Öğretici: Azure DDoS Koruması ile genel yük dengeleyicinizi koruma
Azure DDoS Koruması, genel yük dengeleyicilerinizi büyük ölçekli DDoS saldırılarına karşı korumak için uyarlamalı ayarlama, saldırı uyarısı bildirimleri ve izleme gibi gelişmiş DDoS azaltma özellikleri sağlar.
Önemli
Ağ Koruması SKU'su kullandığınızda Azure DDoS Koruması bir maliyete neden olur. Fazla kullanım ücretleri yalnızca kiracıda 100'den fazla genel IP korunuyorsa geçerlidir. Gelecekte kaynakları kullanmıyorsanız bu öğreticideki kaynakları sildiğinizden emin olun. Fiyatlandırma hakkında bilgi için bkz . Azure DDoS Koruması Fiyatlandırması. Azure DDoS koruması hakkında daha fazla bilgi için bkz . Azure DDoS Koruması nedir?.
Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:
- Bir DDoS Koruması planı oluşturun.
- DDoS Koruması ve Bastion hizmeti etkin bir sanal ağ oluşturun.
- Ön uç IP'siyle, sistem durumu yoklamasıyla, arka uç yapılandırmasıyla ve yük dengeleme kuralıyla standart bir SKU genel yük dengeleyici oluşturun.
- Arka uç havuzu için giden İnternet erişimi için bir NAT ağ geçidi oluşturun.
- Sanal makine oluşturun, ardından bağlantı noktası iletme ve yük dengeleme kurallarını göstermek için VM'lere IIS yükleyip yapılandırın.
Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.
Önkoşullar
- Etkin aboneliği olan bir Azure hesabı.
DDoS koruma planı oluşturma
Azure Portal’ında oturum açın.
Portalın üst kısmındaki arama kutusuna DDoS koruması yazın. Arama sonuçlarında DDoS koruma planları'nı ve ardından + Oluştur'u seçin.
DDoS koruma planı oluşturma sayfasının Temel bilgiler sekmesinde aşağıdaki bilgileri girin veya seçin:
Ayar Value Proje ayrıntıları Abonelik Azure aboneliği seçin. Kaynak grubu Yeni oluştur’u seçin.
TutorLoadBalancer-rg girin.
Tamam'ı seçin.Örnek ayrıntıları Veri Akışı Adı myDDoSProtectionPlan girin. Bölge (ABD) Doğu ABD'yi seçin. Gözden geçir + oluştur'u ve ardından DDoS koruma planını dağıtmak için Oluştur'u seçin.
Sanal ağı oluşturma
Bu bölümde bir sanal ağ, alt ağ, Azure Bastion konağı oluşturacak ve DDoS Koruması planını ilişkilendireceksiniz. Sanal ağ ve alt ağ yük dengeleyiciyi ve sanal makineleri içerir. Savunma konağı, sanal makineleri güvenli bir şekilde yönetmek ve yük dengeleyiciyi test etmek için IIS yüklemek için kullanılır. DDoS Koruması planı, sanal ağdaki tüm genel IP kaynaklarını korur.
Önemli
Saatlik fiyatlandırma, giden veri kullanımına bakılmaksızın Bastion dağıtıldığından itibaren başlar. Daha fazla bilgi için bkz . Fiyatlandırma ve SKU'lar. Bastion'ı bir öğretici veya test kapsamında dağıtıyorsanız, kullanmayı bitirdikten sonra bu kaynağı silmenizi öneririz.
Portalın üst kısmındaki arama kutusuna Sanal ağ yazın. Arama sonuçlarında Sanal Ağ seçin.
Sanal ağlar'da + Oluştur'u seçin.
