Dela via

Självstudie: Skydda din offentliga lastbalanserare med Azure DDoS Protection

  • Artikel

Azure DDoS Protection möjliggör förbättrade DDoS-minskningsfunktioner, till exempel anpassningsbar justering, aviseringar om angrepp och övervakning för att skydda dina offentliga lastbalanserare från storskaliga DDoS-attacker.

Viktigt!

Azure DDoS Protection medför en kostnad när du använder nätverksskydds-SKU:n. Avgifter för överförbrukning gäller endast om fler än 100 offentliga IP-adresser skyddas i klientorganisationen. Se till att du tar bort resurserna i den här självstudien om du inte använder resurserna i framtiden. Information om priser finns i Prissättning för Azure DDoS Protection. Mer information om Azure DDoS-skydd finns i Vad är Azure DDoS Protection?.

I den här självstudien lär du dig att:

  • Skapa en DDoS Protection-plan.
  • Skapa ett virtuellt nätverk med DDoS Protection och Bastion-tjänsten aktiverad.
  • Skapa en offentlig SKU-standardlastbalanserare med klientdels-IP, hälsoavsökning, serverdelskonfiguration och belastningsutjämningsregel.
  • Skapa en NAT-gateway för utgående Internetåtkomst för serverdelspoolen.
  • Skapa en virtuell dator och installera och konfigurera sedan IIS på de virtuella datorerna för att demonstrera reglerna för portvidarebefordring och belastningsutjämning.

Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.

Förutsättningar

  • Ett Azure-konto med en aktiv prenumeration.

Skapa en DDoS-skyddsplan

  1. Logga in på Azure-portalen.

  2. I sökrutan överst i portalen anger du DDoS-skydd. Välj DDoS-skyddsplaner i sökresultaten och välj sedan + Skapa.

  3. På fliken Grundinställningarsidan Skapa en DDoS-skyddsplan anger eller väljer du följande information:

    Skärmbild av hur du skapar en DDoS-skyddsplan.

    Inställning Värde
    Projektinformation
    Prenumeration Välj din Azure-prenumerationen.
    Resursgrupp Välj Skapa ny.
    Ange TutorLoadBalancer-rg.
    Välj OK.
    Instansinformation
    Name Ange myDDoSProtectionPlan.
    Region Välj (USA) USA, östra.

  4. Välj Granska + skapa och välj sedan Skapa för att distribuera DDoS-skyddsplanen.

Skapa det virtuella nätverket

I det här avsnittet skapar du ett virtuellt nätverk, undernät, Azure Bastion-värd och associerar DDoS Protection-planen. Det virtuella nätverket och undernätet innehåller lastbalanseraren och de virtuella datorerna. Bastion-värden används för att hantera de virtuella datorerna på ett säkert sätt och installera IIS för att testa lastbalanseraren. DDoS Protection-planen skyddar alla offentliga IP-resurser i det virtuella nätverket.

Viktigt!

Priserna per timme börjar från det ögonblick då Bastion distribueras, oavsett utgående dataanvändning. Mer information finns i Priser och SKU:er. Om du distribuerar Bastion som en del av en självstudie eller ett test rekommenderar vi att du tar bort den här resursen när du har använt den.

  1. I sökrutan överst i portalen anger du Virtuellt nätverk. Välj Virtuella nätverk i sökresultaten.

  2. I Virtuella nätverk väljer du + Skapa.

  3. I Skapa virtuellt nätverk anger eller väljer du följande information på fliken Grundläggande :

    Inställning Värde
    Projektinformation
    Prenumeration Välj din Azure-prenumerationen.
    Resursgrupp Välj TutorLoadBalancer-rg
    Instansinformation
    Name Ange myVNet
    Region Välj USA, östra

  4. Välj fliken IP-adresser eller välj Nästa: IP-adresser längst ned på sidan.

  5. På fliken IP-adresser anger du följande information:

    Inställning Värde
    IPv4-adressutrymme Ange 10.1.0.0/16

  6. Under Undernätsnamn väljer du ordet standard. Om det inte finns något undernät väljer du + Lägg till undernät.

  7. I Redigera undernät anger du den här informationen:

    Inställning Värde
    Namn på undernät Ange myBackendSubnet
    Adressintervall för undernätet Ange 10.1.0.0/24

  8. Välj Spara eller Lägg till.

  9. Välj fliken Säkerhet.

  10. Under BastionHost väljer du Aktivera. Ange den här informationen:

    Inställning Värde
    Bastion-namn Ange myBastionHost
    AzureBastionSubnet-adressutrymme Ange 10.1.1.0/26
    Offentlig IP-adress Välj Skapa ny.
    Som Namn anger du myBastionIP.
    Välj OK.

