快速入門:使用 Azure 入口網站 建立及設定 Azure DDoS 網路保護
使用 Azure 入口網站 開始使用 Azure DDoS 網路保護。
DDoS 保護計劃會定義一組跨訂閱且已啟用 DDoS 網路保護的虛擬網路。 您可以為您的組織設定一個 DDoS 保護方案,並將單一 Microsoft Entra 租使用者下多個訂用帳戶的虛擬網路連結至相同的方案。
在本快速入門中,您會建立 DDoS 保護計劃,並將其連結至虛擬網路。
必要條件
- 如果您沒有 Azure 訂用帳戶,請在開始前建立免費帳戶。
- 登入 Azure 入口網站。 請確定您的帳戶已指派給網路參與者角色,或指派給指派許可權操作指南中列出的適當動作的自定義角色。
建立 DDoS 保護計劃
選取 Azure 入口網站 左上角的 [建立資源]。
搜尋 DDoS 一詞。 當 DDoS 保護計劃出現在搜尋結果中時,請選取它。
選取 建立。
輸入或選取下列值。
設定 值 訂用帳戶 選取您的訂用帳戶。 資源群組 選取 [ 新建 ],然後輸入 MyResourceGroup。 名稱 輸入 MyDdosProtectionPlan。 區域 輸入美國東部。 選取 [檢閱 + 建立],然後選取 [建立]
注意
雖然 DDoS 保護方案資源必須與區域相關聯,但使用者可以在不同的區域和單一 Microsoft Entra 租使用者下跨多個訂用帳戶,在 虛擬網絡 上啟用 DDoS 保護。
啟用虛擬網路的 DDoS 保護
為新的虛擬網路啟用
選取 Azure 入口網站 左上角的 [建立資源]。
選取 [網络],然後選取 [虛擬網络]。
輸入或選取下列值,然後選取 [ 下一步]。
設定 值 訂用帳戶 選取您的訂用帳戶。 資源群組 選取 [使用現有的],然後選取 [MyResourceGroup] 名稱 輸入 MyVnet。 區域 輸入美國東部。 在 [安全性] 窗格中,選取 [Azure DDoS 網络保護] 無線電上的 [啟用]。
從 [DDoS 保護計劃] 窗格中選取 [MyDdosProtectionPlan]。 您選取的方案可以位於相同或與虛擬網路不同的訂用帳戶中,但兩個訂用帳戶都必須與相同的 Microsoft Entra 租使用者相關聯。
選取 [下一步]。 在 [IP 位址] 窗格中,選取 [新增 IPv4 位址空間 ],然後輸入下列值。 然後選取 [新增]。
設定 值 IPv4 位址空間 輸入 10.1.0.0/16。 子網路名稱 在 [子網名稱] 底下,選取 [新增子網] 鏈接,然後輸入 mySubnet。 子網路位址範圍 輸入 10.1.0.0/24。 選取 [檢閱 + 建立],然後選取 [建立]。
注意
當虛擬網路啟用 DDoS 保護時,您無法將虛擬網路移至另一個資源群組或訂用帳戶。 如果您需要移動已啟用 DDoS 保護的虛擬網路,請先停用 DDoS 保護、移動虛擬網路,然後啟用 DDoS 保護。 移動之後,虛擬網路中所有受保護公用IP位址的自動調整原則閾值會重設。
為現有的虛擬網路啟用
如果您沒有現有的 DDoS 保護計劃,請完成建立 DDoS 保護計劃中的步驟,以建立 DDoS 保護計劃。
在 Azure 入口網站 頂端的 [搜尋資源、服務和檔] 方塊中,輸入您想要啟用 DDoS 網络保護的虛擬網路名稱。 當虛擬網路的名稱出現在搜尋結果中時,請選取它。
在 [設定] 底下,選取 [DDoS 保護]。
