快速入門:使用 Azure 入口網站 建立及設定 Azure DDoS 網路保護

  • 發行項

使用 Azure 入口網站 開始使用 Azure DDoS 網路保護。

DDoS 保護計劃會定義一組跨訂閱且已啟用 DDoS 網路保護的虛擬網路。 您可以為您的組織設定一個 DDoS 保護方案,並將單一 Microsoft Entra 租使用者下多個訂用帳戶的虛擬網路連結至相同的方案。

在本快速入門中,您會建立 DDoS 保護計劃,並將其連結至虛擬網路。

DDoS 網路保護的圖表。

必要條件

建立 DDoS 保護計劃

  1. 選取 Azure 入口網站 左上角的 [建立資源]。

  2. 搜尋 DDoS 一詞。 當 DDoS 保護計劃出現在搜尋結果中時,請選取它。

  3. 選取 建立

  4. 輸入或選取下列值。

    設定
    訂用帳戶 選取您的訂用帳戶。
    資源群組 選取 [ 新建 ],然後輸入 MyResourceGroup
    名稱 輸入 MyDdosProtectionPlan
    區域 輸入美國東部

  5. 選取 [檢閱 + 建立],然後選取 [建立]

注意

雖然 DDoS 保護方案資源必須與區域相關聯,但使用者可以在不同的區域和單一 Microsoft Entra 租使用者下跨多個訂用帳戶,在 虛擬網絡 上啟用 DDoS 保護。

啟用虛擬網路的 DDoS 保護

為新的虛擬網路啟用

  1. 選取 Azure 入口網站 左上角的 [建立資源]。

  2. 選取 [網络],然後選取 [虛擬網络]。

  3. 輸入或選取下列值,然後選取 [ 下一步]。

    設定
    訂用帳戶 選取您的訂用帳戶。
    資源群組 選取 [使用現有的],然後選取 [MyResourceGroup]
    名稱 輸入 MyVnet
    區域 輸入美國東部

  4. 在 [安全性] 窗格中,選取 [Azure DDoS 網络保護] 無線電上的 [啟用]。

  5. [DDoS 保護計劃] 窗格中選取 [MyDdosProtectionPlan]。 您選取的方案可以位於相同或與虛擬網路不同的訂用帳戶中,但兩個訂用帳戶都必須與相同的 Microsoft Entra 租使用者相關聯。

  6. 選取 [下一步]。 在 [IP 位址] 窗格中,選取 [新增 IPv4 位址空間 ],然後輸入下列值。 然後選取 [新增]。

    設定
    IPv4 位址空間 輸入 10.1.0.0/16
    子網路名稱 在 [子網名稱] 底下,選取 [新增子網] 鏈接,然後輸入 mySubnet。
    子網路位址範圍 輸入 10.1.0.0/24

  7. 選取 [檢閱 + 建立],然後選取 [建立]

    使用 Azure DDoS 保護建立虛擬網路的 Gif。

注意

當虛擬網路啟用 DDoS 保護時,您無法將虛擬網路移至另一個資源群組或訂用帳戶。 如果您需要移動已啟用 DDoS 保護的虛擬網路,請先停用 DDoS 保護、移動虛擬網路,然後啟用 DDoS 保護。 移動之後,虛擬網路中所有受保護公用IP位址的自動調整原則閾值會重設。

為現有的虛擬網路啟用

  1. 如果您沒有現有的 DDoS 保護計劃,請完成建立 DDoS 保護計劃中的步驟,以建立 DDoS 保護計劃。

  2. 在 Azure 入口網站 頂端的 [搜尋資源、服務和檔] 方塊中,輸入您想要啟用 DDoS 網络保護的虛擬網路名稱。 當虛擬網路的名稱出現在搜尋結果中時,請選取它。

  3. 在 [設定] 底下,選取 [DDoS 保護]。

  4. 選取啟用。 在 [DDoS 保護計劃] 底下,選取現有的 DDoS 保護方案,或您在步驟 1 中建立的方案,然後選取 [儲存]。 您選取的方案可以位於相同或與虛擬網路不同的訂用帳戶中,但兩個訂用帳戶都必須與相同的 Microsoft Entra 租使用者相關聯。

