Anti-DDoS:1つ以上のウェブサイトを追加する

使用上の注意

Anti-DDoS Proxy (中国本土) に追加されたWebサイトのドメイン名に対して、インターネットコンテンツプロバイダ (ICP) の申請が完了している必要があります。 WebサイトがAnti-DDoS Proxy (Outside Chinese Mainland) に追加されている場合、ICP申請は必要ありません。

前提条件

• Anti-DDoSプロキシ (中国本土) またはAnti-DDoSプロキシ (中国本土以外) インスタンスが購入されました。 詳細については、「Anti-DDoS Proxyインスタンスの購入」をご参照ください。

• WebサイトをAnti-DDoS Proxy (中国本土) に追加する場合は、Webサイトのドメイン名に対してICP申請が完了していることを確認してください。 ICPファイリングの詳細については、「概要」をご参照ください。

1つ以上のウェブサイトを追加する

1. Anti-DDoS Proxyコンソールにログインします。

2. 上部のナビゲーションバーで、インスタンスのリージョンを選択します。

   • Anti-DDoS Proxy (中国本土): インスタンスがAnti-DDoS Proxy (中国本土) インスタンスの場合、[中国本土] を選択します。

   • Anti-DDoS Proxy (Outside Chinese Mainland): インスタンスがAnti-DDoS Proxy (Outside Chinese Mainland) インスタンスの場合、[Outside Chinese Mainland] を選択します。

3. 左側のナビゲーションウィンドウで、プロビジョニング > ウェブサイト構成 を選択します。

4. ウェブサイト構成 ページで、ドメインの追加 をクリックします。

   説明

   ページの下部にある 一括ドメインインポート をクリックして、一度に複数のWebサイトを追加することもできます。 複数のWebサイトを追加するには、XMLファイルを使用して一度に複数のWebサイト設定をインポートする必要があります。 ファイル形式の詳細については、「XMLファイルのWebサイト設定」をご参照ください。

   1. Webサイトの設定ステップで、パラメーターを設定し、次へ をクリックします。 下表に、各パラメーターを説明します。

      パラメーター	説明
      Function Plan	使用するAnti-DDoS Proxyインスタンスの関数プラン。 有効な値: Standardおよび強化。 説明 Function Planの横にあるアイコンの上にポインターを移動して、標準関数プランと拡張関数プランの違いを表示できます。 詳細については、「標準関数プランと拡張関数プランの違い」をご参照ください。
      インスタンス	使用するAnti-DDoS Proxyインスタンス。 最大8つのインスタンスをドメイン名に関連付けることができます。 ドメイン名に関連付けられたインスタンスは、同じFunction Planを使用する必要があります。
      ドメイン	保護するWebサイトのドメイン名。 ドメイン名は次の要件を満たす必要があります。 ドメイン名には、英数字、ハイフン (-) を使用できます。 ドメイン名は、文字または数字で始まる必要があります。 ドメイン名は、* .aliyundoc.comなどのワイルドカードドメイン名にすることができます。 ワイルドカードドメイン名を入力すると、Anti-DDoS Proxyは、ワイルドカードドメイン名のすべてのサブドメインと自動的に一致します。 ワイルドカードドメイン名と完全一致ドメイン名を設定する場合、完全一致ドメイン名の転送ルールと軽減ポリシーが優先されます。 たとえば、* .aliyundoc.comを設定してwww.aliyundoc.comする場合、www.aliyundoc.comの転送ルールと軽減ポリシーが優先されます。 説明 第2レベルのドメイン名を設定する場合、Anti-DDoS Proxyは第2レベルのドメイン名のみを保護します。 Anti-DDoS Proxyは、第2レベルドメイン名のサブドメインを保護しません。 サブドメインを保護する場合は、サブドメインまたはワイルドカードドメイン名を設定します。 このパラメーターにはドメイン名のみを指定できます。 WebサイトのIPアドレスはサポートされていません。
      プロトコル	Webサイトが使用するプロトコルのタイプ。 有効な値： HTTP HTTPS: WebサイトがHTTPSを使用している場合は、HTTPSを選択します。 Webサイトを保存した後、SSL証明書ファイルをアップロードする必要があります。 詳細については、「SSL証明書のアップロード」をご参照ください。 Webサイトのカスタムトランスポート層セキュリティ (TLS) ポリシーを設定することもできます。 詳細については、「カスタムTLSセキュリティポリシーの設定」をご参照ください。 [HTTPS] を選択した場合、[詳細設定] をクリックして次のオプションを設定できます。 HTTPS リダイレクトの有効化: WebサイトがHTTPとHTTPSの両方をサポートしている場合、この機能は使用できます。 この機能を有効にすると、WebサイトにアクセスするためのすべてのHTTPリクエストは、標準のポート443のHTTPSリクエストにリダイレクトされます。 重要 この機能は、HTTPとHTTPSの両方が選択され、Websocketがクリアされた場合にのみ使用できます。 非標準ポートでHTTP経由でWebサイトにアクセスし、この機能を有効にすると、すべてのHTTPリクエストが標準ポート443のHTTPSリクエストにリダイレクトされます。 HTTPS back-to-origin リクエストのリダイレクトの有効化: WebサイトがHTTPSをサポートしていない場合、この機能を有効にする必要があります。 この機能を有効にすると、すべてのHTTPSリクエストがHTTPリクエストにリダイレクトされてオリジンサーバーに転送され、すべてのWebSocketsリクエストがWebSocketリクエストにリダイレクトされてオリジンサーバーに転送されます。 デフォルトでは、リクエストは標準ポート80経由でリダイレクトされます。 重要 非標準ポートでHTTPS経由でWebサイトにアクセスし、この機能を有効にすると、すべてのHTTPSリクエストが標準ポート80のHTTPリクエストにリダイレクトされます。 HTTP/2 の有効化: HTTP/2を有効にすると、HTTP/2を使用するクライアントをAnti-DDoS Proxyに追加できます。 この場合、Anti-DDoS Proxyはすべてのクライアント要求をHTTP/1.1経由でオリジンサーバーに転送します。 HTTP/2機能の説明: アイドル接続のタイムアウト期間 (http2_idle_timeout): 120秒 接続あたりの最大リクエスト数 (http2_max_requests): 1000 接続ごとの同時ストリームの最大数 (http2_max_concurrent_streams): 4 HPACK解凍後のリクエストヘッダリスト全体の最大サイズ (http2_max_header_size): 256K HPACKで圧縮されたリクエストヘッダフィールドの最大サイズ (http2_max_field_size): 64K Websocket: [Websocket] を選択すると、HTTPが自動的に選択されます。 プロトコルタイプパラメーターにWebsocketのみを選択することはできません。 Websockets: Websocketsを選択すると、HTTPSが自動的に選択されます。 プロトコルタイプパラメーターにWebsocketsのみを選択することはできません。