選取啟用。 在 [DDoS 保護計劃] 底下,選取現有的 DDoS 保護方案,或您在步驟 1 中建立的方案,然後選取 [儲存]。 您選取的方案可以位於相同或與虛擬網路不同的訂用帳戶中,但兩個訂用帳戶都必須與相同的 Microsoft Entra 租使用者相關聯。
將 虛擬網絡 新增至現有的 DDoS 保護計劃
您也可以從 DDoS 保護方案啟用現有虛擬網路的 DDoS 保護計畫,而不是從虛擬網路啟用。
在 Azure 入口網站 頂端的 [搜尋資源、服務和檔] 方塊中搜尋 “DDoS 保護方案”。 當 DDoS 保護計劃出現在搜尋結果中時,請選取它。
選取您想要為虛擬網路啟用的所需 DDoS 保護方案。
選取 [設定] 底下的 [受保護的資源]。
選取 [+新增 ],然後選取正確的訂用帳戶、資源群組和虛擬網路名稱。 再次選取 [ 新增 ]。
使用 Azure 防火牆 Manager 設定 Azure DDoS 保護方案 (預覽)
Azure 防火牆管理員是大規模管理及保護網路資源的平台。 您可以將您的虛擬網路與 Azure 防火牆管理員內的 DDoS 保護計劃建立關聯。 這項功能目前可在公開預覽中取得。 請參閱使用 Azure 防火牆 Manager 設定 Azure DDoS 保護方案。
為所有虛擬網路啟用 DDoS 保護
此 內建原則 會偵測未啟用 DDoS 網路保護之已定義範圍中的任何虛擬網路。 然後,此原則會選擇性地建立補救工作,以建立關聯來保護 虛擬網絡。 如需內建原則的完整清單,請參閱 azure DDoS 網路保護的 Azure 原則 內建定義。
驗證和測試
首先,檢查 DDoS 保護計劃的詳細數據:
- 選取入口網站左上角的 [所有服務]。
- 在 [篩選] 方塊中輸入 DDoS。 當 DDoS 保護方案出現在結果中時,請選取它。
- 從清單中選取您的 DDoS 保護方案。
應該列出 MyVnet 虛擬網路。
檢視受保護的資源
在 [受保護的資源] 下,您可以檢視受保護的虛擬網络和公用IP位址,或將更多虛擬網路新增至您的 DDoS 保護方案:
針對虛擬網路停用:
您可以在其他虛擬網路上啟用 DDoS 保護時,停用虛擬網路的 DDoS 保護。 若要停用虛擬網路的 DDoS 保護,請繼續進行下列步驟。
在入口網站頂端的 [搜尋資源、服務和檔] 方塊中,輸入您想要停用 DDoS 網络保護的虛擬網路名稱。 當虛擬網路的名稱出現在搜尋結果中時,請選取它。
在 [DDoS 網络保護] 底下,選取 [停用]。
注意
從虛擬網路停用 DDoS 保護將不會刪除它。 如果您只停用來自虛擬網路的 DDoS 保護,而不刪除 DDoS 保護計劃本身,DDoS 保護成本仍會收取費用。 若要避免不必要的成本,您必須完全刪除 DDoS 保護計劃資源。 請參閱 清除資源。
清除資源
您可以保留資源,以供下一個教學課程使用。 若不再需要,請刪除 MyResourceGroup 資源群組。 刪除該資源群組時,也將同時刪除 DDoS 保護計劃及其所有相關資源。 如果您不打算使用此 DDoS 保護計劃,您應該移除資源以避免不必要的費用。
警告
這項動作無法復原。
在 Azure 入口網站 中,搜尋並選取 [資源群組],或從 [Azure 入口網站] 功能選取 [資源群組]。
篩選或向下卷動以尋找 MyResourceGroup 資源群組。
選取資源群組,然後選取 [ 刪除資源群組]。
輸入資源群組名稱以確認,然後選取 [刪除]。
注意
如果您想要刪除某個 DDoS 保護計劃,必須先將與其相關聯的所有虛擬網路取消關聯。
下一步
若要瞭解如何透過 Azure 監視器設定計量警示,請繼續進行教學課程。