Sanal ağ oluştur bölümünde Temel Bilgiler sekmesinde aşağıdaki bilgileri girin veya seçin:
Ayar Value Proje Ayrıntıları Abonelik Azure aboneliği seçin. Kaynak Grubu TutorLoadBalancer-rg öğesini seçin Örnek ayrıntıları Veri Akışı Adı myVNet girin Bölge Doğu ABD’yi seçin IP Adresleri sekmesini seçin veya sayfanın alt kısmındaki İleri: IP Adresleri'ni seçin.
IP Adresleri sekmesinde şu bilgileri girin:
Ayar Value IPv4 adres alanı 10.1.0.0/16 girin Alt ağ adı'nın altında varsayılan sözcüğü seçin. Bir alt ağ yoksa + Alt ağ ekle'yi seçin.
Alt ağı düzenle bölümüne şu bilgileri girin:
Ayar Value Alt ağ adı myBackendSubnet girin Alt ağ adres aralığı 10.1.0.0/24 girin Kaydet veya Ekle'yi seçin.
Güvenlik sekmesini seçin.
BastionHost'un altında Etkinleştir'i seçin. Şu bilgileri girin:
Ayar Value Bastion adı myBastionHost girin AzureBastionSubnet adres alanı 10.1.1.0/26 girin Genel IP Adresi Yeni oluştur’u seçin.
Ad alanına myBastionIP girin.
Tamam'ı seçin.DDoS Ağ Koruması'nın altında Etkinleştir'i seçin. Ardından açılan menüden myDDoSProtectionPlan öğesini seçin.
Gözden Geçir + oluştur sekmesini seçin veya Gözden Geçir + oluştur düğmesini seçin.
Oluştur'u belirleyin.
Not
Sanal ağ ve alt ağ hemen oluşturulur. Bastion ana bilgisayar oluşturma işlemi bir iş olarak gönderilir ve 10 dakika içinde tamamlanır. Bastion konağı oluşturulurken sonraki adımlara geçebilirsiniz.
Yük dengeleyici oluşturma
Bu bölümde, sanal makineleri yük dengeleyen alanlar arası yedekli bir yük dengeleyici oluşturacaksınız. Bölgesel olarak yedeklilik sayesinde bir veya daha fazla kullanılabilirlik alanı başarısız olurken bölgedeki bir alan sağlıklı kaldıkça veri yolu etkin olmaya devam eder.
Yük dengeleyici oluşturulurken şunları yapılandıracaksınız:
- Ön uç IP adresi
- Arka uç havuzu
- Gelen yük dengeleme kuralları
- Durumu araştırması
Portalın üst kısmındaki arama kutusuna Yük dengeleyici yazın. Arama sonuçlarında Yük dengeleyiciler'i seçin.
Yük dengeleyici sayfasında + Oluştur'u seçin.
Yük dengeleyici oluştur sayfasının Temel Bilgiler sekmesinde aşağıdaki bilgileri girin veya seçin:
Ayar Value Proje ayrıntıları Abonelik Aboneliğinizi seçin. Kaynak grubu TutorLoadBalancer-rg öğesini seçin. Örnek ayrıntıları Veri Akışı Adı myLoadBalancer girin Bölge Doğu ABD’yi seçin. SKU Varsayılan Standart'ta bırakın. Tür Genel’i seçin. Katman Varsayılan Bölgesel ayarı değiştirmeyin. Sayfanın alt kısmındaki İleri: Ön uç IP yapılandırması'nı seçin.
Ön uç IP yapılandırması'nda + Ön uç IP yapılandırması ekle'yi seçin.
Ad alanına myFrontend girin.
IP sürümü için IPv4'i seçin.
IP türü için IP adresi'ni seçin.
Not
IP ön ekleri hakkında daha fazla bilgi için bkz . Azure Genel IP adresi ön eki.
Genel IP adresinde Yeni oluştur'u seçin.
Genel IP adresi ekle bölümüne Ad için myPublicIP girin.
Kullanılabilirlik alanında Alanlar arası yedekli'yi seçin.
