クラウドサービスの対話ルールを作成して、パブリックIPアドレスが割り当てられているAlibaba cloudリソースとAnti-DDoS Proxyが連携できるようにすることができます。 クラウドサービスのインタラクション機能により、WebサイトがAnti-DDoS Proxyインスタンスに追加された後の追加のサービスアクセス遅延が防止されます。
前提条件
サービスは、elastic IPアドレス (EIP) 、Web Application Firewall (WAF) 、Elastic Compute Service (ECS) 、Server Load Balancer (SLB) インスタンスなどのパブリックIPアドレスが割り当てられたAlibaba Cloudリソースを使用します。
Profession軽減プランのAnti-DDoSプロキシ (中国本土) インスタンス、またはInsuranceまたはUnlimited軽減プランのAnti-DDoSプロキシ (中国本土以外) インスタンスが購入されました。
重要インスタンスのクリーン帯域幅と1秒あたりのクエリ (QPS) は、サービスの軽減要件を満たす必要があります。
詳細については、「Anti-DDoS Proxyインスタンスの購入」をご参照ください。
保護のためにWebサイトがインスタンスに追加されます。
詳細については、「1つ以上のWebサイトの追加」をご参照ください。
インスタンスは、サービストラフィックを期待どおりに転送します。
詳細については、「オンプレミスコンピューターでの転送設定の確認」をご参照ください。
背景情報
Anti-DDoS Proxyインスタンスにサービスを追加すると、サービストラフィックはインスタンスによって自動的にスクラブされます。 その後、サービストラフィックのみがオリジンサーバーに転送されます。 攻撃が発生していない場合でも、サービストラフィックはインスタンスによって転送されるため、サービスアクセスの遅延が増加します。
追加の遅延を防ぐには、Sec-Traffic Managerのクラウドサービス対話ルールを作成します。 このルールでは、攻撃が発生した場合にのみ、サービストラフィックをスクラブのためにインスタンスに切り替え、次にオリジンサーバーに切り替えることができます。 攻撃が発生しない場合、サービストラフィックはオリジンサーバーに直接転送されます。
クラウドサービス対話ルールの作成
Anti-DDoS Proxyコンソールにログインします。
上部のナビゲーションバーで、インスタンスのリージョンを選択します。
Anti-DDoS Proxy (中国本土): インスタンスがAnti-DDoS Proxy (中国本土) インスタンスの場合、[中国本土] を選択します。
Anti-DDoS Proxy (Outside Chinese Mainland): インスタンスがAnti-DDoS Proxy (Outside Chinese Mainland) インスタンスの場合、[Outside Chinese Mainland] を選択します。
左側のナビゲーションウィンドウで、 を選択します。
一般的な相互作用タブをクリックします。ルールの追加.
ルールの追加パネルを設定し、クラウドサービスの相互作用ルールとクリック次へ.
図1 Anti-DDoS Proxy (Chinese Mainland) コンソールでのクラウドサービス対話ルールの構成例
パラメーター
説明
相互作用シナリオ
[クラウドサービスインタラクション] を選択します。
ルール名
ルールの名前を入力します。
名前の長さは最大128文字で、英数字、およびアンダースコア (_) を使用できます。
Anti-DDoS Pro
Anti-DDoS Proxyインスタンスを選択します。
相互作用のリソース
クラウドリソースのIPアドレスを入力します。 EIPまたはECS、SLB、またはWAFインスタンスのIPアドレスを入力できます。
[クラウドリソースのIPアドレスの追加] をクリックすると、さらにIPアドレスを追加できます。 最大20個のIPアドレスを追加できます。
説明複数のIPアドレスを追加すると、これらのIPアドレスは指定されたAnti-DDoS Proxyインスタンスに関連付けられます。 IPアドレスの1つが攻撃された場合、サービストラフィックは他のIPアドレスに転送されます。 すべてのIPアドレスが攻撃された場合にのみ、ServiceトラフィックがAnti-DDoS Proxyインスタンスに転送されます。 いずれかのIPアドレスが攻撃されたときにAnti-DDoS Proxyにトラフィックを転送する方法の詳細については、「1つのAnti-DDoS Proxyインスタンスを複数のクラウドリソース間で共有する」をご参照ください。
スイッチバックの待機時間
serviceトラフィックがAnti-DDoS ProxyインスタンスからクラウドリソースのIPアドレスに切り替えられるまでの待機時間を指定します。 攻撃が停止し、指定した待機時間が経過すると、サービストラフィックは自動的にクラウドリソースのIPアドレスに戻ります。
30から120の範囲の値を指定できます。 単位は分です。 値を60に設定することを推奨します。
説明Anti-DDoS Proxyインスタンスに対してブラックホールフィルタリングがトリガーされた場合、またはインスタンスのブラックホールフィルタリングイベントの開始時刻から開始する指定された待機時間が経過する前に、クラウドリソースのサービストラフィックをインスタンスに切り替えることはできません。
クラウドリソースに対してブラックホールフィルタリングがトリガーされた場合、クラウドリソースのサービストラフィックは保護のためにAnti-DDoS Proxyインスタンスに自動的に切り替えられます。 クラウドリソースのブラックホールフィルタリングが無効化されていない場合、サービストラフィックをAnti-DDoS Proxyインスタンスからクラウドリソースに戻すことはできません。 クラウドリソースのブラックホールフィルタリングが無効になっている場合、指定された待機時間に関係なく、サービストラフィックをすぐにクラウドリソースに戻すことができます。
プロンプトに従ってドメイン名のDNSレコードを変更し、完了.
