Tutorial: Proteger o Servidor de Rota do Azure com a proteção contra DDoS do Azure

Este tutorial mostra como criar um Servidor de Rota do Azure com a proteção contra DDoS habilitada. A proteção contra DDoS do Azure protege seu Servidor de Rota acessível publicamente contra ataques de Negação de Serviço Distribuído, garantindo a operação contínua da infraestrutura de roteamento de rede.

Ao final deste tutorial, você terá uma implantação de Route Server totalmente funcional protegida pela DDoS Protection do Azure, pronta para emparelhamento com o protocolo BGP (Border Gateway Protocol) com seus dispositivos virtuais de rede.

Importante

A Proteção contra DDoS do Azure gera um custo quando você usa o SKU da Proteção de Rede. Os encargos excedentes só se aplicam se mais de 100 IPs públicos estiverem protegidos no locatário. Exclua os recursos deste tutorial se você não for mais usá-los. Para obter informações sobre preços, consulte os preços da Proteção contra DDoS do Azure. Para obter mais informações sobre a proteção contra DDoS do Azure, confira O que é a Proteção contra DDoS do Azure?

Neste tutorial, você aprenderá como:

  • Criar um plano de proteção contra DDoS
  • Criar um Servidor de Rota do Azure
  • Habilitar o plano e a proteção contra DDoS
  • Configurar o Servidor de Rota

Pré-requisitos

Criar um plano de proteção contra DDoS

Nesta seção, você criará um plano de proteção contra DDoS do Azure associado à rede virtual mais adiante neste tutorial.

  1. Entre no portal do Azure.

  2. Na caixa de pesquisa na parte superior do portal, insira a proteção contra DDoS. Selecione planos de proteção DDoS nos resultados da pesquisa.

  3. Selecione + Criar.

  4. Na guia Noções básicas de Criar um plano de proteção contra DDoS, insira ou selecione as seguintes informações:

    Configuração Valor
    Detalhes do projeto
    Subscrição Selecione sua assinatura.
    Grupo de recursos Selecione Criar novo.
    Insira myResourceGroup.
    Selecione OK.
    Detalhes da instância
    Nome Insira myDDoSProtectionPlan.
    Região Selecione Leste dos EUA.

  5. Selecione Examinar + criar.

  6. Selecione Criar.

Criar um Servidor de Rota

Nesta seção, você criará um Servidor de Rota do Azure junto com sua rede virtual e endereço IP público. O processo de implantação cria todos os componentes de rede necessários.

  1. Na caixa de pesquisa na parte superior do portal, insira Servidor de Rota. Selecione Servidores de Rota nos resultados da pesquisa.

  2. Selecione + Criar.

  3. Na guia Básico de Criar um servidor de rota, insira ou selecione as seguintes informações:

    Configuração Valor
    Detalhes do projeto
    Subscrição Selecione sua assinatura.
    Grupo de recursos Selecione myResourceGroup.
    Detalhes da instância
    Nome Insira myRouteServer.
    Região Selecione Leste dos EUA.
    Configurar redes virtuais
    Rede virtual Selecione Criar novo.
    Em Nome, insira myVNet.
    Deixe o Espaço de endereço e Sub-redes pré-preenchidos. No exemplo deste artigo, o espaço de endereço é 10.1.0.0/16 com a sub-rede 10.1.0.0/24.
    Em Sub-redes, para o nome da sub-rede, insira RouteServerSubnet.
    No campo Faixa de endereços, insira 10.1.1.0/27.
    Selecione OK.
    Sub-rede Selecione RouteServerSubnet (10.1.1.0/27).
    Endereço IP público
    Endereço IP público Selecione Criar novo.
    Nome do endereço IP público Insira myPublicIP.

  4. Selecione Examinar + criar.

  5. Selecione Criar.

    Observação

    A implantação do Servidor de Rota pode levar até 30 minutos.