Not
Kullanılabilirlik Alanları olan bölgelerde, bölge yok (varsayılan seçenek), belirli bir bölge veya alanlar arası yedekli seçeneğini belirleyebilirsiniz. Seçim, belirli etki alanı hata gereksinimlerinize bağlıdır. Kullanılabilirlik Alanları olmayan bölgelerde bu alan görünmez.
Kullanılabilirlik alanları hakkında daha fazla bilgi için bkz . Kullanılabilirlik alanlarına genel bakış.Yönlendirme tercihi için Microsoft Network varsayılanını değiştirmeyin.
Tamam'ı seçin.
Ekle'yi seçin.
Sayfanın alt kısmındaki İleri: Arka uç havuzları'nı seçin.
Arka uç havuzları sekmesinde + Arka uç havuzu ekle'yi seçin.
Arka uç havuzu ekle bölümüne Ad için myBackendPool girin.
Sanal ağ'da myVNet'i seçin.
Arka Uç Havuzu Yapılandırması için IP Adresi'ne tıklayın.
Kaydet'i seçin.
Sayfanın alt kısmındaki İleri: Gelen kuralları'nı seçin.
Gelen kuralları sekmesindeki Yük dengeleme kuralı'nınaltında + Yük dengeleme kuralı ekle'yi seçin.
Yük dengeleme kuralı ekle bölümünde aşağıdaki bilgileri girin veya seçin:
Ayar Değer Veri Akışı Adı HttpRule'umu girin IP Sürümü Gereksinimlerinize bağlı olarak IPv4 veya IPv6'yi seçin. Ön uç IP adresi myFrontend (Oluşturulacak) öğesini seçin. Arka uç havuzu myBackendPool öğesini seçin. Protokol TCP’yi seçin. Bağlantı noktası 80 girin. Arka uç bağlantı noktası 80 girin. Durumu araştırması Yeni oluştur’u seçin.
Ad alanına myHealthProbe yazın.
Protokol'de TCP'yi seçin.
Diğer varsayılan değerleri bırakın ve Tamam'ı seçin.Oturum kalıcılığı Hiçbiri seçeneğini belirtin. Boşta bekleme zaman aşımı (dakika) 15 girin veya seçin. TCP sıfırlama Etkin'i seçin. Kayan IP Devre dışı öğesini seçin. Giden kaynak ağ adresi çevirisi (SNAT) Varsayılan olarak bırakın (Önerilen) Arka uç havuzu üyelerine İnternet erişimi sağlamak için giden kuralları kullanın. Ekle'yi seçin.
Sayfanın en altındaki mavi Gözden Geçir + oluştur düğmesini seçin.
Oluştur'u belirleyin.
Not
Bu örnekte, giden İnternet erişimi sağlamak için bir NAT ağ geçidi oluşturacağız. Yapılandırmadaki giden kuralları sekmesi atlanır çünkü isteğe bağlıdır ve NAT ağ geçidinde gerekli değildir. Azure NAT ağ geçidi hakkında daha fazla bilgi için bkz. Azure Sanal Ağ NAT nedir? Azure'daki giden bağlantılar hakkında daha fazla bilgi için bkz. Giden bağlantılar için Kaynak Ağ Adresi Çevirisi (SNAT)
NAT ağ geçidi oluşturma
Bu bölümde, sanal ağdaki kaynaklar için giden İnternet erişimi için bir NAT ağ geçidi oluşturacaksınız. Giden kurallarıyla ilgili diğer seçenekler için giden bağlantılar için Ağ Adresi Çevirisi (SNAT) bölümüne bakın.
Portalın üst kısmındaki arama kutusuna NAT ağ geçidi girin. Arama sonuçlarında NAT ağ geçitleri'ni seçin.
NAT ağ geçitlerinde + Oluştur'u seçin.
