Share via

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

快速入门:使用 Azure CLI 创建和配置 Azure DDoS 网络保护

  • 项目

开始使用 Azure CLI 实现 Azure DDoS 网络保护。

DDoS 防护计划跨订阅定义一组已启用 DDoS 网络保护的虚拟网络。 可以为组织配置一个 DDoS 防护计划,然后从多个订阅将虚拟网络链接到相同计划。

在本快速入门中,你将创建一个 DDoS 防护计划,并将其链接到虚拟网络。

Diagram of DDoS Network Protection.

先决条件

  • 具有活动订阅的 Azure 帐户。 免费创建帐户
  • 本地安装的 Azure CLI 或 Azure Cloud Shell

Azure Cloud Shell

Azure 托管 Azure Cloud Shell(一个可通过浏览器使用的交互式 shell 环境)。 可以将 Bash 或 PowerShell 与 Cloud Shell 配合使用来使用 Azure 服务。 可以使用 Cloud Shell 预安装的命令来运行本文中的代码,而不必在本地环境中安装任何内容。

若要启动 Azure Cloud Shell,请执行以下操作:

选项 示例/链接
选择代码或命令块右上角的“试用”。 选择“试用”不会自动将代码或命令复制到 Cloud Shell。 Screenshot that shows an example of Try It for Azure Cloud Shell.
转到 https://shell.azure.com 或选择启动 Cloud Shell 按钮可在浏览器中打开 Cloud Shell。 Button to launch Azure Cloud Shell.
选择 Azure 门户右上角菜单栏上的 Cloud Shell 按钮。 Screenshot that shows the Cloud Shell button in the Azure portal

若要使用 Azure Cloud Shell,请执行以下操作:

  1. 启动 Cloud Shell。

  2. 选择代码块(或命令块)上的“复制”按钮以复制代码或命令。

  3. 在 Windows 和 Linux 上选择 Ctrl+Shift+V,或在 macOS 上选择 Cmd+Shift+V 将代码或命令粘贴到 Cloud Shell 会话中。

  4. 选择“Enter”运行代码或命令。

如果选择在本地安装并使用 CLI,本快速入门要求 Azure CLI 2.0.56 或更高版本。 若要查找版本,请运行 az --version。 如需进行安装或升级,请参阅安装 Azure CLI

创建 DDoS 防护计划

在 Azure 中,可将相关的资源分配到资源组。 可以使用现有资源组,也可以创建新组。

若要创建资源组,请使用 az group create。 在此示例中,我们将资源组命名为“MyResourceGroup”,并使用“美国东部”位置:

az group create \
    --name MyResourceGroup \
    --location eastus

现在,创建名为“MyDdosProtectionPlan”的 DDoS 防护计划:

az network ddos-protection create \
    --resource-group MyResourceGroup \
    --name MyDdosProtectionPlan

为虚拟网络启用 DDoS 防护

为新的虚拟网络启用 DDoS 防护

创建虚拟网络时,可以启用 DDoS 防护。 在此示例中,我们将为虚拟网络命名为 MyVnet

az network vnet create \
    --resource-group MyResourceGroup \
    --name MyVnet \
    --location eastus \
    --ddos-protection-plan MyDdosProtectionPlan \
    --ddos-protection true

注意

如果已为虚拟网络启用 DDoS 防护,则无法将虚拟网络移到其他资源组或订阅。 如果需要移动已启用 DDoS 防护的虚拟网络,请先禁用 DDoS 防护,移动虚拟网络,然后再启用 DDoS 防护。 移动后,适用于虚拟网络所有受保护的公共 IP 地址的自动优化策略阈值都将重置。

为现有虚拟网络启用 DDoS 保护

创建 DDoS 防护计划时,可以将一个或多个虚拟网络关联到计划。 若要添加多个虚拟网络,只需列出其名称或 ID(以空格分隔)。 在此示例中,我们将添加“MyVnet”:

az group create \
    --name MyResourceGroup \
    --location eastus

az network ddos-protection create \
    --resource-group MyResourceGroup \
    --name MyDdosProtectionPlan 
    --vnets MyVnet

或者,可以为给定虚拟网络启用 DDoS 防护:

az network vnet update \
    --resource-group MyResourceGroup \
    --name MyVnet \
    --ddos-protection-plan MyDdosProtectionPlan \
    --ddos-protection true

禁用虚拟网络的 DDoS 防护

更新给定虚拟网络以禁用 DDoS 防护:

az network vnet update \
    --resource-group MyResourceGroup \
    --name MyVnet \
    --ddos-protection-plan MyDdosProtectionPlan \
    --ddos-protection false

验证并测试

首先检查 DDoS 防护计划的详细信息:

az network ddos-protection show \
    --resource-group MyResourceGroup \
    --name MyDdosProtectionPlan

验证该命令是否返回正确的 DDoS 防护计划详细信息。

清理资源

可保留资源以供下一教程使用。 如果不再需要,请删除“MyResourceGroup”资源组。 删除资源组时,DDoS 防护计划及其所有相关资源也会一起删除。

若要删除资源组,请使用 az group delete

az group delete \
--name MyResourceGroup

注意

如果要删除 DDoS 防护计划,必须首先取消与之关联的所有虚拟网络。

后续步骤

要了解如何查看和配置 DDoS 防护计划的遥测,请继续阅读教程。

查看和配置 DDoS 防护遥测