Global Accelerator:中国本土以外でホストされているドメイン名を高速化

手順

手順1: GTMインスタンスの作成

GTMは、クライアントからのネットワークトラフィックをきめ細かく管理できるトラフィック管理サービスです。

GTMインスタンスを作成するには、次の手順を実行します。

1. Alibaba Cloud DNSコンソールにログインします。

2. 左側のナビゲーションウィンドウで、[Global Traffic Manager] をクリックします。

3. [Global Traffic Manager] ページで、[インスタンスの作成] をクリックします。

4. 購入ページで、次のパラメータを設定します。

   1. Edition: Standard EditionまたはUltimate Editionを選択できます。 この例では、Standard Editionが選択されています。

   2. 数量: 購入するGTMインスタンスの数。

   3. サービス時間: GTMインスタンスのサービス期間。

5. [今すぐ購入] をクリックして支払いを完了します。

手順2: アクセスポリシーの設定

アクセスポリシーにより、GAは異なるアクセスポイントから異なるオリジンサーバーにリクエストを転送できます。 セカンダリ配信元サーバーを指定して、ビジネスの要求を満たすこともできます。

GTMのアクセスポリシーを設定するには、次の手順を実行します。

1. Alibaba Cloud DNSコンソールにログインします。

2. 左側のナビゲーションウィンドウで、[Global Traffic Manager] をクリックします。

3. [Global Traffic Manager] ページで、管理するGTMインスタンスを見つけ、[操作] 列の [設定] をクリックします。

4. [設定方法の選択] ダイアログボックスで、[クイックスタート] を選択します。

5. [アクセスポリシーの設定] ステップで、次のパラメーターを設定します。

   1. ポリシー名: アクセスポリシーの名前を入力します。

   2. DNSリクエストソース: リクエストソースを選択します。

      リクエストソースとしてリージョンを指定した後、このリージョンのユーザーがサービスにリクエストを送信すると、GTMは指定されたオリジンサーバーのアドレスプールにリクエストを配信します。 この例では、Globalが選択されています。

   3. プライマリアドレスプールセット: [プライマリアドレスプールセット] タブをクリックします。

      プライマリアドレスプールセットは、GTMがユーザトラフィックを転送するバックエンドサーバーのアドレスプールを指定します。

      [アドレスプールの作成] をクリックし、米国 (シリコンバレー) リージョンのオリジンサーバー1とオリジンサーバー2のIPアドレスをプライマリアドレスプールに追加します。 次に、ヘルスチェックを設定し、プライマリアドレスプールを選択します。 ヘルスチェックの設定の詳細については、

      TCPヘルスチェック

   4. セカンダリアドレスプールセット: セカンダリアドレスプールセットをクリックします。

      セカンダリアドレスプールセットは、プライマリアドレスプールセットで指定されたプライマリアドレスプールが利用できない場合に引き継ぐアドレスプールを指定します。

      [アドレスプールの作成] をクリックし、米国 (シリコンバレー) リージョンのオリジンサーバー3とオリジンサーバー4をセカンダリアドレスプールに追加します。 次に、ヘルスチェックを設定し、セカンダリアドレスプールを選択します。 ヘルスチェックの設定の詳細については、

      TCPヘルスチェック

6. [次へ] をクリックします。

ステップ3: 基本情報の設定

アクセスポリシーを設定した後、GTMインスタンスに関する基本情報を指定する必要があります。 情報には、ドメイン名、CNAME、グローバル有効期間 (TTL) 値、およびアラートグループが含まれます。

GTMに関する基本情報を設定するには、次の手順を実行します。

1. [基本設定] ウィザードで、次のパラメーターを設定します。

   1. インスタンス名: インスタンス名を入力します。

      インスタンス名は、インスタンスが適用されるサービスを識別するために使用されます。

   2. ビジネスドメイン名 (インターネット): クライアントがアクセスするドメイン名を入力します。 この例ではwww.example.usが使用されています。

   3. CNAME (インターネット): CNAMEのタイプを指定します。

      • 割り当てられたCNAME: IPアドレスプールにAlibaba Cloud IPアドレスまたは中国本土以外のIPアドレスのみが含まれている場合は、このオプションを選択します。