Ağ adresi çevirisi (NAT) ağ geçidi oluştur bölümünde aşağıdaki bilgileri girin veya seçin:
Ayar Value Proje ayrıntıları Abonelik Aboneliğinizi seçin. Kaynak grubu TutorLoadBalancer-rg öğesini seçin. Örnek ayrıntıları NAT ağ geçidi adı myNATgateway yazın. Bölge Doğu ABD’yi seçin. Availability zone Hiçbiri seçeneğini belirtin. Boşta bekleme zaman aşımı (dakika) 15 girin. Giden IP sekmesini seçin veya sayfanın alt kısmındaki İleri: Giden IP'yi seçin.
Giden IP'de Genel IP adresleri'nin yanındaki Yeni bir genel IP adresi oluştur'u seçin.
Ad alanına myNATgatewayIP girin.
Tamam'ı seçin.
Alt ağ sekmesini seçin veya sayfanın en altındaki sonraki: Alt ağ düğmesini seçin.
Alt ağ sekmesindeki Sanal ağ'da myVNet'i seçin.
Alt ağ adı altında myBackendSubnet öğesini seçin.
Sayfanın en altındaki mavi Gözden Geçir + oluştur düğmesini seçin veya Gözden Geçir + oluştur sekmesini seçin.
Oluştur'u belirleyin.
Sanal makineleri oluşturma
Bu bölümde, iki farklı bölgede (Bölge 1 ve Bölge 2) iki VM (myVM1 ve myVM2) oluşturacaksınız.
Bu VM'ler daha önce oluşturulan yük dengeleyicinin arka uç havuzuna eklenir.
Portalın üst kısmındaki arama kutusuna Sanal makine yazın. Arama sonuçlarında Sanal makineler'i seçin.
Sanal makineler'de + Azure sanal makinesi oluştur'u>seçin.
Sanal makine oluştur bölümünde Temel Bilgiler sekmesinde aşağıdaki değerleri girin veya seçin:
Ayar Value Proje Ayrıntıları Abonelik Azure aboneliğinizi seçin Kaynak Grubu TutorLoadBalancer-rg öğesini seçin Örnek ayrıntıları Virtual machine name myVM1 girin Bölge ((ABD) Doğu ABD)'yi seçin Kullanılabilirlik Seçenekleri Kullanılabilirlik alanlarını seçin Availability zone Bölge 1'i seçin Güvenlik türü Standart'ı seçin. Görsel Windows Server 2022 Datacenter: Azure Edition - 2. Nesil'i seçin Azure Spot örneği Varsayılan olarak işaretlenmemiş olarak bırakın. Size VM boyutunu seçin veya varsayılan ayarı alın Yönetici istrator hesabı Username Kullanıcı adı girin Parola Parola girin Parolayı onaylayın Parolayı yeniden girin Gelen bağlantı noktası kuralları Genel gelen bağlantı noktaları Yok'a tıklayın Ağ sekmesini veya İleri: Diskler'i ve ardından İleri: Ağ'ı seçin.
Ağ sekmesinde aşağıdaki bilgileri seçin veya girin:
Ayar Value Ağ arabirimi Sanal ağ myVNet'i seçin Alt ağ myBackendSubnet öğesini seçin Genel IP Hiçbiri seçeneğini belirtin. NIC ağ güvenlik grubu Gelişmiş'i seçin Ağ güvenlik grubunu yapılandırma Diğer ayarlar tamamlanana kadar bu ayarı atlayın. Arka uç havuzu seçtikten sonra tamamlandı. VM silindiğinde NIC silme Varsayılan olarak seçili değil olarak bırakın. Hızlandırılmış ağ Varsayılan değeri seçili olarak bırakın. Yük dengeleme Yük dengeleme seçenekleri Yük dengeleme seçenekleri Azure yük dengeleyici'yi seçin Yük dengeleyici seçme myLoadBalancer öğesini seçin Arka uç havuzu seçme myBackendPool'u seçin Ağ güvenlik grubunu yapılandırma Yeni oluştur’u seçin.
Ağ güvenliği oluştur grubunda Ad alanına myNSG girin.
