クイック スタート: Azure portal を使用して Azure DDoS のネットワーク保護を作成および構成する

Azure portal を使用して Azure DDoS のネットワーク保護の使用を始めます。

DDoS 保護プランでは、サブスクリプションの境界を越えて、DDoS ネットワーク保護が有効になった仮想ネットワークのセットを定義します。 組織に対して 1 つの DDoS 保護プランを構成し、1 つの Microsoft Entra テナントの下にある複数のサブスクリプションから仮想ネットワークを同じプランにリンクできます。

このクイックスタートでは、DDoS 保護プランを作成し、それを仮想ネットワークにリンクします。

前提条件

• Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。
• Azure portal にサインインします。 ご自分のアカウントに、ネットワーク共同作成者ロール、または「アクセス許可」の攻略ガイドに記載されている適切なアクションが割り当てられているカスタム ロール アカウントが割り当てらていることを確認します。

DDoS Protection プランを作成する

1. Azure Portal の左上隅にある [リソースの作成] を選択します。

2. DDoS という用語を検索します。 [DDoS protection plan](DDoS Protection プラン) が検索結果に表示されたら、それを選択します。

3. ［作成］ を選択します

4. 次の値を入力または選択します。

   設定	値
   サブスクリプション	サブスクリプションを選択します。
   リソースグループ	[新規作成] を選択し、「MyResourceGroup」と入力します。
   名前	「MyDdosProtectionPlan」と入力します。
   リージョン	「米国東部」と入力します。

5. [確認および作成]、[作成] の順に選択します

仮想ネットワークの DDoS 保護を有効にする

新しい仮想ネットワークに対して有効にする

1. Azure Portal の左上隅にある [リソースの作成] を選択します。

2. [ネットワーク] を選択してから、 [仮想ネットワーク] を選択します。

3. [次へ] を選択し、次の値を入力または選択します。

   設定	値
   サブスクリプション	サブスクリプションを選択します。
   リソースグループ	[既存のものを使用] 、 [MyResourceGroup] の順に選択します。
   名前	「MyVnet」と入力します。
   リージョン	「米国東部」と入力します。

4. [セキュリティ] ウィンドウで、Azure DDoS ネットワーク保護ラジオで [有効にする] を選択します。

5. [DDoS 保護プラン] ウィンドウから "MyDdosProtectionPlan" を選択します。 選択するプランは、仮想ネットワークと同じサブスクリプションまたは異なるサブスクリプションに含めることができますが、両方のサブスクリプションを同じ Microsoft Entra テナントに関連付ける必要があります。

6. [次へ] を選択します。 [IP アドレス] ウィンドウで、[IPv4 アドレス空間の追加] を選択し、次の値を入力します。 その後、 [追加] を選択します。

   設定	値
   IPv4 アドレス空間	「10.1.0.0/16」を入力します。
   サブネット名	[サブネット名] で [サブネットの追加] リンクを選択し、「mySubnet」と入力します。
   サブネットのアドレス範囲	「10.1.0.0/24」と入力します。

7. [確認および作成]、[作成] の順に選択します。

既存の仮想ネットワークに対して有効にする

1. 既存の DDoS Protection プランがない場合は、「DDoS Protection プランを作成する」の手順を実行して DDoS Protection プランを作成します。
2. Azure portal の上部にある [リソース、サービス、ドキュメントの検索 ] ボックスに、仮想ネットワークの名前を入力します。 検索結果に表示されたら、それを選択します。
3. [ 設定] で、[ DDoS Protection] を選択します。
4. [有効化] を選択します。 [DDoS 保護プラン] で、既存のプランまたは手順 1 で作成したプランを選択し、[保存] を選択します。 プランは仮想ネットワークと同じサブスクリプションまたは異なるサブスクリプションに含めることができますが、両方とも同じ Microsoft Entra テナントに関連付ける必要があります。

既存の DDoS 保護プランに仮想ネットワークを追加する

DDoS Protection プラン自体から、既存の仮想ネットワークに対して DDoS 保護プランを有効にすることもできます。 これは、同じプランで保護する仮想ネットワークが複数ある場合に便利です。

1. Azure portal の上部にある [リソース、サービス、ドキュメントの検索] ボックスで DDoS 保護プランを検索します。 表示されたら、それを選択します。
2. 一覧から目的の DDoS 保護プランを選択します。
3. [ 設定] で、[ 保護されたリソース] を選択します。
4. [ 追加] を選択し、サブスクリプション、リソース グループ、仮想ネットワークを選択し、もう一度 [追加] を選択します。

Azure Firewall Manager を使用した Azure DDoS Protection プランの構成

Azure Firewall Manager は、大規模なネットワーク リソースを管理および保護するためのプラットフォームです。 Azure Firewall Manager では、仮想ネットワークを DDoS 保護プランに関連付けることができます。 Azure Firewall Manager を使用した Azure DDoS Protection プランの構成に関するページを参照してください。

すべての仮想ネットワークの DDoS 保護を有効にする

この 組み込みポリシーは 、DDoS ネットワーク保護が有効になっていない定義済みのスコープ内の仮想ネットワークを検出します。 その後、必要に応じて修復タスクを作成して、仮想ネットワークの保護を有効にすることができます。 組み込みポリシーの完全な一覧については、Azure DDoS ネットワーク保護に関する Azure Policy の組み込みポリシー定義に関する記事をご覧ください。

保護されたリソースを表示する

まず、DDoS 保護プランの詳細を確認します。

1. Azure portal の上部にある [リソース、サービス、ドキュメントの検索] ボックスで DDoS 保護プランを検索します。 表示されたら、それを選択します。
2. 一覧から DDoS 保護プランを選択します。
3. [ 設定] で、[ 保護されたリソース] を選択します。
4. [ 保護されたリソース ] ページでは、この DDoS 保護プランで保護されているリソースを表示できます。

仮想ネットワークに対して無効にする:

他の仮想ネットワークで有効にしたまま、仮想ネットワークの DDoS 保護を無効にすることができます。 仮想ネットワークの DDoS 保護を無効にするには、次の手順に従います。

1. Azure portal の上部にある [リソース、サービス、ドキュメントの検索] ボックスで仮想ネットワークを検索します。 表示されたら、それを選択します。
2. [ 設定] で、[ DDoS Protection] を選択します。
3. [DDoS ネットワーク保護の無効化] を選択します。

リソースをクリーンアップする

次のチュートリアルのためにリソースを保持しておくことができます。 不要になった場合は、この例で使用されている MyResourceGroup を削除します。 リソース グループを削除する際に、DDoS 保護プランとその関連リソースもすべて削除します。 この DDoS 保護プランを使用する予定がない場合は、不要な料金が発生しないようリソースを削除してください。

1. Azure portal で [リソース グループ] を探して選択するか、Azure portal のメニューから [リソース グループ] を選択します。

2. フィルター処理するか下へスクロールして、MyResourceGroup リソース グループを見つけます。

3. リソース グループを選択し、 [リソース グループの削除] を選択します。

4. リソース グループの名前を入力して確認し、 [削除] を選択します。

次のステップ

Azure Monitor を使用してメトリック アラートを構成する方法については、チュートリアルに進んでください。