      • カスタムCNAME: IPアドレスプールにデータセンターのIPアドレスが含まれている場合は、このオプションを選択します。

      この例では、アドレスプールにはEIPのみが含まれます。 したがって、この例では、[割り当て済みCNAME] が選択されています。

   4. Global TTL Period: ドメイン名が解決されるIPアドレスの有効期間。 この例では1分が選択されています。

      GTMを使用して、ドメイン名に基づいてネットワークトラフィックを管理できます。 グローバルTTLは、インターネットサービスプロバイダ (ISP) のDNSシステムにキャッシュされているIPアドレスのTTLを指定します。 デフォルトでは、グローバルTTLは1分に設定されています。 カスタムドメイン名を使用する場合、グローバルTTLは、カスタムドメイン名のDNSプランでサポートされている最小TTLと同じである必要があります。

   5. アラートグループ: ワークロードで例外が検出されたときに通知が送信される連絡先グループ。

      説明

      • アラートグループを設定していない場合は、CloudMonitorコンソールにログインし、連絡先グループを追加します。 詳細については、「アラート送信先またはアラート送信先グループの作成」をご参照ください。

      • 連絡先グループを設定したが、基本情報をResource Access Management (RAM) ユーザーとして設定する場合は、まずAlibaba Cloudアカウントを使用してRAMユーザーに権限を付与する必要があります。 RAMユーザーが承認された後、RAMユーザーとしてログオンして、アラートグループに送信されたメッセージを読み取ることができます。

2. [完了] をクリックします。

基本情報を設定すると、システムは自動的にCNAMEをドメイン名に割り当てます。 CNAME宛てのユーザーリクエストは、スケジュールされたオリジンサーバーのIPアドレスに解決されます。

ステップ4: WAFの有効化

WAFは、Alibaba Cloud securityのビッグデータテクノロジーに基づくセキュリティ保護を提供します。 SQLインジェクション、クロスサイトスクリプティング (XSS) 攻撃、Webサーバープラグインの脆弱性の悪用、トロイの木馬のアップロード、コアリソースへの不正アクセスなど、Open web Application Security Project (OWASP) で定義されている一般的な攻撃から防御します。 WAFは、Webサイトの資産とデータの公開を防ぎ、Webサイトのセキュリティと可用性を確保するために、ボリュームHTTPフラッド攻撃をブロックします。

この手順では、サブスクリプションWAFインスタンスを購入する方法について説明します。

1. Enter the

   Alibaba Cloud公式WebサイトのWAFプロダクト概要ページを開き、Alibaba Cloudアカウントでログインします。

2. [今すぐ購入] をクリックします。

3. Webアプリケーションファイアウォールの購入ページで、次のパラメーターを設定します。

   1. リージョン: WAFインスタンスがデプロイされているリージョンを選択します。

      この例では、WAFインスタンスは米国 (シリコンバレー) リージョンにデプロイされています。 したがって、Outside Chinese Mainlandが選択されます。

   2. Deployment: WAFのプランを選択します。 この例では、クラウド上WAFが選択されています。

   3. Edition: アクティブ化するWAFのエディションを選択します。

      さまざまなWAFエディションがさまざまなビジネススケールに適用され、さまざまな保護機能を提供します。 詳細については、「WAFデプロイメントプランとエディション」をご参照ください。 この例では、Enterpriseが選択されています。

   4. Extra Domains: 追加のドメイン名の数を指定します。

      複数のドメインまたは10を超えるサブドメインをWAFに追加する場合は、追加のドメイン名を購入できます。 詳細については、「追加ドメイン名」をご参照ください。 この例では、追加のドメイン名は購入されません。

   5. 排他的IPアドレス: 排他的IPアドレスの数を指定します。

      ドメイン名がWAF保護を必要とする場合は、専用IPアドレスを購入できます。 詳細については、「排他的IPアドレス」をご参照ください。 この例では、排他的IPアドレスは購入されません。

   6. Extra Traffic: 追加の帯域幅の値を指定します。 単位：Mbit/秒。

      追加の帯域幅が必要な場合は、追加の帯域幅プランを購入できます。 詳細については、「追加の帯域幅プラン」をご参照ください。 この例では100Mbpsが選択されています。

   7. Intelligent Load Balancing: グローバルロードバランシングを有効にするかどうかを選択します。

      グローバル負荷分散は、マルチノードのレジリエンス技術を使用します。 複数のノードまたは回線に基づいてネットワークトラフィックを分散し、ディザスタリカバリを実装してサービスの信頼性を向上させます。 この例では、[無効] が選択されています。

   8. Log Service: Log Serviceを有効化するかどうかを選択します。

      Log Serviceは、WAFからログデータをリアルタイムで取得し、そのデータをLogstoreに保存します。 ログデータを照会および分析し、オンラインで分析レポートを生成できます。 この例では、[無効] が選択されています。