Gelen kuralları'nın altında +Gelen kuralı ekle'yi seçin.
Hizmet'in altında HTTP'yi seçin.
Öncelik'in altında 100 girin.
Ad alanına myNSGRule
Ekle Seç
Tamam'ı seçinGözden geçir ve oluştur’u seçin.
Ayarları gözden geçirin ve oluştur'u seçin.
Aşağıdaki değerlere ve myVM1 ile aynı diğer tüm ayarlara sahip başka bir VM oluşturmak için 1 ile 7 arasında adımları izleyin:
Ayar VM 2 Veri Akışı Adı myVM2 Availability zone Bölge 2 Ağ güvenlik grubu Mevcut myNSG'yi seçin
Not
Azure, genel IP adresi atanmamış veya bir iç temel Azure yük dengeleyicinin arka uç havuzunda yer alan VM'ler için varsayılan bir giden erişim IP'si sağlar. Varsayılan giden erişim IP mekanizması, yapılandırılamayan bir giden IP adresi sağlar.
Aşağıdaki olaylardan biri gerçekleştiğinde varsayılan giden erişim IP'si devre dışı bırakılır:
- VM'ye bir genel IP adresi atanır.
- VM, giden kuralları olan veya olmayan standart bir yük dengeleyicinin arka uç havuzuna yerleştirilir.
- VM'nin alt a bilgisayarına bir Azure NAT Gateway kaynağı atanır.
Sanal makine ölçek kümelerini esnek düzenleme modunda kullanarak oluşturduğunuz VM'lerin varsayılan giden erişimi yoktur.
Azure'daki giden bağlantılar hakkında daha fazla bilgi için bkz . Azure'da varsayılan giden erişim ve giden bağlantılar için Kaynak Ağ Adresi Çevirisi'ni (SNAT) kullanma.
IIS yükleme
Portalın üst kısmındaki arama kutusuna Sanal makine yazın. Arama sonuçlarında Sanal makineler'i seçin.
myVM1'i seçin.
Genel Bakış sayfasında Bağlan'ı ve ardından Bastion ögesini seçin.
VM oluşturma sırasında girilen kullanıcı adını ve parolayı girin.
Bağlan'ı seçin.
Sunucu masaüstünde Windows PowerShell Windows PowerShell'i> başlat'a >gidin.
PowerShell Penceresinde aşağıdaki komutları çalıştırarak şunları yapın:
- IIS sunucusunu yükleme
- Varsayılan iisstart.htm dosyasını kaldırma
- VM'nin adını görüntüleyen yeni bir iisstart.htm dosyası ekleyin:
# Install IIS server role Install-WindowsFeature -name Web-Server -IncludeManagementTools # Remove default htm file Remove-Item C:\inetpub\wwwroot\iisstart.htm # Add a new htm file that displays server name Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)
myVM1 ile Bastion oturumunu kapatın.
MYVM2'ye IIS ve güncelleştirilmiş iisstart.htm dosyasını yüklemek için 1 ile 8 arasındaki adımları yineleyin.
Yük dengeleyiciyi test etme
Sayfanın üst kısmındaki arama kutusuna Genel IP girin. Arama sonuçlarında Genel IP adresleri'ni seçin.
Genel IP adresleri bölümünde myPublicIP öğesini seçin.
Öğeyi IP adresinde kopyalayın. Genel IP'yi tarayıcınızın adres çubuğuna yapıştırın. IIS Web sunucusunun özel VM sayfası tarayıcıda görüntülenir.
Kaynakları temizleme
Artık gerekli olmadığında kaynak grubunu, yük dengeleyiciyi ve tüm ilgili kaynakları silin. Bunu yapmak için kaynakları içeren TutorLoadBalancer-rg kaynak grubunu seçin ve ardından Sil'i seçin.
Sonraki adımlar
Aşağıdakilerin nasıl yapılacağını öğrenmek için sonraki makaleye geçin: