id": "[resourceId('Microsoft.Network/ddosProtectionPlans', parameters('ddosProtectionPlanName'))]"
}
},
"dependsOn": [
"[resourceId('Microsoft.Network/ddosProtectionPlans', parameters('ddosProtectionPlanName'))]"
]
}
]
}
Шаблон определяет два ресурса:
Развертывание шаблона
Шаблон в этом примере создает новую группу ресурсов, план защиты от атак DDoS и виртуальную сеть.
Чтобы войти в Azure и открыть шаблон, нажмите кнопку Развертывание в Azure.
Введите значения для создания новой группы ресурсов, плана защиты от атак DDoS и виртуальной сети.
- Подписка: имя подписки Azure, в которой будут развернуты ресурсы.
- Группа ресурсов: выберите существующую группу ресурсов или создайте новую группу ресурсов.
- Регион: регион, в котором развернута группа ресурсов, например восточная часть США.
- Имя плана защиты от атак Ddos: имя нового плана защиты от атак DDoS.
- виртуальная сеть имя. Создает имя для новой виртуальной сети.
- Расположение: функция, использующая тот же регион, что и группа ресурсов для развертывания ресурсов.
- Префикс адреса виртуальной сети: используйте значение по умолчанию или введите адрес виртуальной сети.
- Префикс подсети: используйте значение по умолчанию или введите подсеть виртуальной сети.
- План защиты от атак Ddos включен: по умолчанию используется
trueплан защиты от атак DDoS.
Выберите Review + create (Просмотреть и создать).
Убедитесь, что проверка шаблона успешно пройдена, и щелкните Создать, чтобы начать развертывание.
Просмотр развернутых ресурсов
Чтобы скопировать команду Azure CLI или Azure PowerShell, щелкните кнопку Копировать. Кнопка Попробовать открывает окно Azure Cloud Shell, где можно выполнить эту команду.
az network ddos-protection show \
--resource-group MyResourceGroup \
--name MyDdosProtectionPlan
В выходных данных отобразятся новые ресурсы.
{
"etag": "W/\"abcdefgh-1111-2222-bbbb-987654321098\"",
"id": "/subscriptions/b1111111-2222-3333-aaaa-012345678912/resourceGroups/MyResourceGroup/providers/Microsoft.Network/ddosProtectionPlans/MyDdosProtectionPlan",
"location": "eastus",
"name": "MyDdosProtectionPlan",
"provisioningState": "Succeeded",
"resourceGroup": "MyResourceGroup",
"resourceGuid": null,
"tags": null,
"type": "Microsoft.Network/ddosProtectionPlans",
"virtualNetworks": [
{
"id": "/subscriptions/b1111111-2222-3333-aaaa-012345678912/resourceGroups/MyResourceGroup/providers/Microsoft.Network/virtualNetworks/MyVNet",
"resourceGroup": "MyResourceGroup"
}
]
}
Очистка ресурсов
Когда все будет готово, ресурсы можно удалить. Эта команда удаляет группу ресурсов и все содержащиеся в ней ресурсы.
az group delete --name MyResourceGroup
Следующие шаги
Чтобы узнать, как просмотреть и настроить данные телеметрии для плана защиты от атак DDoS, перейдите к следующим руководствам.