   9. ボット管理: この機能を有効にするかどうかを選択します。

      ボットトラフィックによって引き起こされるセキュリティ上の脅威を軽減するには、この機能を有効にします。 詳細については、「ボット脅威インテリジェンスルールの設定」および「許可されたクローラー機能の設定」をご参照ください。 この例では、[無効] が選択されています。

   10. アプリ保護: この機能を有効にするかどうかを選択します。

       この機能は、ビジネスがモバイルアプリケーションをサポートしており、信頼できる通信やボットスクリプトの防止など、ビジネスにセキュリティ要件がある場合に有効にできます。 詳細については、「アプリケーション保護の設定」をご参照ください。 この例では、[無効] が選択されています。

   11. データの視覚化: データの視覚化の種類を指定します。

       データ視覚化機能を有効にして、Webサイトのワークロードとセキュリティステータスを表示および分析できます。 詳細については、「データの視覚化」をご参照ください。 この例では、[無効] が選択されています。

   12. サブスクリプション期間: WAFサービスの期間を選択します。

4. [今すぐ購入] をクリックして、注文の支払いを行います。

ステップ5: Webサイト設定の追加

WAFが有効化された後、WAFによって保護されているWebサイトの転送ルールを設定する必要があります。

次の手順を実行して、ユーザートラフィックがWAFによって保護されているドメイン名に到達する前にWAFにルーティングします。

1. Web Application Firewallコンソールにログインします。

2. 上部のナビゲーションバーで、WAFインスタンスのリージョンを選択します。 この例では、Internationalが選択されています。

3. 左側のナビゲーションウィンドウで、資産センター > Webサイトへのアクセス.

4. Web サイトアクセス ページで、[Webサイトアクセス] をクリックします。

5. ドメイン名の追加ウィザードに従って設定を完了します。

   1. ドメイン名: WAF保護を有効にするドメイン名を入力します。 この例ではwww.example.usが使用されています。

      説明

      • www.aliyun.comなどの特定のドメイン名、または * .aliyun.comなどのワイルドカードドメイン名を入力できます。

        • ワイルドカードドメイン名を使用すると、WAFは指定されたワイルドカードドメイン名と一致するドメイン名を自動的に検索します。

        • ワイルドカードドメイン名と特定のドメイン名を入力した場合、WAFは特定のドメイン名の転送ルールと保護ルールを使用します。

      • . eduドメイン名はサポートされていません。 使用する必要があれば. eduドメイン名、テクニカルサポートのためにDingTalkグループ (グループID: 21715946) に参加します。.

   2. プロトコルタイプ: Webサイトでサポートされているプロトコルを選択します。 この例では、HTTPが選択されています。

      説明

      • WebサイトがHTTPSをサポートしている場合は、HTTPSを選択し、Webサイトのパラメーターを設定した後、証明書と秘密鍵ファイルをアップロードします。 詳細については、「WAFへのドメイン名の追加」をご参照ください。

      • HTTPSを選択した後、[詳細設定] をクリックしてHTTP強制リダイレクトとHTTP back-to-origin機能を有効にし、Webサイトへの効率的なアクセスを確保します。 詳細については、「WAFへのドメイン名の追加」をご参照ください。

      • HTTP 2.0リクエストの保護を有効にするには、次の要件が満たされていることを確認します。

        • WAFサービスがBusinessまたはEnterprise Editionにアップグレードされます。

        • HTTPSが選択されています。

   3. 宛先サーバー (IPアドレス): サーバーアドレスタイプを選択し、オリジンサーバーのアドレスを入力します。

      [IP] または [ドメイン名 (CNAMEなど)] を選択できます。 WebサイトがWAFに接続された後、WAFは指定されたアドレスにリクエストをフィルタリングおよびリダイレクトします。 この例では、[ドメイン名 (CNAMEなど)] が選択され、手順3で基本情報を設定した後にGTMに割り当てられたCNAMEが使用されます。 詳細については、「手順3: 基本情報の設定」をご参照ください。

   4. 宛先サーバーポート: Webサイトのサービスポートを指定します。

      WAFは、指定されたポートを介してトラフィックを受信し、Webサイトに転送します。 Webサイトドメイン名宛てのユーザートラフィックは、指定されたサービスポートを介してのみ転送されます。 指定されていないポートの場合、WAFはこれらのポートで受信したトラフィックを配信元サーバーに転送しません。 したがって、これらのポートを有効にしたり、これらのポートに脆弱性がある場合、オリジンサーバーにセキュリティ上の脅威は発生しません。