      サーバー IP	オリジンサーバーのアドレスタイプ。 配信元サーバーのアドレスを入力する必要があります。 有効な値： オリジンサーバー IP: オリジンサーバーのIPアドレス。 最大20個のIPアドレスを入力できます。 複数のIPアドレスを入力する場合は、コンマ (,) で区切ります。 オリジンサーバーがECSインスタンスでホストされている場合は、ECSインスタンスのパブリックIPアドレスを入力します。 ECSインスタンスがServer Load Balancer (SLB) インスタンスに関連付けられている場合、SLBインスタンスのパブリックIPアドレスを入力します。 オリジンサーバーがデータセンターまたは他のクラウドにデプロイされている場合は、ping Domain nameコマンドを実行して、ドメイン名の解決先のパブリックIPアドレスを照会し、パブリックIPアドレスを入力できます。 配信元サーバードメイン: オリジンサーバーのドメイン名。 このオプションは、配信元サーバーとAnti-DDoS proxyの間にWeb Application Firewall (WAF) などのプロキシサービスをデプロイするときに選択します。 プロキシのアドレスも入力する必要があります。 最大10個のドメイン名を入力できます。 複数のドメイン名を入力する場合は、改行で区切ります。 WAFと一緒にAnti-DDoSプロキシを使用する場合は、配信元サーバードメイン を選択し、WAFが割り当てるCNAMEを入力します。 これにより、ウェブサイトの保護が強化されます。 詳細については、「Anti-DDoS ProxyとWAFを使用したWebサイトサービスの保護」をご参照ください。 重要 配信元サーバードメインにObject Storage Service (OSS) バケットのデフォルトパブリックエンドポイントを入力する場合、カスタムドメイン名をバケットにマップする必要があります。 詳細については、「リージョンとエンドポイント」および「カスタムドメイン名のマップ」をご参照ください。 複数のIPアドレスまたはドメイン名を入力した場合、Anti-DDoSプロキシはIPハッシュを使用してWebサイトトラフィックをオリジンサーバーに転送します。 Webサイト設定を保存した後、負荷分散アルゴリズムを変更できます。 詳細については、「Webサイトのback-to-origin設定の変更」をご参照ください。
      サーバーポート	プロトコルの値に基づいて指定するサーバーポート。 HTTPまたはWebsocketを選択した場合、デフォルトのポート80が使用されます。 HTTPS、HTTP/2、またはWebsocketsを選択した場合、デフォルトのポート443が使用されます。 1つ以上のカスタムポートを指定できます。 複数のカスタムポートを指定する場合は、コンマ (,) で区切ります。 カスタムポートを指定するときは、次の制限事項に注意してください。 指定するカスタムポートは、Anti-DDoS Proxyでサポートされている必要があります。 Standard関数プランのAnti-DDoS Proxyインスタンス: HTTPポート: ポート80と8080 HTTPSポート: ポート443と8443 強化機能プランのAnti-DDoS Proxyインスタンス: HTTPポート: 80から65535までの範囲のポート HTTPSポート: 80から65535の範囲のポート Anti-DDoS Proxyインスタンスに追加されるすべてのWebサイトに対して、最大10個のカスタムポートを指定できます。 カスタムポートには、HTTPポートとHTTPSポートが含まれます。 たとえば、WebサイトAとWebサイトBをAnti-DDoS Proxyインスタンスに追加したい場合、WebサイトAはHTTPサービスを提供し、WebサイトBはHTTPSサービスを提供します。 WebサイトAにHTTPポート80と8080を指定した場合、WebサイトBに最大8つのHTTPSポートを指定できます。
      CNAME Reuse	CNAMEの再利用を有効にするかどうかを指定します。 このパラメーターは、Anti-DDoS Proxy (Outside Chinese Mainland) でのみ使用できます。 複数のWebサイトが同じサーバーでホストされている場合は、この機能を使用できます。 CNAMEの再利用が有効になったら、同じサーバーでホストされているドメイン名を、Anti-DDoS Proxy (Outside Chinese Mainland) によって割り当てられたCNAMEにマップするだけで済みます。 詳細については、「CNAME再利用機能の使用」をご参照ください。

   2. [転送設定] ステップで、パラメーターを設定し、次へ をクリックします。 下表に、各パラメーターを説明します。

      パラメーター	説明
      OCSPステープルの有効化	オンライン証明書ステータスプロトコル (OCSP) ステープル機能を有効にするかどうかを指定します。 重要 この機能は、HTTPSをサポートするWebサイトサービスでのみ使用できます。 プロトコルでHTTPSが選択されている場合は、この機能を有効にすることを推奨します。 OCSPは、証明書の失効状態をチェックするために認証局 (CA) によって使用されるインターネットプロトコルである。 クライアントがサーバーとのTLSハンドシェイクを開始するとき、クライアントは証明書とOCSP応答を取得する必要があります。 OCSPステープル機能はデフォルトで無効になっています。 この場合、OCSPクエリは、クライアントのブラウザからCAに送信される。 クライアントがOCSP応答を取得する前に、後続のイベントがブロックされます。 一時的な接続またはネットワーク切断が発生すると、空白のページが長期間表示され、HTTPSをサポートするWebサイトのパフォーマンスが低下します。 OCSPステープル機能が有効化されている場合、Anti-DDoS ProxyはOCSPクエリを実行し、クエリ結果を3,600秒間キャッシュします。 クライアントがサーバーとのTLSハンドシェイクを開始すると、Anti-DDoS ProxyはOCSPの詳細と証明書チェーンをクライアントに返します。 これにより、クライアントからのOCSPクエリによるブロックの問題が防止されます。 OCSP応答は偽造できないため、OCSPはセキュリティリスクを引き起こしません。
      トラフィックマーキング	発信ポート クライアントの送信元ポートを含むHTTPヘッダーの名前。 ほとんどの場合、X-Forwarded-ClientSrcPortヘッダーは、クライアントの発信ポートを記録するために使用されます。 カスタムヘッダーを使用してクライアントの送信元ポートを記録する場合は、送信元ポートのカスタムヘッダーを指定します。 Anti-DDoS Proxyがオリジンサーバーにback-to-originリクエストを転送した後、オリジンサーバーはカスタムヘッダーを解析してクライアントの発信ポートを取得します。 クライアントの発信ポートを取得するステップは、クライアントの発信IPアドレスを取得するステップと同様である。 詳細については、「リクエストの送信元IPアドレスの取得」をご参照ください。 発信IPアドレス クライアントの送信元IPアドレスを含むHTTPヘッダーの名前。 ほとんどの場合、X-Forwarded-Forヘッダーは、クライアントの発信IPアドレスを記録するために使用されます。 カスタムヘッダーを使用してクライアントの送信元IPアドレスを記録する場合は、送信元IPアドレスのカスタムヘッダーを指定します。 Anti-DDoS Proxyがオリジンサーバーにback-to-originリクエストを転送した後、オリジンサーバーはカスタムヘッダーを解析してクライアントの送信元IPアドレスを取得します。 カスタムヘッダー Anti-DDoS Proxyを通過するリクエストにカスタムHTTPヘッダーを追加して、リクエストをマークできます。 カスタムHTTPヘッダーを追加するには、ヘッダー名と値を指定します。 カスタムヘッダーを作成すると、Anti-DDoS Proxyはカスタムヘッダーをback-to-originリクエストに追加します。 このようにして、バックエンドサーバーはback-to-originリクエストの統計分析を実行できます。 次のデフォルトのヘッダーをカスタムヘッダーとして使用しないでください。 X-Forwarded-ClientSrcPort: このヘッダーは、Anti-DDoS Proxy (レイヤ7プロキシ) にアクセスするクライアントの発信ポートを取得するために使用されます。 X-Forwarded-ProxyPort: このヘッダーは、Anti-DDoS Proxy (レイヤー7プロキシ) にアクセスするリスナーのポートを取得するために使用されます。 X-Forwarded-For: このヘッダーは、Anti-DDoS Proxy (レイヤ7プロキシ) にアクセスするクライアントの発信IPアドレスを取得するために使用されます。 User-Agentなどの標準ヘッダーは使用しないでください。 標準ヘッダーを使用すると、元のヘッダーが上書きされます。 最大5つのカスタムHTTPヘッダーを追加できます。
      Back-to-origin スケジューリングアルゴリズム	back-to-originリクエストの負荷分散アルゴリズム。 複数の配信元サーバーアドレスが設定されている場合、このパラメーターは必須です。 配信元サーバーのアドレスは、IPアドレスまたはドメイン名です。 back-to-originリクエストの負荷分散アルゴリズムを変更したり、サーバーアドレスの重みを指定したりできます。 IP hash: このオプションを選択すると、オリジンサーバーの重みを指定できます。 IPハッシュオプションを使用すると、特定のクライアントからの要求を一定期間内に同じオリジンサーバーに転送できます。 これにより、セッションの一貫性が確保されます。 パフォーマンスの優れたオリジンサーバーに対して、より高い重みを指定できます。 このようにして、高性能オリジンサーバーはより多くのリクエストを処理でき、リソースの使用率が最適化されます。 ラウンドロビン: このオプションを選択すると、すべてのリクエストが配信元サーバーに順番に配信されます。 デフォルトでは、すべてのオリジンサーバーの重みは同じです。 配信元サーバーの重みを変更できます。 オリジンサーバーの重みが高いほど、back-to-originリクエストがオリジンサーバーに転送される可能性が高くなります。 最小時間: このオプションを選択した場合、システムはインテリジェントドメインネームシステム (DNS) 解決と最小応答時間アルゴリズムを使用して、リクエストがオリジンサーバーに転送されるときの待ち時間を短縮します。
      その他の設定	[新しい接続タイムアウト期間の設定]: 接続を確立するためのタイムアウト期間。 指定されたタイムアウト期間内に配信元サーバーへの接続を確立できない場合、接続要求は失敗します。 有効な値: 1 ~ 10。 単位は秒です。 [Read Connectionタイムアウト期間の設定]: 読み取りリクエストを処理するためのタイムアウト期間。 指定されたタイムアウト期間内に、確立された接続を介してAnti-DDoS Proxyによって送信された読み取り要求にオリジンサーバーが応答できない場合、読み取り要求は失敗します。 有効な値: 10 ~ 300 単位は秒です。 書き込み接続タイムアウト期間の設定: 書き込みリクエストを処理するためのタイムアウト期間。 Anti-DDoS Proxyがオリジンサーバーにすべてのデータを送信できない場合、または指定されたタイムアウト期間内にオリジンサーバーがデータの処理を開始できない場合、書き込み要求は失敗します。 有効な値: 10 ~ 300 単位は秒です。 Back-to-originリクエストの再試行: スイッチをオンにして、Anti-DDoS Proxyによって要求されたリソースをキャッシュサーバーから取得できない場合、キャッシュサーバーは上位レベルのキャッシュサーバーまたはオリジンサーバーからリソースを取得します。 Back-to-origin Persistent Connections: スイッチをオンにすると、キャッシュサーバーとオリジンサーバー間のTCP接続は一定期間アクティブのままになります。 要求が完了するたびに接続が閉じられるわけではありません。 これは、接続を確立するのに必要な時間とリソースを削減し、要求処理の効率と速度を向上させるのに役立ちます。 [永続的接続を再利用する要求]: Anti-DDoSプロキシがTCP接続を介してオリジンサーバーに送信できるHTTP要求の最大数。 永続的な接続を使用すると、接続を頻繁に確立して閉じるときに発生するレイテンシとリソースの消費を減らすことができます。 有効な値: 10 ~ 1000 WAFまたはSLBインスタンスなどのオリジンサーバーで構成されている永続接続を再利用するリクエストの数以下の値を指定することを推奨します。 これにより、永続的な接続障害によるサービスの利用不能を防ぎます。 アイドル永続接続のタイムアウト期間: Anti-DDoS Proxyがオリジンサーバーに対して確立するアイドル永続TCP接続のタイムアウト期間。 Anti-DDoS Proxyの接続プールで開いているTCP接続を介してデータが送信されない場合、TCP接続はアイドルと見なされます。 指定されたタイムアウト期間内にアイドルTCP接続を介して新しい要求が開始されない場合、接続は閉じられてシステムリソースが解放されます。 有効な値: 10〜30。 単位は秒です。 WAFまたはSLBインスタンスなどのオリジンサーバーで設定されたタイムアウト期間以下の値を指定することを推奨します。 これにより、永続的な接続障害によるサービスの利用不能を防ぎます。 HTTP/2ストリームの上限: サーバーで許可されるHTTP/2ストリームの最大数。 この機能は、HTTP/2が使用されている場合にのみ使用できます。 有効な値: 16 ~ 32。 より大きな値を指定する場合は、アカウントマネージャーに連絡してください。

後続の設定

1. オプションです。 ECSオリジンサーバーのパブリックIPアドレスを変更します。

   配信元サーバーがECSインスタンスであり、配信元IPアドレスが公開されている場合、ECSインスタンスのパブリックIPアドレスを変更する必要があります。 これにより、攻撃者がAnti-DDoSプロキシをバイパスして配信元サーバーを攻撃できなくなります。 詳細については、「ECSオリジンサーバーのパブリックIPアドレスの変更」をご参照ください。

2. Anti-DDoS Proxyインスタンスのback-to-origin CIDRブロックをオリジンサーバーのホワイトリストに追加します。

   ファイアウォールなどのセキュリティソフトウェアがオリジンサーバーにインストールされている場合、Anti-DDoS Proxyインスタンスのback-to-origin IPアドレスをオリジンサーバーのホワイトリストに追加する必要があります。 これにより、Anti-DDoS Proxyからのトラフィックが配信元サーバーのセキュリティソフトウェアによってブロックされないようになります。 詳細については、「back-to-origin IPアドレスによるオリジンサーバーへのアクセスの許可」をご参照ください。

3. 転送設定がコンピューターで有効になるかどうかを確認します。 詳細については、「ローカルコンピューターの転送設定の確認」をご参照ください。

   警告

   転送設定が有効になる前に、サービストラフィックをAnti-DDoS Proxyに切り替えると、サービスが中断される可能性があります。

4. DNSレコードを変更して、サービストラフィックをAnti-DDoS Proxyに切り替えます。

   Anti-DDoS Proxyは、追加したWebサイトにCNAMEを割り当てます。 ドメイン名をCNAMEにマップするには、DNSレコードを変更する必要があります。 このようにして、サービストラフィックを保護のためにAnti-DDoS Proxyに切り替えることができます。 詳細については、「Webサイトのドメイン名をCNAMEまたはIPアドレスにマッピングする」をご参照ください。

5. オプションです。 Webサイトの軽減設定を構成します。

   デフォルトでは、追加されたWebサイトに対してDDoS グローバルミティゲーションとインテリジェント保護が有効になっています。 ウェブサイトサービスの保護 タブで、より多くの機能を有効にできます。 詳細については、「Webサイトサービスの保護」をご参照ください。

   重要

   HTTPフラッド軽減機能を有効にすると、Cookieが挿入される場合があります。 詳細については、「Cookieの挿入」をご参照ください。

6. オプションです。 CloudMonitorでアラートルールを設定します。

   CloudMonitorを使用すると、Anti-DDoS Proxyの一般的なサービスメトリクスと攻撃イベントのしきい値トリガーアラートルールを設定できます。 一般的なサービス指標には、Anti-DDoS Proxyインスタンスのトラフィック量とAnti-DDoS Proxyインスタンスの接続数が含まれます。 トラフィックおよび接続メトリックは、IPアドレスレベルで測定できます。 攻撃イベントには、ブラックホールフィルタリングイベントとトラフィックスクラビングイベントが含まれます。 しきい値トリガーのアラートルールを設定すると、ルールがトリガーされるとCloudMonitorはアラートを報告します。 このようにして、例外を処理し、できるだけ早い機会にビジネスを回復できます。 詳細については、「CloudMonitorのアラートモニタリング機能の使用」をご参照ください。

7. オプションです。 ログ分析機能を設定します。

   Anti-DDoS Proxyは、Webサイトの完全なログを収集して保存します。 これにより、Webサイトから収集されたログを照会および分析できます。 デフォルトでは、ログ分析機能は180日間の完全なログを保存します。 これは、機密保護の要件を満たすのに役立ちます。 詳細については、「ログ分析機能の使用」をご参照ください。

次に何をすべきか

Webサイトの設定の変更

Webサイトのドメイン名以外の1つ以上のWebサイトの設定を変更できます。 たとえば、Webサイトを他のAnti-DDoS Proxyインスタンスに追加したり、配信元IPアドレスを変更したりできます。 一度に複数のWebサイトを変更できます。

• Webサイトの変更

  1. ウェブサイト構成 ページで、変更するWebサイトを見つけ、操作 列の 編集 をクリックします。

  2. 詳細ページで、Webサイトのドメイン名以外のWebサイトを変更し、OK をクリックします。

• 複数のWebサイトの変更

  1. ウェブサイト構成 ページの下部にある 一括ドメイン編集 をクリックします。 一括ドメイン編集 パネルで、Webサイトに関する情報を入力し、次へ をクリックします。

  2. インポートルール パネルで、インポートするWebサイトを選択し、OK をクリックします。

  3. 完了 をクリックします。 ルールの作成が完了しました。 パネルは閉じています。

ウェブサイト設定の削除

1. ウェブサイト構成 ページで、削除するWebサイトを見つけ、操作 列の 削除 をクリックします。

2. 表示されるメッセージで、削除 をクリックします。

関連ドキュメント

通常のサービスアクセス中に発生する遅延増加の問題を解決するには、Sec-Traffic Managerを使用します。 攻撃が発生しない場合、サービストラフィックはレイテンシの増加なしにオリジンサーバーに直接転送されます。 攻撃が発生した場合、トラフィックはスクラブと転送のためにAnti-DDoS Proxyに切り替えられます。 詳細については、「Sec-Traffic Manager」をご参照ください。