クラウドサービス対話ルールを有効にするには、DNSサービスプロバイダーのWebサイトでドメイン名のDNSレコードを変更して、ドメイン名をSec-Traffic Managerが提供するCNAMEにマップする必要があります。 DNSサービスがAlibaba Cloud DNSによって提供されている場合、Alibaba Cloud DNSコンソールでDNSレコードを変更するだけで済みます。
重要ドメイン名のDNSレコードを変更すると、ネットワークアクセラレーションルールが有効になります。 DNSレコードを変更する前に、オンプレミスのコンピューターのhostsファイルを変更して、クラウドサービスの対話ルールを検証することを推奨します。 これにより、一貫性のないback-to-originポリシーによって引き起こされる非互換性の問題を防ぐことができます。 CDNを使用すると、back-to-originリクエストのオリジンホストを変更できます。 ただし、Anti-DDoSプロキシを使用して、back-to-originリクエストのオリジンホストを変更することはできません。 CDNをAnti-DDoSプロキシと一緒に使用してObject Storage Service (OSS) オブジェクトからデータを取得する場合、Anti-DDoSプロキシによって転送されるサービストラフィックはOSSによって識別できません。 その結果、サービスは中断されます。 オリジンホストの詳細については、「デフォルトのオリジンホストの設定」をご参照ください。
トラフィック転送ルールを検証する方法の詳細については、「オンプレミスのコンピューターで転送設定を検証する」をご参照ください。
ドメイン名のDNSレコードを変更する方法の詳細については、「CNAMEレコードを変更してトラフィックをSec-traffic Managerにリダイレクトする」をご参照ください。
クラウドサービスインタラクションルールを有効にした後、クラウドリソースでDDoS攻撃が発生しない場合、トラフィックはAnti-DDoS Proxyインスタンスによってスクラブされず、クライアントからクラウドリソースに直接転送されます。 クラウドサービスインタラクションルールを有効にした後にクラウドリソースでDDoS攻撃が発生した場合、トラフィックはスクラブのためにAnti-DDoS Proxyインスタンスに自動的に切り替えられ、サービストラフィックのみがクラウドリソースに転送されます。 トラフィックが自動的にAnti-DDoS Proxyインスタンスに切り替えられた後、攻撃が停止し、指定した待機時間が経過すると、インスタンスはサービストラフィックをクラウドリソースに切り替えます。
自動スイッチバックに加えて、サービスの保護要件に基づいて、トラフィックをAnti-DDoS Proxyインスタンスに手動で切り替えてスクラブし、次にクラウドリソースに切り替えることができます。 詳細については、「What to do next」をご参照ください。
次のステップ
クラウドサービス対話ルールの作成後、ルールに対して次の操作を実行できます。
API 操作 | 説明 |
Anti-DDoSへの切り替え | Anti-DDoS Proxyインスタンスによってトラフィックスクラブが自動的にトリガーされない場合、 インスタンスのIPアドレスに対してブラックホールフィルタリングがトリガーされていない場合にのみ、トラフィックをインスタンスに切り替えることができます。 重要 トラフィックをAnti-DDoS Proxyインスタンスに手動で切り替えた後、トラフィックを自動的に関連付けられたクラウドリソースに戻すことはできません。 トラフィックを関連するクラウドリソースに切り替えるには、[スイッチバック] をクリックして、サービストラフィックを手動で切り替える必要があります。 |
スイッチバック | Anti-DDoS Proxyインスタンスによってトラフィックがスクラブされた場合、 重要
関連するすべてのクラウドリソースのIPアドレスに対してブラックホールフィルタリングがトリガーされると、スイッチバックは失敗します。 特定のクラウドリソースに対してブラックホールフィルタリングが無効になっている場合、トラフィックは最初にクラウドリソースに切り替えられます。 残りのクラウドリソースのブラックホールフィルタリングが無効化された後、トラフィックはクラウドリソースに切り替えられます。 |
編集 | クラウドサービスの対話ルールを変更できます。 ただし、ルールの [インタラクションシナリオ] および [ルール名] の値は変更できません。 |
削除 | クラウドサービス対話ルールを削除できます。 警告 インタラクションルールを削除する前に、Webサイトのドメイン名がSec-Traffic ManagerのCNAMEに指定されていないことを確認してください。 そうしないと、ルールの削除後にWebサイトへのアクセスが失敗する場合があります。 |
アイコンが [インタラクション用リソース] 列に表示されます。 ブラックホールフィルタリングがトリガーされる前に、トラフィックを手動で切り替えることができます。 これにより、サービスへの悪影響が軽減されます。
