チュートリアル: Azure DDoS 保護を使用して Azure Route Server を保護する

このチュートリアルでは、DDoS 保護を有効にして Azure Route Server を作成する方法について説明します。 Azure DDoS 保護は、分散型サービス拒否攻撃からパブリックにアクセス可能なルート サーバーを保護し、ネットワーク ルーティング インフラストラクチャの継続的な運用を保証します。

このチュートリアルの終わりまでに、Azure DDoS 保護によって保護された完全に機能するルート サーバーデプロイが用意されており、ネットワーク仮想アプライアンスとのボーダー ゲートウェイ プロトコル (BGP) ピアリングの準備が整いました。

このチュートリアルでは、以下の内容を学習します。

前提条件

• アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。

DDoS 保護プランを作成します

このセクションでは、このチュートリアルの後半で仮想ネットワークに関連付ける Azure DDoS 保護プランを作成します。

1. Azure portal にサインインします。

2. ポータルの上部にある検索ボックスに、「 DDoS protection」と入力します。 検索結果から [DDoS 保護プラン] を選択します。

3. [+ 作成] を選択します。

4. [DDoS 保護プランの作成] の [基本] タブで、次の情報を入力または選択します。

   設定	値
   プロジェクトの詳細
   サブスクリプション	サブスクリプションを選択します。
   リソースグループ	[新規作成] を選択します。 「myResourceGroup」と入力します。 [OK] を選択します。
   インスタンスの詳細
   名前	「myDDoSProtectionPlan」と入力します。
   リージョン	[米国東部] を選択します。

5. [Review + create]\(レビュー + 作成\) を選択します。

6. ［作成］を選択します

ルート サーバーを作成する

このセクションでは、仮想ネットワークとパブリック IP アドレスと共に Azure Route Server を作成します。 デプロイ プロセスでは、必要なすべてのネットワーク コンポーネントが作成されます。

1. ポータルの上部にある検索ボックスに、「Route Server」と入力します。 検索結果から [ルート サーバー] を選びます。

2. [+ 作成] を選択します。

3. [ルート サーバーの作成] の [基本] タブで、次の情報を入力するか選びます。

   設定	値
   プロジェクトの詳細
   サブスクリプション	サブスクリプションを選択します。
   リソースグループ	[myResourceGroup] を選択します。
   インスタンスの詳細
   名前	「myRouteServer」と入力します。
   リージョン	[米国東部] を選択します。
   仮想ネットワークの構成
   仮想ネットワーク	[新規作成] を選択します。 [名前] に「myVNet」と入力します。 事前に設定されている [アドレス空間] と [サブネット] はそのままにします。 この記事の例では、アドレス空間は 10.1.0.0/16 で、サブネットは 10.1.0.0/24 です。 [ サブネット] の [ サブネット名] に「 RouteServerSubnet」と入力します。 アドレス 範囲に「 10.1.1.0/27」と入力します。 [OK] を選択します。
   サブネット	RouteServerSubnet (10.1.1.0/27) を選択します。
   パブリック IP アドレス
   パブリック IP アドレス	[新規作成] を選択します。
   パブリック IP アドレス名	「myPublicIP」と入力します。

4. [Review + create]\(レビュー + 作成\) を選択します。

5. ［作成］を選択します

   注

   Route Server の展開には、最大で 30 分かかることがあります。

DDoS 保護を有効にする

Azure DDoS ネットワーク保護は、保護するリソースが存在する仮想ネットワーク レベルで有効になります。 このセクションでは、ルート サーバーをホストする仮想ネットワークに対して DDoS 保護を有効にします。

1. ポータルの上部にある検索ボックスに、「 仮想ネットワーク」と入力します。 検索結果から、[仮想ネットワーク] を選択します。

2. [myVNet] を選択します。

3. [設定] で [DDoS Protection] を選択します。

4. [有効化] を選択します。

5. DDoS 保護プランのドロップダウンで、myDDoSProtectionPlan を選択します。

6. [保存] を選択します。

   注

   DDoS 保護を有効にすると、保護が完全にアクティブになるまでに数分かかることがあります。

NVA とのピアリングを設定する

このセクションでは、ルート サーバーとネットワーク仮想アプライアンス (NVA) の間で BGP ピアリングを構成します。 この手順により、動的ルート交換を許可するルーティング関係が確立されます。

1. ポータルの上部にある検索ボックスに、「Route Server」と入力します。 検索結果から [ルート サーバー] を選びます。

2. [myRouteServer] を選択します。

3. [設定] で [ピア] を選びます。

4. [+ 追加]を選択します。

5. [Add Peer] (ピアの追加) で、次の情報を入力するか選択します。

   設定	値
   名前	ルート サーバーと NVA の間のピアリングのわかりやすい名前を入力します。
   AS 番号	NVA の自律システム番号 (ASN) を入力します。
   [IPv4 アドレス]	Route Server とピアリングする NVA の IP アドレスを入力します。

6. [追加]を選択します。

   注

   NVA がルート サーバー (65515) とは異なる ASN で構成され、マルチホップ eBGP をサポートしていることを確認します。

NVA の構成を完了する

ルート サーバーとの BGP セッションを確立するには、Azure Route Server のピア IP と ASN が必要です。 この情報は、ネットワーク仮想アプライアンスの構成を完了するために必要です。

1. ポータルの上部にある検索ボックスに、「Route Server」と入力します。 検索結果から [ルート サーバー] を選びます。

2. [myRouteServer] を選択します。

3. myRouteServer の [概要] ページで、ASN とピア IP の値をメモします。

   

4. NVA で BGP ピアリングを構成するには、次の値を使用します。

   • 2 つの BGP セッションを構成する (ピア IP ごとに 1 つ)
   • ルート サーバーの ASN をリモート ASN として使用する
   • NVA の ASN が 65515 と異なっていることを確認する

   ヒント

   最適な冗長性を確保するには、ルート サーバーによって提供される両方のピア IP を使用して BGP セッションを確立します。

リソースをクリーンアップする

これらのリソースを引き続き使用しない場合は、リソース グループを削除して、仮想ネットワーク、DDoS 保護プラン、ルート サーバー、および関連するすべてのリソースを削除して、継続的な料金を回避します。

1. ポータルの上部にある検索ボックスに「 myResourceGroup」と入力します。 検索結果から [myResourceGroup] を選択します。

2. [リソース グループの削除] を選択します。

3. [リソース グループの削除] に「myResourceGroup」と入力し、[削除] を選択します。

4. [削除] を選択して、リソース グループとそのすべてのリソースの削除を確定します。

   Warnung

   このアクションにより、リソース グループ内のすべてのリソースが完全に削除されます。 先に進む前に、これらのリソースが不要になっていることを確認してください。

次のステップ

DDoS で保護されたルート サーバーの展開が済んだので、それを効果的に構成して管理する方法について説明します。