  11. Under DDoS Network Protection väljer du Aktivera. Välj sedan myDDoSProtectionPlan i den nedrullningsbara menyn.

    Skärmbild av aktivering av DDoS när det virtuella nätverket skapas.

  12. Välj fliken Granska + skapa eller välj knappen Granska + skapa .

  13. Välj Skapa.

    Kommentar

    Det virtuella nätverket och undernätet skapas omedelbart. Skapandet av Bastion-värden skickas som ett jobb och slutförs inom 10 minuter. Du kan gå vidare till nästa steg medan Bastion-värden skapas.

Skapa en lastbalanserare

I det här avsnittet skapar du en zonredundant lastbalanserare som lastbalanserar virtuella datorer. Med zonredundans kan en eller flera tillgänglighetszoner misslyckas och datasökvägen överleva så länge en zon i regionen har god status.

När du skapar lastbalanseraren konfigurerar du:

  • Klientdelens IP-adress
  • Serverdelspool
  • Regler för inkommande belastningsutjämning
  • Hälsoavsökning

  1. I sökrutan överst i portalen anger du Lastbalanserare. Välj Lastbalanserare i sökresultatet.

  2. På sidan Lastbalanserare väljer du + Skapa.

  3. På fliken Grundinställningarsidan Skapa lastbalanserare anger eller väljer du följande information:

    Inställning Värde
    Projektinformation
    Prenumeration Välj din prenumeration.
    Resursgrupp Välj TutorLoadBalancer-rg.
    Instansinformation
    Name Ange myLoadBalancer
    Region Välj USA, östra.
    SKU Lämna kvar standardinställningen Standard.
    Typ Välj Offentlig.
    Nivå Lämna standardvärdet Regional.

    Skärmbild av fliken Skapa grundläggande standardlastbalanserare.

  4. Välj Nästa: Ip-konfiguration för klientdelen längst ned på sidan.

  5. I IP-konfigurationen för klientdelen väljer du + Lägg till en IP-konfiguration för klientdelen.

  6. Ange myFrontend i Namn.

  7. Välj IPv4 för IP-versionen.

  8. Välj IP-adress för IP-typen.

    Kommentar

    Mer information om IP-prefix finns i Azures offentliga IP-adressprefix.

  9. Välj Skapa ny i offentlig IP-adress.

  10. I Lägg till en offentlig IP-adress anger du myPublicIP som Namn.

  11. Välj Zonredundant i tillgänglighetszonen.

    Kommentar

    I regioner med Tillgänglighetszoner kan du välja no-zone (standardalternativ), en specifik zon eller zonredundant. Valet beror på dina specifika krav på domänfel. I regioner utan Tillgänglighetszoner visas inte det här fältet.
    Mer information om tillgänglighetszoner finns i Översikt över tillgänglighetszoner.

  12. Låt standardinställningen för Microsoft Network för routning vara kvar.

  13. Välj OK.

  14. Markera Lägga till.

  15. Välj Nästa: Serverdelspooler längst ned på sidan.

  16. På fliken Serverdelspooler väljer du + Lägg till en serverdelspool.

  17. Ange myBackendPool som Namn i Lägg till serverdelspool.

  18. Välj myVNet i Virtuellt nätverk.

  19. Välj IP-adress för konfiguration av serverdelspool.

  20. Välj Spara.

  21. Välj Nästa: Regler för inkommande trafik längst ned på sidan.

  22. Under Belastningsutjämningsregelfliken Inkommande regler väljer du + Lägg till en belastningsutjämningsregel.

  23. I Lägg till belastningsutjämningsregel anger eller väljer du följande information:

    Inställning Värde
    Name Ange myHTTPRule
    IP-version Välj IPv4 eller IPv6 beroende på dina krav.
    Klientdelens IP-adress Välj myFrontend (som ska skapas).
    Serverdelspool Välj myBackendPool.
    Protokoll Välj TCP.
    Port Ange 80.
    Serverdelsport Ange 80.
    Hälsoavsökning Välj Skapa ny.
    I Namn anger du myHealthProbe.
    Välj TCP i Protokoll.
    Lämna resten av standardvärdena och välj OK.
    Sessionspersistens Välj Ingen.
    Timeout för inaktivitet (minuter) Ange eller välj 15.
    TCP-återställning Välj Aktiverad.
    Flytande IP Välj Inaktiverad.
    Utgående källnätverksadressöversättning (SNAT) Låt standardvärdet (rekommenderas) Använd utgående regler för att ge medlemmar i serverdelspoolen åtkomst till Internet.

