Aracılığıyla paylaş

Öğretici: Azure DDoS Koruması ile genel yük dengeleyicinizi koruma

  • Makale

Azure DDoS Koruması, genel yük dengeleyicilerinizi büyük ölçekli DDoS saldırılarına karşı korumak için uyarlamalı ayarlama, saldırı uyarısı bildirimleri ve izleme gibi gelişmiş DDoS azaltma özellikleri sağlar.

Önemli

Ağ Koruması SKU'su kullandığınızda Azure DDoS Koruması bir maliyete neden olur. Fazla kullanım ücretleri yalnızca kiracıda 100'den fazla genel IP korunuyorsa geçerlidir. Gelecekte kaynakları kullanmıyorsanız bu öğreticideki kaynakları sildiğinizden emin olun. Fiyatlandırma hakkında bilgi için bkz . Azure DDoS Koruması Fiyatlandırması. Azure DDoS koruması hakkında daha fazla bilgi için bkz . Azure DDoS Koruması nedir?.

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

  • Bir DDoS Koruması planı oluşturun.
  • DDoS Koruması ve Bastion hizmeti etkin bir sanal ağ oluşturun.
  • Ön uç IP'siyle, sistem durumu yoklamasıyla, arka uç yapılandırmasıyla ve yük dengeleme kuralıyla standart bir SKU genel yük dengeleyici oluşturun.
  • Arka uç havuzu için giden İnternet erişimi için bir NAT ağ geçidi oluşturun.
  • Sanal makine oluşturun, ardından bağlantı noktası iletme ve yük dengeleme kurallarını göstermek için VM'lere IIS yükleyip yapılandırın.

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Önkoşullar

  • Etkin aboneliği olan bir Azure hesabı.

DDoS koruma planı oluşturma

  1. Azure Portal’ında oturum açın.

  2. Portalın üst kısmındaki arama kutusuna DDoS koruması yazın. Arama sonuçlarında DDoS koruma planları'nı ve ardından + Oluştur'u seçin.

  3. DDoS koruma planı oluşturma sayfasının Temel bilgiler sekmesinde aşağıdaki bilgileri girin veya seçin:

    DDoS koruma planı oluşturma işleminin ekran görüntüsü.

    Ayar Value
    Proje ayrıntıları
    Abonelik Azure aboneliği seçin.
    Kaynak grubu Yeni oluştur’u seçin.
    TutorLoadBalancer-rg girin.
    Tamam'ı seçin.
    Örnek ayrıntıları
    Veri Akışı Adı myDDoSProtectionPlan girin.
    Bölge (ABD) Doğu ABD'yi seçin.

  4. Gözden geçir + oluştur'u ve ardından DDoS koruma planını dağıtmak için Oluştur'u seçin.

Sanal ağı oluşturma

Bu bölümde bir sanal ağ, alt ağ, Azure Bastion konağı oluşturacak ve DDoS Koruması planını ilişkilendireceksiniz. Sanal ağ ve alt ağ yük dengeleyiciyi ve sanal makineleri içerir. Savunma konağı, sanal makineleri güvenli bir şekilde yönetmek ve yük dengeleyiciyi test etmek için IIS yüklemek için kullanılır. DDoS Koruması planı, sanal ağdaki tüm genel IP kaynaklarını korur.

Önemli

Saatlik fiyatlandırma, giden veri kullanımına bakılmaksızın Bastion dağıtıldığından itibaren başlar. Daha fazla bilgi için bkz . Fiyatlandırma ve SKU'lar. Bastion'ı bir öğretici veya test kapsamında dağıtıyorsanız, kullanmayı bitirdikten sonra bu kaynağı silmenizi öneririz.