      重要

      プロトコルとポートは、配信元サーバーのIPアドレスと同じである必要があります。 指定後のポートは変更できません。

      この例では、カスタムポート9000が指定されています。

      説明

      デフォルトでは、WAFは次のポートをサポートしています: HTTPポート80と8080、およびHTTPSポート443と8443。 Business EditionおよびEnterprise EditionのWAFインスタンスは、より多くの非標準ポートをサポートし、保護されたドメイン名によって使用されるポートの総数に対応する制限があります。 詳細については、「WAFでサポートされているポートの表示」をご参照ください。

   5. ロードバランシングアルゴリズム: 複数のオリジンサーバーIPアドレスが指定されている場合は、IPハッシュまたはラウンドロビンを選択します。 WAFは、負荷分散のために指定されたアルゴリズムに基づいて、これらのサーバーにリクエストを配信します。

   6. レイヤー7プロキシ (DDoS Protection/CDNなど) がWAFの前に存在しますか: Webサイトの実際のステータスに基づいて [はい] または [いいえ] を選択します。 この例では、はいが選択されています。

   7. トラフィックマークの有効化: トラフィックマーク機能を有効にするかどうかを指定します。 WAFを通過するリクエストをマークする場合は、この機能を有効にできます。 この機能を有効にすると、WAFを通過するリクエストはマークされ、他のリクエストはマークされません。 この機能を有効にするときは、カスタムHTTPヘッダーフィールドを指定する必要があります。 ヘッダーフィールドは、ヘッダー名とヘッダー値で構成されます。 この例では、この機能が有効になっています。

      説明

      User-Agentなどの標準HTTPヘッダーフィールドは指定しないでください。 それ以外の場合、標準ヘッダーフィールドの値はカスタムフィールドの値で上書きされます。

6. [次へ] をクリックします。 [ドメイン名の追加] ページで、[CNAMEのコピー] をクリックしてWAFのCNAMEを記録します。

   

7. [次へ] をクリックしてWAF IPアドレスを表示し、[完了] をクリックします。 Webサイトリストに戻ります。

ステップ6: GAインスタンスの作成

1. にログインします。GAコンソール.

2. [インスタンス] ページで、[インスタンスの作成] をクリックします。

3. 購入ページで、パラメーターを設定し、今すぐ購入 をクリックして、支払いを完了します。

   パラメーター	説明
   インスタンスタイプ	標準インスタンス を選択します。
   [インスタンスタイプ]	標準GAインスタンスの仕様を選択します。 この例では、[中] が選択されています。 標準GAインスタンスでサポートされている仕様の詳細については、「標準GAインスタンスの仕様」をご参照ください。
   高速化 IP アドレスのタイプ	デフォルトでは、EIPが選択されています。
   帯域幅課金方法	デフォルトでは、帯域幅課金が選択されています。
   リソースグループ	標準GAインスタンスが属するリソースグループを選択します。 リソースグループは、resource Managementの現在のAlibaba Cloudアカウントによって作成されたリソースグループである必要があります。 詳細については、「リソースグループの作成」をご参照ください。
   サブスクリプション期間	標準GAインスタンスのサブスクリプション期間を選択します。 自動更新を選択し自動更新です。(アカウントの残高が十分であることを確認してください。)自動更新機能を有効にします。
   クーポン	クーポンを使用するかどうかを指定します。 デフォルトでは、クーポンを使用しないが選択されています。 ドロップダウンリストからクーポンを選択することもできます。
   サービス利用規約	利用規約を読んで選択します。

ステップ7: 購入して基本帯域幅プランに関連付ける

基本帯域幅プランは、インターネットおよびAlibaba Cloud内でのデータ送信の帯域幅を提供します。 グローバルアクセラレーションを実現するには、基本帯域幅プランを購入し、そのプランをGAインスタンスにバインドする必要があります。

1. [インスタンス] ページで、[基本帯域幅プランの購入] をクリックします。

2. 購入ページで、次のパラメーターを設定し、[今すぐ購入] をクリックして、注文の支払いを行います。

   1. 帯域幅タイプ: 基本帯域幅プランのタイプを選択します。

      この例では、オリジンサーバーのドメイン名は中国以外で登録されており、中国本土のサーバーでホストすることはできません。 Premiumは、中国本土のユーザーが香港のプレミアムインターネットを介して米国 (シリコンバレー) リージョンに展開されているwebサービスにアクセスできるように選択されています。

      基本帯域幅プランでは、次のタイプの帯域幅がサポートされています。 基本帯域幅プランのアクセラレーションタイプ、アクセラレーションエンドポイント、およびアクセラレーションスコープは、次の表に示すように、帯域幅タイプによって異なります。

      帯域幅タイプ	アクセラレーションタイプ	高速化されたエンドポイント	アクセラレーションスコープ
      基本	Alibaba Cloudにデプロイされたアプリケーション	標準GAインスタンス: Alibaba Cloudが提供するパブリックIPアドレス Elastic Compute Service (ECS) インスタンス ENI (Elastic Network Interface) Classic Load Balancer (CLB) (旧称SLB) インスタンス Application Load Balancer (ALB) インスタンス Network Load Balancer (NLB) インスタンス Object Storage Service (OSS) バケット VSwitch 基本的なGAインスタンス: CLBインスタンス セカンダリENI ECS インスタンス NLBインスタンス	デフォルトでは、アクセラレーションエリアとエンドポイントがデプロイされているエリアは中国本土にあります。
      Enhanced	Alibaba Cloudにデプロイされたアプリケーション Alibaba Cloudの外部にデプロイされたアプリケーション	標準GAインスタンス: Alibaba Cloudが提供するパブリックIPアドレス ECS インスタンス ENI CLBインスタンス ALBインスタンス NLBインスタンス OSSバケット VSwitch カスタムIPアドレス カスタムドメイン名 基本GAインスタンス: N/A	デフォルトでは、アクセラレーションエリアとエンドポイントがデプロイされているエリアは中国本土にあります。
      プレミアム	Alibaba Cloudにデプロイされたアプリケーション Alibaba Cloudの外部にデプロイされたアプリケーション	標準GAインスタンス: Alibaba Cloudが提供するパブリックIPアドレス ECS インスタンス ENI CLBインスタンス ALBインスタンス NLBインスタンス OSSバケット VSwitch カスタムIPアドレス カスタムドメイン名 基本的なGAインスタンス: CLBインスタンス セカンダリENI ECS インスタンス NLBインスタンス	デフォルトでは、アクセラレーションエリアとエンドポイントがデプロイされているエリアは中国本土の外にあります。 中国本土と他の地域との間のデータ転送を高速化する場合は、高速化リージョンとして中国 (香港) を選択する必要があります。

      説明

      • 基本帯域幅またはプレミアム帯域幅を提供する基本帯域幅プランのみを、帯域幅課金方式を使用する基本GAインスタンスに関連付けることができます。

      • バックエンドサービスタイプの詳細については、「概要」および「基本的なGAインスタンスのエンドポイントグループとエンドポイントの追加と管理」をご参照ください。

   2. ピーク帯域幅: 基本帯域幅プランの最大帯域幅を指定します。 この例では、10 Mbit/sが指定されています。

   3. リソースグループ: 基本帯域幅プランが属するリソースグループを選択します。

      リソースグループは、resource Managementの現在のAlibaba Cloudアカウントによって作成されたリソースグループである必要があります。 詳細については、「リソースグループの作成」をご参照ください。

   4. 期間: 基本帯域幅プランの期間を選択します。

3. [インスタンス] ページに戻り、手順1で作成したGAインスタンスのIDをクリックします。
4. 表示されるページで、[帯域幅管理] タブをクリックします。

5. 基本帯域幅プランの購入 セクションで、インスタンスを基本帯域幅プランに関連付けます。 をクリックします。

6. [基本帯域幅プランの関連付け] ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。

   • リソースグループ: 基本帯域幅プランが属するリソースグループを選択します。

   • 基本帯域幅プランの関連付け: ドロップダウンリストから基本帯域幅プランを選択します。

   基本帯域幅プランがGAインスタンスに関連付けられると、基本帯域幅プランのステータスが [使用中] に変わります。

ステップ8: 加速したい領域を追加する

基本帯域幅プランを購入した後、アクセラレーションエリアを追加し、エンドユーザーが配置されているアクセラレーションリージョンを指定して、これらのリージョンに帯域幅を割り当てることができます。

1. [インスタンス] ページで、手順6: GAインスタンスの作成で作成したGAインスタンスのIDをクリックします。

2. インスタンスの詳細ページで、[アクセラレーションリージョン] タブをクリックし、アクセスを高速化するリージョンを選択します。 この例では、[アジア太平洋] が選択されています。

3. [アクセラレーションエリア] タブで、[アクセラレーションエリアの追加] をクリックします。

4. [アクセラレーションエリアの追加] ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。

   1. [アクセラレーションリージョンの選択]: ユーザーがいるリージョンを選択します。 この例では、[中国 (香港)] を選択し、[追加] をクリックします。

   2. 帯域幅: アクセラレーションリージョンの最大帯域幅値を指定します。 この例では、10 Mbit/sが指定されています。

   3. IPプロトコル: GAを使用するクライアントのIPバージョンを選択します。 この例では、IPv4が選択されています。

高速化するエリアが追加された後、GAは各高速化エリアに高速化IPアドレスを割り当て、ドメイン名へのアクセスを高速化します。

ステップ9: リスナーを作成する

リスナーは、クライアントからの要求をチェックするために使用されます。 システムは、指定されたプロトコルとポートに基づいて要求を転送します。

1. [インスタンス] ページで、手順6: GAインスタンスの作成で作成したGAインスタンスのIDをクリックします。

2. [リスナー] タブで、[リスナーの追加] をクリックします。
3. リスナーの追加ウィザードの [リスナーとプロトコルの設定] ステップで、次のパラメーターを設定します。 次に、[次へ] をクリックします。

   パラメーター	説明
   リスナー名	リスナーの名前を入力します。 名前は2 ~ 128文字で、英数字、アンダースコア (_) 、ハイフン (-) を使用できます。 先頭は英字とする必要があります。
   プロトコル	リスナーのプロトコルを選択します。 この例では、TCPが選択されています。
   ポート番号	リスナーのポートを指定します。 ポートは、要求を受信し、エンドポイントに転送するために使用される。 有効な値: 1～65499。 この例では、9000が使用されます。
   クライアントのアフィニティ	クライアントアフィニティを有効にするかどうかを指定します。 クライアントアフィニティが有効になっている場合、クライアントがステートフルアプリケーションにアクセスするときに、同じクライアントからのリクエストを同じエンドポイントに送信できます。 この例では、送信元IPアドレスが選択されています。

手順10: エンドポイントグループの設定

1. [エンドポイントグループ名] フィールドにエンドポイントグループの名前を入力します。

2. エンドポイントグループとバックエンドサーバーが属するリージョンを選択します。

   この例では、ネットワークトラフィックはWAFに転送されます。 したがって、米国 (シリコンバレー) が選択されます。

3. Alibaba Cloudにバックエンドサービスをデプロイするかどうかを指定します。 この例では、[Off Alibaba Cloud] が選択されています。

4. クライアントIPアドレスを保持するかどうかを指定します。 この機能を有効にすると、バックエンドサーバーはクライアントのIPアドレスを取得できます。 この例では、この機能は無効になっています。

5. エンドポイントの設定

   1. バックエンドサービスタイプ: ドロップダウンリストから [カスタムドメイン名] を選択します。

   2. バックエンドサービス: 手順5でWebサイトパラメーターを設定した後、WAFによって割り当てられたCNAMEを入力します。 詳細については、以下をご参照ください。

      ステップ5: Webサイト設定の追加。

   3. 重み: エンドポイントの重みを入力します。 有効な値：0～255 。 GAは、重みに基づいてネットワークトラフィックをエンドポイントに分散します。

      警告

      エンドポイントの重みを0に設定すると、Global Acceleratorはエンドポイントへのネットワークトラフィックの配信を停止します。 作業は慎重に行ってください。

6. [次へ] をクリックして設定を確認し、[次へ] をクリックします。

ステップ11: Anti-DDoS Premiumサービスの有効化

Anti-DDoS Premiumを使用して、中国本土以外にデプロイされたサーバーに対するDDoS攻撃を軽減できます。 Anti-DDoS Premiumは、訪問者の最も近くに配置されているスクラビングセンターの攻撃トラフィックを除外し、サービストラフィックのみをオリジンサーバーに転送します。 これにより、ワークロードの安定性が保証されます。

Anti-DDoS Premiumインスタンスを購入するには、次の手順を実行します。

1. Anti-DDoS Proコンソールにログインします。
2. [インスタンス] ページで、[インスタンスの購入] をクリックします。

3. 購入ページで、次のパラメータを設定します。

   1. 製品タイプ: Anti-DDoS Premiumを選択します。

   2. プラン: 購入するAnti-DDoS Premiumインスタンスの軽減プランを選択します。

      • 保険および無制限の軽減プランの詳細については、「保険および無制限の軽減プランのAnti-DDoSプロキシの請求 (中国本土以外) 」をご参照ください。

      • 中国本土アクセス (MCA) の詳細については、「CMA軽減計画のAnti-DDoSプロキシの課金 (中国本土以外) 」をご参照ください。

      この例では、無制限プランが選択されています。

   3. 帯域幅の消去: Anti-DDoS Premiumインスタンスの帯域幅の値を選択します。

      この値は、インスタンスが攻撃を受けていない場合のAnti-DDoSインスタンスの最大トラフィック負荷を指定します。 この例では100Mbpsが選択されています。

   4. Function Plan: プランを選択します。

      [標準関数] または [拡張関数] を選択できます。 標準関数と拡張関数の違いの詳細については、「関数プラン」をご参照ください。 この例では、拡張機能が選択されています。

   5. ドメイン: インスタンスで保護できるHTTP/HTTPSドメイン名の数を選択します。

      保護されたドメイン名の数の詳細については、「Anti-DDoS Proxyインスタンスの購入」をご参照ください。 この例では10が選択されています。

   6. Clean QPS: 1秒あたりのクエリ数 (QPS) を設定します。

      このパラメーターには、攻撃が発生していないときにインスタンスが処理できる同時HTTPまたはHTTPSリクエストの最大数を指定します。 この例では3000が選択されています。

   7. ポート: サポートされているポートの数を選択します。

      保護されたポートの数は、TCP/UDP転送でサポートされるエントリの最大数と同じです。 この例では50が選択されています。

   8. 数量: 購入するインスタンスの数を選択します。

   9. サブスクリプション: Anti-DDoS Premiumインスタンスのサブスクリプション期間を選択します。

4. [今すぐ購入] をクリックして支払いを完了します。

ステップ12: ウェブサイトを追加する

Anti-DDoS Proコンソールで指定されたWebサイトの設定により、WebサイトとAnti-DDoS Proインスタンス間でネットワークトラフィックがどのように送信されるかが定義されます。

保護が必要なWebサイトをAnti-DDoS Proに追加するには、次の手順に従います。

1. Anti-DDoS Proコンソールにログインします。

2. 上部のステータスバーで、サービスがデプロイされているリージョンを選択します。 この例では、中国本土以外が選択されています。

3. 左側のナビゲーションウィンドウで、プロビジョニング > ウェブサイトの設定.
4. On theウェブサイトの設定ページをクリックします。ドメインの追加.

5. [ドメインの追加] ページで、Webサイト情報を入力します。

   1. Function Plan: Webサイトに関連付けるAnti-DDoS Premiumインスタンスのプランを選択します。

      標準と拡張が可能です。 詳細については、「関数プラン」をご参照ください。 この例では、拡張機能が選択されています。

   2. インスタンス: 関連付けるAnti-DDoS Proインスタンスを選択します。 1つのドメインに対して最大8つのインスタンスを選択できます。 ドメインに関連付けられているインスタンスは、同じ関数プランを使用する必要があります。

   3. ドメイン: 保護が必要なWebサイトのドメイン名を入力します。 この例ではwww.example.usが使用されています。

   4. プロトコル: Webサイトでサポートされているプロトコルを選択します。 デフォルトでは、HTTPとHTTPSが選択されています。 このトピックでは、デフォルト設定を使用します。

   5. Server IP: オリジンサーバーのアドレスタイプとアドレスを指定します。 この例では、オリジンサーバーIPが選択され、高速化IPアドレスが使用されます。 高速化IPアドレスは、ステップ8で高速化エリアを追加した後に、GAインスタンスが中国 (香港) リージョンに割り当てるアドレスです。 詳細については、「手順8: 加速する領域を追加する」をご参照ください。

   6. サーバーポート: プロトコルタイプに基づいてサーバーポートを指定します。 このトピックでは、9000が使用されます。

6. [追加] をクリックします。

ステップ13: Sec-Traffic Managerのパラメータを設定する

Anti-DDoS Proは、Anti-DDoS Proと他のクラウドリソース間の対話ルールを設定するためのSec-Traffic Managerを提供します。 特定のシナリオでAnti-DDoS Proをトリガーおよび有効にするルールを設定できます。 これにより、DDoS攻撃が発生していない場合でもワークロードをスムーズに実行でき、DDoS攻撃が発生した場合でもより効果的に保護できます。

Sec-Traffic Managerを設定するには、次の手順に従います。

1. Anti-DDoS Proコンソールにログインします。

2. 上部のナビゲーションバーで、サービスのリージョンを選択します。 この例では、中国本土以外が選択されています。

3. 左側のナビゲーションウィンドウで、プロビジョニング>Sec-Traffic Manager.
4. On theクラウドサービスの相互作用タブをクリックします。ルールの作成.

5. [ルールの作成] パネルで、次のパラメーターを設定します。

   1. インタラクションシナリオ: ルールのインタラクションシナリオを選択します。 このトピックでは、[クラウドサービスインタラクション] を選択します。
   2. 名前: ルール名を入力します。
      名前は1 ~ 128文字で、英数字、アンダースコア (_) を使用できます。

   3. Anti-DDoS Instance IP: 関連付けるAnti-DDoSインスタンスを選択します。 このトピックでは、手順11で作成したAnti-DDoS Premiumインスタンスが選択されています。

   4. Cloud Service: クラウドリソースがデプロイされているリージョンを選択し、クラウドリソースのIPアドレスを入力します。

      [クラウドリソースIPの追加] をクリックすると、IPアドレスを追加できます。 最大20個のIPアドレスを追加できます。

      この例では、cn-hongkongが選択され、高速IPアドレスが使用されています。 高速化IPアドレスは、ステップ8で高速化エリアを追加した後に、GAインスタンスが中国 (香港) リージョンに割り当てるアドレスです。 詳細については、「手順8: 加速する領域を追加する」をご参照ください。

   5. スイッチバックの待ち時間: GAがAnti-DDoS Premiumと対話した後にスイッチバックプロセスをトリガーするための待ち時間。

      頻繁なトラフィックの切り替えを防ぎ、ブラックホールのフィルタリングを無効にするために必要な時間を考慮して、値を少なくとも30分に設定します。 この例では、待機時間は60分に設定されている。

6. [次へ] をクリックします。

7. クリック完成.
   ルールが作成されると、Sec-Traffic ManagerはこのルールにCNAMEアドレスを割り当てます。

ステップ14: Sec-Traffic Managerにドメイン名を解決する

ドメイン名をSec-Traffic Managerに解決するには、次の手順を実行します。

1. にログインします。Alibaba Cloud DNSコンソール.
2. On theDNSの管理ページで、ターゲットドメイン名を見つけ、設定で、アクション列を作成します。

3. [DNS設定] ページで、[レコードの追加] をクリックします。

4. [レコードの追加] ダイアログボックスでレコードを設定し、[確認] をクリックします。

   1. タイプ: レコードタイプを選択します。

      この例では、Webサイトのドメイン名は別のドメイン名にマップされています。 したがって、CNAMEが選択されます。

   2. ホスト: 高速化ドメイン名のプレフィックスを入力します。

      この例では、wwwが入力されます。

   3. ISP回線: ドロップダウンリストからデフォルトを選択します。

   4. Value: このパラメーターをステップ13で割り当てたCNAMEに設定します。 詳細については、「ステップ13: Sec-Traffic Managerのパラメーターの設定」をご参照ください。

   5. TTL: 指定されたドメイン名にマップされているIPアドレスのTTL値。

      この例では、10分 (s) が選択されている。

5. 上記の手順を繰り返して、China Unicom、China Telecom、China Mobile、およびChina Education Networkが提供するISP回線のCNAMEレコードを追加します。

   

ステップ15: 接続をテストする

中国本土のリージョンでは、Windowsオペレーティングシステムを使用して、GAがAnti-DDoS Premium、WAF、およびGTMと対話した後に、GAが提供する保護とアクセラレーションのパフォーマンスをテストします。

1. ドメインnam e www.example.usは、中国本土以外でホストされています。 ブラウザのアドレスバーにこのドメイン名を入力して、米国 (シリコンバレー) リージョンにデプロイされたアプリケーションにアクセスします。

2. CLIを開き、nslookup <web service domain name> コマンドを実行してDNS解決結果を確認します。

   • オリジンサーバーが攻撃されていない場合、GAインスタンスのIPアドレスが返されます。

   • オリジンサーバーが攻撃を受けている場合、Anti-DDoS PremiumインスタンスのIPアドレスが返されます。

3. nslookup <CNAME access domain name in GTM> コマンドを実行し、解決結果を確認します。

   • プライマリサーバーグループが使用可能な場合: ドメイン名は、サーバー1またはサーバー2のIPアドレスに解決されます。 このトピックでは、プライマリサーバーグループには、米国 (シリコンバレー) リージョンにデプロイされているサーバー1とサーバー2が含まれています。

   • プライマリサーバーグループが使用できない場合、サーバー3またはサーバー4のIPアドレスが返されます。 このトピックでは、プライマリサーバーグループには、米国 (シリコンバレー) リージョンにデプロイされたサーバー1とサーバー2が含まれています。

4. 次のコマンドを実行して、ネットワーク遅延をテストします。

   curl -o /dev/null -s -w "time_connect: %{time_connect}\ntime_starttransfer: %{time_starttransfer}\ntime_total: %{time_total}\n" "http[s]:// <webサービスのドメイン名>[:<port>]"

   説明：

   • time_connect: TCP接続を確立するための期間。
   • time_starttransfer: クライアントがリクエストを送信した後、バックエンドサーバーが最初のバイトを送信するまでの期間。
   • time_total: クライアントがリクエストを送信した後、バックエンドサーバーがセッションに応答するまでの期間。