  24. Markera Lägga till.

  25. Välj den blå knappen Granska + skapa längst ned på sidan.

  26. Välj Skapa.

    Kommentar

    I det här exemplet skapar vi en NAT-gateway för att tillhandahålla utgående Internetåtkomst. Fliken regler för utgående trafik i konfigurationen kringgås eftersom den är valfri och behövs inte med NAT-gatewayen. Mer information om Azure NAT-gateway finns i Vad är Azure Virtual Network NAT? Mer information om utgående anslutningar i Azure finns i Källnätverksadressöversättning (SNAT) för utgående anslutningar

Skapa NAT-gateway

I det här avsnittet skapar du en NAT-gateway för utgående Internetåtkomst för resurser i det virtuella nätverket. Andra alternativ för utgående regler finns i SNAT (Network Address Translation) för utgående anslutningar.

  1. I sökrutan överst i portalen anger du NAT-gateway. Välj NAT-gatewayer i sökresultaten.

  2. I NAT-gatewayer väljer du + Skapa.

  3. I Skapa nat-gateway (network address translation) anger eller väljer du följande information:

    Inställning Värde
    Projektinformation
    Prenumeration Välj din prenumeration.
    Resursgrupp Välj TutorLoadBalancer-rg.
    Instansinformation
    NAT-gatewayens namn Ange myNATgateway.
    Region Välj USA, östra.
    Availability zone Välj Ingen.
    Timeout för inaktivitet (minuter) Ange 15.

  4. Välj fliken Utgående IP-adress eller välj Nästa: Utgående IP-adress längst ned på sidan.

  5. I Utgående IP väljer du Skapa en ny offentlig IP-adress bredvid offentliga IP-adresser.

  6. Ange myNATgatewayIP i Namn.

  7. Välj OK.

  8. Välj fliken Undernät eller välj knappen Nästa: Undernät längst ned på sidan.

  9. I Virtuellt nätverkfliken Undernät väljer du myVNet.

  10. Välj myBackendSubnet under Undernätsnamn.

  11. Välj den blå knappen Granska + skapa längst ned på sidan eller välj fliken Granska + skapa .

  12. Välj Skapa.

Skapa virtuella datorer

I det här avsnittet skapar du två virtuella datorer (myVM1 och myVM2) i två olika zoner (zon 1 och zon 2).

Dessa virtuella datorer läggs till i serverdelspoolen för lastbalanseraren som skapades tidigare.

  1. I sökrutan överst i portalen anger du Virtuell dator. Välj Virtuella datorer i sökresultaten.

  2. I Virtuella datorer väljer du + Skapa>en virtuell Azure-dator.

  3. I Skapa en virtuell dator anger eller väljer du följande värden på fliken Grundläggande :

    Inställning Värde
    Projektinformation
    Prenumeration Välj din Azure-prenumeration
    Resursgrupp Välj TutorLoadBalancer-rg
    Instansinformation
    Virtual machine name Ange myVM1
    Region Välj ((USA) USA, östra)
    Tillgänglighetsalternativ Välj tillgänglighetszoner
    Availability zone Välj Zon 1
    Säkerhetstyp Välj Standard.
    Bild Välj Windows Server 2022 Datacenter: Azure Edition – Gen2
    Azure Spot-instans Låt standardvärdet vara avmarkerat.
    Storlek Välj VM-storlek eller ta standardinställningen
    Administratörskonto
    Username Ange ett användarnamn
    Lösenord Ange ett lösenord
    Bekräfta lösenord Ange lösenord igen
    Regler för inkommande portar
    Offentliga inkommande portar Välj Ingen