  1. Portalın üst kısmındaki arama kutusuna Sanal ağ yazın. Arama sonuçlarında Sanal Ağ seçin.

  2. Sanal ağlar'da + Oluştur'u seçin.

  3. Sanal ağ oluştur bölümünde Temel Bilgiler sekmesinde aşağıdaki bilgileri girin veya seçin:

    Ayar Value
    Proje Ayrıntıları
    Abonelik Azure aboneliği seçin.
    Kaynak Grubu TutorLoadBalancer-rg öğesini seçin
    Örnek ayrıntıları
    Veri Akışı Adı myVNet girin
    Bölge Doğu ABD’yi seçin

  4. IP Adresleri sekmesini seçin veya sayfanın alt kısmındaki İleri: IP Adresleri'ni seçin.

  5. IP Adresleri sekmesinde şu bilgileri girin:

    Ayar Value
    IPv4 adres alanı 10.1.0.0/16 girin

  6. Alt ağ adı'nın altında varsayılan sözcüğü seçin. Bir alt ağ yoksa + Alt ağ ekle'yi seçin.

  7. Alt ağı düzenle bölümüne şu bilgileri girin:

    Ayar Value
    Alt ağ adı myBackendSubnet girin
    Alt ağ adres aralığı 10.1.0.0/24 girin

  8. Kaydet veya Ekle'yi seçin.

  9. Güvenlik sekmesini seçin.

  10. BastionHost'un altında Etkinleştir'i seçin. Şu bilgileri girin:

    Ayar Value
    Bastion adı myBastionHost girin
    AzureBastionSubnet adres alanı 10.1.1.0/26 girin
    Genel IP Adresi Yeni oluştur’u seçin.
    Ad alanına myBastionIP girin.
    Tamam'ı seçin.

  11. DDoS Ağ Koruması'nın altında Etkinleştir'i seçin. Ardından açılan menüden myDDoSProtectionPlan öğesini seçin.

    Sanal ağ oluşturma sırasında DDoS'yi etkinleştirme işleminin ekran görüntüsü.

  12. Gözden Geçir + oluştur sekmesini seçin veya Gözden Geçir + oluştur düğmesini seçin.

  13. Oluştur'u belirleyin.

    Not

    Sanal ağ ve alt ağ hemen oluşturulur. Bastion ana bilgisayar oluşturma işlemi bir iş olarak gönderilir ve 10 dakika içinde tamamlanır. Bastion konağı oluşturulurken sonraki adımlara geçebilirsiniz.

Yük dengeleyici oluşturma

Bu bölümde, sanal makineleri yük dengeleyen alanlar arası yedekli bir yük dengeleyici oluşturacaksınız. Bölgesel olarak yedeklilik sayesinde bir veya daha fazla kullanılabilirlik alanı başarısız olurken bölgedeki bir alan sağlıklı kaldıkça veri yolu etkin olmaya devam eder.

Yük dengeleyici oluşturulurken şunları yapılandıracaksınız:

  • Ön uç IP adresi
  • Arka uç havuzu
  • Gelen yük dengeleme kuralları
  • Durumu araştırması

  1. Portalın üst kısmındaki arama kutusuna Yük dengeleyici yazın. Arama sonuçlarında Yük dengeleyiciler'i seçin.

  2. Yük dengeleyici sayfasında + Oluştur'u seçin.

  3. Yük dengeleyici oluştur sayfasının Temel Bilgiler sekmesinde aşağıdaki bilgileri girin veya seçin:

    Ayar Value
    Proje ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu TutorLoadBalancer-rg öğesini seçin.
    Örnek ayrıntıları
    Veri Akışı Adı myLoadBalancer girin
    Bölge Doğu ABD’yi seçin.
    SKU Varsayılan Standart'ta bırakın.
    Tür Genel’i seçin.
    Katman Varsayılan Bölgesel ayarı değiştirmeyin.

    Standart yük dengeleyici oluşturma temel bilgileri sekmesinin ekran görüntüsü.

  4. Sayfanın alt kısmındaki İleri: Ön uç IP yapılandırması'nı seçin.

  5. Ön uç IP yapılandırması'nda + Ön uç IP yapılandırması ekle'yi seçin.

  6. Ad alanına myFrontend girin.

  7. IP sürümü için IPv4'i seçin.

  8. IP türü için IP adresi'ni seçin.

    Not

    IP ön ekleri hakkında daha fazla bilgi için bkz . Azure Genel IP adresi ön eki.

