すべてのプロダクト
Search

このプロダクト

    Anti-DDoS:Anti-DDoS OriginをSLBと共に使用する

    ドキュメントセンター

    Anti-DDoS:Anti-DDoS OriginをSLBと共に使用する

    最終更新日:Aug 02, 2024

    このトピックでは、Server Load Balancer (SLB) をAnti-DDoS Originとともにデプロイして、Elastic Compute Service (ECS) インスタンスでホストされているWebサイトを保護する方法について説明します。 この組み合わせは、Anti-DDoS Origin単独よりも優れた保護を提供します。

    前提条件

    • ECSインスタンスが作成され、webアプリケーションがインストールされています。 詳細については、「はじめに」をご参照ください。

    • Anti-DDoS Originインスタンスが購入されました。 詳細については、「Anti-DDoS Originインスタンスの購入」をご参照ください。

    背景情報

    Anti-DDoS Originを使用してWebサイトを保護するには、WebサイトをホストするECSインスタンスにSLBインスタンスをデプロイすることを推奨します。 次に、保護のためにSLBインスタンスのIPアドレスをAnti-DDoS Originに追加します。 SLBインスタンスは、SLBリスナーでプロトコルとポートが指定されていないトラフィックを破棄できます。 これにより、DDoS攻撃を軽減できます。 上記のソリューションは、リフレクション攻撃、UDP (User Datagram Protocol) フラッド攻撃、および大きなSYNパケットを伴うSYNフラッド攻撃など、さまざまな種類のDDoS攻撃に対して防御します。 リフレクション攻撃には、SSDP (Simple Service Discovery Protocol) 、NTP (Network Time Protocol) 、およびMemcached攻撃が含まれます。

    説明

    • オリジンサーバーにSLBインスタンスがデプロイされている場合、保護のためにSLBインスタンスのIPアドレスをAnti-DDoS originに追加するだけで済みます。 このようにして、オリジンサーバーはAnti-DDoS originによって保護されます。 詳細については、「保護のためのオブジェクトの追加」をご参照ください。

    • SLBインスタンスファミリーには、Application Load Balancer (ALB) インスタンス、Network Load Balancer (NLB) インスタンス、およびClassic Load Balancer (CLB) インスタンスが含まれます。 このトピックでは、例としてCLBインスタンスを使用します。 詳細については、「」をご参照ください。SLBとは何ですか?

    手順

    1. インターネット向けCLBインスタンスを作成します。 詳細については、「CLBインスタンスの作成と管理」をご参照ください。

      インターネット接続のCLBインスタンスを作成するときは、次の項目に注意してください。

      • CLBは、クロスリージョン展開をサポートしていません。 ECSインスタンスとCLBインスタンスが同じリージョンにあることを確認してください。

      • Anti-DDoS Originは、パブリックIPアドレスを持つAlibaba Cloudサービスに対してのみ保護を提供します。 したがって、インターネット向けCLBインスタンスを作成する必要があります。

      詳細については、「 準備」をご参照ください。

      インターネット接続のCLBインスタンスが作成された後、SLBコンソール[インスタンス] ページでCLBインスタンスのIPアドレスを取得できます。 负载均衡实例

    2. インターネットに接続するCLBインスタンスを設定します。 詳細については、「CLBインスタンスの設定」をご参照ください。

      インターネットに接続するCLBインスタンスを設定するときは、次の項目に注意してください。

      • [プロトコルとリスナー] ステップで、必要なリスニングプロトコルとポートのみを指定します。 TCPUDPHTTP、またはHTTPSを選択できます。 リスナーでプロトコルとポートが指定されていないトラフィックは破棄され、バックエンドECSインスタンスに転送されません。

      • [バックエンドサーバー] ステップで、WebサイトをホストするECSインスタンスを選択します。

      説明

      インターネット接続のCLBインスタンスは、内部ネットワークを介してバックエンドECSインスタンスと通信します。 したがって、CLBインスタンスを設定した後、バックエンドECSインスタンスへのインターネットアクセスを無効にすることを推奨します。 CLBインスタンスが正しく機能していることを確認します。

      CLBインスタンスが設定された後、CLBインスタンスは既存の設定に基づいてクライアントからのリクエストをバックエンドECSインスタンスに転送します。

    3. DNS設定を変更します。

      • WebサイトにIPアドレスを使用してアクセスする場合は、手順1で取得したインターネット接続CLBインスタンスのIPアドレスをWebサイトのIPアドレスとして追加できます。 この場合、DNS設定を変更する必要はありません。

      • Webサイトにドメイン名を使用してアクセスする場合は、ステップ1で取得したCLBインスタンスのIPアドレスにドメイン名を解決する必要があります。 詳細については、「Aレコードを使用してドメイン名をIPアドレスに解決する」をご参照ください。

    4. 保護のために、CLBインスタンスのIPアドレスをAnti-DDoS Originインスタンスに追加します。 詳細については、「保護のためのオブジェクトの追加」をご参照ください。

      CLBインスタンスのIPアドレスを追加すると、Anti-DDoS Originインスタンスはベストエフォート保護を提供します。 サービスでDDoS攻撃が発生すると、Anti-DDoS Originインスタンスは自動的にトラフィックをスクラブし、DDoS攻撃を軽減します。