Habilitar a proteção contra DDoS

A Proteção de Rede de DDoS do Azure está habilitada no nível da rede virtual em que o recurso que você deseja proteger reside. Nesta seção, você habilita a proteção contra DDoS para a rede virtual que hospeda seu Servidor de Rota.

  1. Na caixa de pesquisa na parte superior do portal, insira a rede virtual. Selecione Redes virtuais nos resultados da pesquisa.

  2. Selecione myVNet.

  3. Selecione a proteção contra DDoS em Configurações.

  4. Selecione Habilitar.

  5. Na lista de suspensa Plano de proteção contra DDoS, selecione myDDoSProtectionPlan.

  6. Clique em Salvar.

    Observação

    Depois de habilitar a proteção contra DDoS, pode levar alguns minutos para que a proteção se torne totalmente ativa.

Configurar um emparelhamento com a NVA

Nesta seção, você configurará o emparelhamento via protocolo BGP entre o Servidor de Rota e a NVA (solução de virtualização de rede). Esta etapa estabelece a relação de roteamento que permite a troca de rotas dinâmica.

  1. Na caixa de pesquisa na parte superior do portal, insira Servidor de Rota. Selecione Servidores de Rota nos resultados da pesquisa.

  2. Selecione myRouteServer.

  3. Em Configurações, selecione Pares.

  4. Selecione + Adicionar.

  5. Insira ou selecione as seguintes informações em Adicionar par:

    Configuração Valor
    Nome Insira um nome descritivo para o emparelhamento entre o Servidor de Rota e a NVA.
    ASN Insira o ASN (Número do Sistema Autônomo) de sua NVA.
    Endereço IPv4 Insira o endereço IP da NVA que você deseja emparelhar com o Servidor de Rota.

  6. Selecione Adicionar.

    Observação

    Verifique se a NVA está configurada com um ASN diferente do Servidor de Rota (65515) e que oferece suporte a eBGP com múltiplos saltos.

Conclua a configuração na NVA

Para estabelecer uma sessão BGP com seu Servidor de Roteamento, você precisa dos endereços IP de pares do Servidor de Roteamento da Azure e do ASN. Essas informações são necessárias para concluir a configuração na sua solução de virtualização de rede.

  1. Na caixa de pesquisa na parte superior do portal, insira Servidor de Rota. Selecione Servidores de Rota nos resultados da pesquisa.

  2. Selecione myRouteServer.

  3. Na página Visão geral do myRouteServer, observe os valores de ASN e IPs Par.

    Captura de tela da página de visão geral do Servidor de Rota mostrando informações do ASN e IP do Par.

  4. Use esses valores para configurar o emparelhamento via protocolo BGP na sua NVA:

    • Configurar duas sessões BGP (uma para cada IP par)
    • Usar o ASN do Servidor de Rota como ASN remoto
    • Verifique se o ASN da NVA é diferente do 65515

    Dica

    Para a redundância ideal, estabeleça sessões BGP com ambos os IPs pares fornecidos pelo Servidor de Rota.

Limpar os recursos

Se você não quiser continuar usando esses recursos, exclua o grupo de recursos para remover a rede virtual, o plano de proteção contra DDoS, o Servidor de Rota e todos os recursos associados para evitar encargos contínuos.

  1. Na caixa de pesquisa na parte superior do portal, insira myResourceGroup. Selecione myResourceGroup nos resultados da pesquisa.

  2. Selecione Excluir grupo de recursos.

  3. Em Excluir um grupo de recursos, insira myResourceGroup e selecione Excluir.

  4. Selecione Excluir para confirmar a exclusão do grupo de recursos e todos os seus recursos.

    Aviso

    Essa ação exclui permanentemente todos os recursos no grupo de recursos. Verifique se você não precisa mais desses recursos antes de continuar.

Próxima etapa

Agora que você tem uma implantação do Servidor de Rota protegida por DDoS, saiba como configurá-la e gerenciá-la efetivamente:

Configurar e gerenciar o Servidor de Rota do Azure

  • Last updated on