  9. Genel IP adresinde Yeni oluştur'u seçin.

  10. Genel IP adresi ekle bölümüne Ad için myPublicIP girin.

  11. Kullanılabilirlik alanında Alanlar arası yedekli'yi seçin.

    Not

    Kullanılabilirlik Alanları olan bölgelerde, bölge yok (varsayılan seçenek), belirli bir bölge veya alanlar arası yedekli seçeneğini belirleyebilirsiniz. Seçim, belirli etki alanı hata gereksinimlerinize bağlıdır. Kullanılabilirlik Alanları olmayan bölgelerde bu alan görünmez.
    Kullanılabilirlik alanları hakkında daha fazla bilgi için bkz . Kullanılabilirlik alanlarına genel bakış.

  12. Yönlendirme tercihi için Microsoft Network varsayılanını değiştirmeyin.

  13. Tamam'ı seçin.

  14. Ekle'yi seçin.

  15. Sayfanın alt kısmındaki İleri: Arka uç havuzları'nı seçin.

  16. Arka uç havuzları sekmesinde + Arka uç havuzu ekle'yi seçin.

  17. Arka uç havuzu ekle bölümüne Ad için myBackendPool girin.

  18. Sanal ağ'da myVNet'i seçin.

  19. Arka Uç Havuzu Yapılandırması için IP Adresi'ne tıklayın.

  20. Kaydet'i seçin.

  21. Sayfanın alt kısmındaki İleri: Gelen kuralları'nı seçin.

  22. Gelen kuralları sekmesindeki Yük dengeleme kuralı'nınaltında + Yük dengeleme kuralı ekle'yi seçin.

  23. Yük dengeleme kuralı ekle bölümünde aşağıdaki bilgileri girin veya seçin:

    Ayar Değer
    Veri Akışı Adı HttpRule'umu girin
    IP Sürümü Gereksinimlerinize bağlı olarak IPv4 veya IPv6'yi seçin.
    Ön uç IP adresi myFrontend (Oluşturulacak) öğesini seçin.
    Arka uç havuzu myBackendPool öğesini seçin.
    Protokol TCP’yi seçin.
    Bağlantı noktası 80 girin.
    Arka uç bağlantı noktası 80 girin.
    Durumu araştırması Yeni oluştur’u seçin.
    Ad alanına myHealthProbe yazın.
    Protokol'de TCP'yi seçin.
    Diğer varsayılan değerleri bırakın ve Tamam'ı seçin.
    Oturum kalıcılığı Hiçbiri seçeneğini belirtin.
    Boşta bekleme zaman aşımı (dakika) 15 girin veya seçin.
    TCP sıfırlama Etkin'i seçin.
    Kayan IP Devre dışı öğesini seçin.
    Giden kaynak ağ adresi çevirisi (SNAT) Varsayılan olarak bırakın (Önerilen) Arka uç havuzu üyelerine İnternet erişimi sağlamak için giden kuralları kullanın.

  24. Ekle'yi seçin.

  25. Sayfanın en altındaki mavi Gözden Geçir + oluştur düğmesini seçin.

  26. Oluştur'u belirleyin.

    Not

    Bu örnekte, giden İnternet erişimi sağlamak için bir NAT ağ geçidi oluşturacağız. Yapılandırmadaki giden kuralları sekmesi atlanır çünkü isteğe bağlıdır ve NAT ağ geçidinde gerekli değildir. Azure NAT ağ geçidi hakkında daha fazla bilgi için bkz. Azure Sanal Ağ NAT nedir? Azure'daki giden bağlantılar hakkında daha fazla bilgi için bkz. Giden bağlantılar için Kaynak Ağ Adresi Çevirisi (SNAT)

NAT ağ geçidi oluşturma

Bu bölümde, sanal ağdaki kaynaklar için giden İnternet erişimi için bir NAT ağ geçidi oluşturacaksınız. Giden kurallarıyla ilgili diğer seçenekler için giden bağlantılar için Ağ Adresi Çevirisi (SNAT) bölümüne bakın.