    為虛擬網路啟用 DDoS 保護的 Gif。

將 虛擬網絡 新增至現有的 DDoS 保護計劃

您也可以從 DDoS 保護方案啟用現有虛擬網路的 DDoS 保護計畫,而不是從虛擬網路啟用。

  1. 在 Azure 入口網站 頂端的 [搜尋資源、服務和檔] 方塊中搜尋 “DDoS 保護方案”。 當 DDoS 保護計劃出現在搜尋結果中時,請選取它。

  2. 選取您想要為虛擬網路啟用的所需 DDoS 保護方案。

  3. 選取 [設定] 底下的 [受保護的資源]。

  4. 選取 [+新增 ],然後選取正確的訂用帳戶、資源群組和虛擬網路名稱。 再次選取 [ 新增 ]。

    使用 Azure DDoS 保護新增虛擬網路的 Gif。

使用 Azure 防火牆 Manager 設定 Azure DDoS 保護方案 (預覽)

Azure 防火牆管理員是大規模管理及保護網路資源的平台。 您可以將您的虛擬網路與 Azure 防火牆管理員內的 DDoS 保護計劃建立關聯。 這項功能目前可在公開預覽中取得。 請參閱使用 Azure 防火牆 Manager 設定 Azure DDoS 保護方案。

顯示具有 DDoS 保護方案的虛擬網路螢幕快照。

為所有虛擬網路啟用 DDoS 保護

內建原則 會偵測未啟用 DDoS 網路保護之已定義範圍中的任何虛擬網路。 然後,此原則會選擇性地建立補救工作,以建立關聯來保護 虛擬網絡。 如需內建原則的完整清單,請參閱 azure DDoS 網路保護的 Azure 原則 內建定義。

驗證和測試

首先,檢查 DDoS 保護計劃的詳細數據:

  1. 選取入口網站左上角的 [所有服務]
  2. 在 [篩選] 方塊中輸入 DDoS。 當 DDoS 保護方案出現在結果中時,請選取它。
  3. 從清單中選取您的 DDoS 保護方案。

應該列出 MyVnet 虛擬網路。

檢視受保護的資源

在 [受保護的資源] 下,您可以檢視受保護的虛擬網络和公用IP位址,或將更多虛擬網路新增至您的 DDoS 保護方案:

顯示受保護資源的螢幕快照。

針對虛擬網路停用:

您可以在其他虛擬網路上啟用 DDoS 保護時,停用虛擬網路的 DDoS 保護。 若要停用虛擬網路的 DDoS 保護,請繼續進行下列步驟。

  1. 在入口網站頂端的 [搜尋資源、服務和檔] 方塊中,輸入您想要停用 DDoS 網络保護的虛擬網路名稱。 當虛擬網路的名稱出現在搜尋結果中時,請選取它。

  2. 在 [DDoS 網络保護] 底,選取 [停用]。

    停用虛擬網路內 DDoS 保護的 Gif。

注意

從虛擬網路停用 DDoS 保護將不會刪除它。 如果您只停用來自虛擬網路的 DDoS 保護,而不刪除 DDoS 保護計劃本身,DDoS 保護成本仍會收取費用。 若要避免不必要的成本,您必須完全刪除 DDoS 保護計劃資源。 請參閱 清除資源

清除資源

您可以保留資源,以供下一個教學課程使用。 若不再需要,請刪除 MyResourceGroup 資源群組。 刪除該資源群組時,也將同時刪除 DDoS 保護計劃及其所有相關資源。 如果您不打算使用此 DDoS 保護計劃,您應該移除資源以避免不必要的費用。

警告

這項動作無法復原。

  1. 在 Azure 入口網站 中,搜尋並選取 [資源群組],或從 [Azure 入口網站] 功能選取 [資源群組]。

  2. 篩選或向下卷動以尋找 MyResourceGroup 資源群組。

  3. 選取資源群組,然後選取 [ 刪除資源群組]。

  4. 輸入資源群組名稱以確認,然後選取 [刪除]

注意

如果您想要刪除某個 DDoS 保護計劃,必須先將與其相關聯的所有虛擬網路取消關聯。

下一步

若要瞭解如何透過 Azure 監視器設定計量警示,請繼續進行教學課程。

透過入口網站設定 Azure DDoS 保護計量警示