  4. Välj fliken Nätverk eller Nästa: diskar och sedan Nästa: nätverk.

  5. På fliken Nätverk väljer eller anger du följande information:

    Inställning Värde
    Nätverksgränssnitt
    Virtuellt nätverk Välj myVNet
    Undernät Välj myBackendSubnet
    Offentlig IP-adress Välj Ingen.
    Nätverkssäkerhetsgrupp för nätverkskort Välj Avancerat
    Konfigurera nätverkssäkerhetsgrupp Hoppa över den här inställningen tills resten av inställningarna har slutförts. Slutför efter Välj en serverdelspool.
    Ta bort nätverkskort när den virtuella datorn tas bort Låt standardvärdet vara avmarkerat.
    Accelererat nätverk Låt standardvärdet vara markerat.
    Belastningsutjämning
    Alternativ för belastningsutjämning
    Alternativ för belastningsutjämning Välj Azure-lastbalanserare
    Välj en lastbalanserare Välj myLoadBalancer
    Välj en serverdelspool Välj myBackendPool
    Konfigurera nätverkssäkerhetsgrupp Välj Skapa ny.
    I gruppen Skapa nätverkssäkerhet anger du myNSG i Namn.
    Under Regler för inkommande trafik väljer du +Lägg till en inkommande regel.
    Under Tjänst väljer du HTTP.
    Under Prioritet anger du 100.
    I Namn anger du myNSGRule
    Välj Lägg till
    välj OK

  6. Välj Granska + skapa.

  7. Granska inställningarna och välj sedan Skapa.

  8. Följ stegen 1 till 7 för att skapa en annan virtuell dator med följande värden och alla andra inställningar på samma sätt som myVM1:

    Inställning VM 2
    Name myVM2
    Availability zone Zon 2
    Nätverkssäkerhetsgrupp Välj den befintliga myNSG

Kommentar

Azure tillhandahåller en standard-IP för utgående åtkomst för virtuella datorer som antingen inte har tilldelats någon offentlig IP-adress eller som finns i serverdelspoolen för en intern grundläggande Azure-lastbalanserare. Ip-mekanismen för utgående åtkomst har en utgående IP-adress som inte kan konfigureras.

Standard-IP för utgående åtkomst inaktiveras när någon av följande händelser inträffar:

  • En offentlig IP-adress tilldelas till den virtuella datorn.
  • Den virtuella datorn placeras i serverdelspoolen för en standardlastbalanserare, med eller utan regler för utgående trafik.
  • En Azure NAT Gateway-resurs tilldelas till den virtuella datorns undernät.

Virtuella datorer som du skapar med hjälp av vm-skalningsuppsättningar i flexibelt orkestreringsläge har inte standardåtkomst till utgående trafik.

Mer information om utgående anslutningar i Azure finns i Standardutgående åtkomst i Azure och Använda SNAT (Source Network Address Translation) för utgående anslutningar.

Installera IIS

  1. I sökrutan överst i portalen anger du Virtuell dator. Välj Virtuella datorer i sökresultaten.

  2. Välj myVM1.

  3. Välj Anslut och sedan Bastion på sidan Översikt.

  4. Ange användarnamnet och lösenordet som angavs när den virtuella datorn skapades.

  5. Välj Anslut.

  6. På serverdatorn går du till Starta>Windows PowerShell>Windows PowerShell.

  7. Kör följande kommandon i PowerShell-fönstret för att:

    • Installera IIS-servern
    • Ta bort standardfilen för iisstart.htm
    • Lägg till en ny iisstart.htm fil som visar namnet på den virtuella datorn:
     # Install IIS server role
 Install-WindowsFeature -name Web-Server -IncludeManagementTools

 # Remove default htm file
 Remove-Item  C:\inetpub\wwwroot\iisstart.htm

 # Add a new htm file that displays server name
 Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)

  8. Stäng Bastion-sessionen med myVM1.

  9. Upprepa steg 1 till 8 för att installera IIS och den uppdaterade iisstart.htm filen på myVM2.

Testa lastbalanseraren

  1. I sökrutan överst på sidan anger du Offentlig IP-adress. Välj Offentliga IP-adresser i sökresultatet.

  2. I Offentliga IP-adresser väljer du myPublicIP.

  3. Kopiera objektet i IP-adress. Klistra in den offentliga IP-adressen i webbläsarens adressfält. Sidan för den anpassade virtuella datorn på IIS-webbservern visas i webbläsaren.

    Skärmbild av lastbalanserarens test.

Rensa resurser

Ta bort resursgruppen, lastbalanseraren och alla relaterade resurser när de inte längre behövs. Om du vill göra det väljer du resursgruppen TutorLoadBalancer-rg som innehåller resurserna och väljer sedan Ta bort.

Nästa steg

Gå vidare till nästa artikel för att lära dig hur du:

Skapa en offentlig lastbalanserare med en IP-baserad serverdel