  1. Portalın üst kısmındaki arama kutusuna NAT ağ geçidi girin. Arama sonuçlarında NAT ağ geçitleri'ni seçin.

  2. NAT ağ geçitlerinde + Oluştur'u seçin.

  3. Ağ adresi çevirisi (NAT) ağ geçidi oluştur bölümünde aşağıdaki bilgileri girin veya seçin:

    Ayar Value
    Proje ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu TutorLoadBalancer-rg öğesini seçin.
    Örnek ayrıntıları
    NAT ağ geçidi adı myNATgateway yazın.
    Bölge Doğu ABD’yi seçin.
    Availability zone Hiçbiri seçeneğini belirtin.
    Boşta bekleme zaman aşımı (dakika) 15 girin.

  4. Giden IP sekmesini seçin veya sayfanın alt kısmındaki İleri: Giden IP'yi seçin.

  5. Giden IP'de Genel IP adresleri'nin yanındaki Yeni bir genel IP adresi oluştur'u seçin.

  6. Ad alanına myNATgatewayIP girin.

  7. Tamam'ı seçin.

  8. Alt ağ sekmesini seçin veya sayfanın en altındaki sonraki: Alt ağ düğmesini seçin.

  9. Alt ağ sekmesindeki Sanal ağ'da myVNet'i seçin.

  10. Alt ağ adı altında myBackendSubnet öğesini seçin.

  11. Sayfanın en altındaki mavi Gözden Geçir + oluştur düğmesini seçin veya Gözden Geçir + oluştur sekmesini seçin.

  12. Oluştur'u belirleyin.

Sanal makineleri oluşturma

Bu bölümde, iki farklı bölgede (Bölge 1 ve Bölge 2) iki VM (myVM1 ve myVM2) oluşturacaksınız.

Bu VM'ler daha önce oluşturulan yük dengeleyicinin arka uç havuzuna eklenir.

  1. Portalın üst kısmındaki arama kutusuna Sanal makine yazın. Arama sonuçlarında Sanal makineler'i seçin.

  2. Sanal makineler'de + Azure sanal makinesi oluştur'u>seçin.

  3. Sanal makine oluştur bölümünde Temel Bilgiler sekmesinde aşağıdaki değerleri girin veya seçin:

    Ayar Value
    Proje Ayrıntıları
    Abonelik Azure aboneliğinizi seçin
    Kaynak Grubu TutorLoadBalancer-rg öğesini seçin
    Örnek ayrıntıları
    Virtual machine name myVM1 girin
    Bölge ((ABD) Doğu ABD)'yi seçin
    Kullanılabilirlik Seçenekleri Kullanılabilirlik alanlarını seçin
    Availability zone Bölge 1'i seçin
    Güvenlik türü Standart'ı seçin.
    Görsel Windows Server 2022 Datacenter: Azure Edition - 2. Nesil'i seçin
    Azure Spot örneği Varsayılan olarak işaretlenmemiş olarak bırakın.
    Size VM boyutunu seçin veya varsayılan ayarı alın
    Yönetici istrator hesabı
    Username Kullanıcı adı girin
    Parola Parola girin
    Parolayı onaylayın Parolayı yeniden girin
    Gelen bağlantı noktası kuralları
    Genel gelen bağlantı noktaları Yok'a tıklayın

  4. sekmesini veya İleri: Diskler'i ve ardından İleri: Ağ'ı seçin.

  5. Ağ sekmesinde aşağıdaki bilgileri seçin veya girin:

    Ayar Value
    Ağ arabirimi
    Sanal ağ myVNet'i seçin
    Alt ağ myBackendSubnet öğesini seçin
    Genel IP Hiçbiri seçeneğini belirtin.
    NIC ağ güvenlik grubu Gelişmiş'i seçin
    Ağ güvenlik grubunu yapılandırma Diğer ayarlar tamamlanana kadar bu ayarı atlayın. Arka uç havuzu seçtikten sonra tamamlandı.
    VM silindiğinde NIC silme Varsayılan olarak seçili değil olarak bırakın.
    Hızlandırılmış ağ Varsayılan değeri seçili olarak bırakın.
    Yük dengeleme
    Yük dengeleme seçenekleri
    Yük dengeleme seçenekleri Azure yük dengeleyici'yi seçin
    Yük dengeleyici seçme myLoadBalancer öğesini seçin
    Arka uç havuzu seçme myBackendPool'u seçin
    Ağ güvenlik grubunu yapılandırma Yeni oluştur’u seçin.
    Ağ güvenliği oluştur grubunda Ad alanına myNSG girin.
    Gelen kuralları'nın altında +Gelen kuralı ekle'yi seçin.
    Hizmet'in altında HTTP'yi seçin.
    Öncelik'in altında 100 girin.
    Ad alanına myNSGRule
     Ekle Seç
    Tamam'ı seçin

  6. Gözden geçir ve oluştur’u seçin.

  7. Ayarları gözden geçirin ve oluştur'u seçin.

  8. Aşağıdaki değerlere ve myVM1 ile aynı diğer tüm ayarlara sahip başka bir VM oluşturmak için 1 ile 7 arasında adımları izleyin:

    Ayar VM 2
    Veri Akışı Adı myVM2
    Availability zone Bölge 2
    Ağ güvenlik grubu Mevcut myNSG'yi seçin

Not

Azure, genel IP adresi atanmamış veya bir iç temel Azure yük dengeleyicinin arka uç havuzunda yer alan VM'ler için varsayılan bir giden erişim IP'si sağlar. Varsayılan giden erişim IP mekanizması, yapılandırılamayan bir giden IP adresi sağlar.

Aşağıdaki olaylardan biri gerçekleştiğinde varsayılan giden erişim IP'si devre dışı bırakılır:

Sanal makine ölçek kümelerini esnek düzenleme modunda kullanarak oluşturduğunuz VM'lerin varsayılan giden erişimi yoktur.

Azure'daki giden bağlantılar hakkında daha fazla bilgi için bkz . Azure'da varsayılan giden erişim ve giden bağlantılar için Kaynak Ağ Adresi Çevirisi'ni (SNAT) kullanma.

IIS yükleme

  1. Portalın üst kısmındaki arama kutusuna Sanal makine yazın. Arama sonuçlarında Sanal makineler'i seçin.

  2. myVM1'i seçin.

  3. Genel Bakış sayfasında Bağlan'ı ve ardından Bastion ögesini seçin.

  4. VM oluşturma sırasında girilen kullanıcı adını ve parolayı girin.

  5. Bağlan'ı seçin.

  6. Sunucu masaüstünde Windows PowerShell Windows PowerShell'i> başlat'a >gidin.

  7. PowerShell Penceresinde aşağıdaki komutları çalıştırarak şunları yapın:

    • IIS sunucusunu yükleme
    • Varsayılan iisstart.htm dosyasını kaldırma
    • VM'nin adını görüntüleyen yeni bir iisstart.htm dosyası ekleyin:
     # Install IIS server role
 Install-WindowsFeature -name Web-Server -IncludeManagementTools

 # Remove default htm file
 Remove-Item  C:\inetpub\wwwroot\iisstart.htm

 # Add a new htm file that displays server name
 Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)

  8. myVM1 ile Bastion oturumunu kapatın.

  9. MYVM2'ye IIS ve güncelleştirilmiş iisstart.htm dosyasını yüklemek için 1 ile 8 arasındaki adımları yineleyin.

Yük dengeleyiciyi test etme

  1. Sayfanın üst kısmındaki arama kutusuna Genel IP girin. Arama sonuçlarında Genel IP adresleri'ni seçin.

  2. Genel IP adresleri bölümünde myPublicIP öğesini seçin.

  3. Öğeyi IP adresinde kopyalayın. Genel IP'yi tarayıcınızın adres çubuğuna yapıştırın. IIS Web sunucusunun özel VM sayfası tarayıcıda görüntülenir.

    Yük dengeleyici testinin ekran görüntüsü.

Kaynakları temizleme

Artık gerekli olmadığında kaynak grubunu, yük dengeleyiciyi ve tüm ilgili kaynakları silin. Bunu yapmak için kaynakları içeren TutorLoadBalancer-rg kaynak grubunu seçin ve ardından Sil'i seçin.

Sonraki adımlar

Aşağıdakilerin nasıl yapılacağını öğrenmek için sonraki makaleye geçin:

IP tabanlı arka uç ile genel yük dengeleyici oluşturma