Alibaba Cloudは、Anti-DDoS Pro/Premiumによって保護されたEIPアドレス (EIP) を提供します。 Anti-DDoS Pro/Premiumで保護されたEIPは、Tbit/sレベルでDDoS攻撃を軽減でき、大規模なゲームや主要なライブストリーミング活動など、高いセキュリティと低遅延を必要とするシナリオに最適です。 このトピックでは、Anti-DDoS Pro/Premiumによって保護されたEIPをApplication Load Balancer (ALB) インスタンスに関連付ける方法について説明します。 このようにして、ALBインスタンスはEIPを使用してインターネットにアクセスできます。
Anti-DDoS Pro/Premiumによって保護されたEIPの紹介
Alibaba Cloudは、Anti-DDoS Pro/Premiumによって保護されたEIPを提供しています。 Anti-DDoS Pro/Premiumで保護されているEIPは、EIPコンソールで購入できます。 Anti-DDoS Pro/Premiumによって保護されたEIPは、Tbit/sレベルでDDoS攻撃を軽減できます。 Anti-DDoS Pro/Premiumで保護されたEIPを使用する場合、追加の設定を実行したり、サービスを提供するためにALBインスタンスで使用されるIPアドレスを変更したりする必要はありません。 詳細については、「Anti-DDoS Pro/Premiumによって保護されたEIPを使用するためのベストプラクティス」をご参照ください。
制限事項
ALBインスタンスとAnti-DDoS Pro/Premiumで保護されているEIPは、同じリージョンに属している必要があります。
Anti-DDoS Pro/Premiumで保護されたEIPの制限
BGP (マルチISP) タイプの従量課金制EIPのみがAnti-DDoS Pro/Premiumをサポート.
IPアドレスプールを指定してAnti-DDoS Pro/Premiumで保護されたEIPを作成する場合、IPアドレスプールはAnti-DDoS Pro/Premiumタイプである必要があります。
次のリージョンでは、Anti-DDoS Pro/Premiumをサポートしています。
Anti-DDoS Pro/Premiumによって保護されたEIPをサポートするリージョン
地域
リージョン
中国
中国 (北京) 、中国 (杭州) 、中国 (上海) 、中国 (香港)
アジア太平洋
フィリピン (マニラ) 、日本 (東京) 、シンガポール、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ)
ヨーロッパおよびアメリカ
米国 (バージニア州) 、米国 (シリコンバレー) 、ドイツ (フランクフルト) 、英国 (ロンドン)
Anti-DDoS Pro/PremiumタイプのIPアドレスプールをサポートするリージョン
地域
リージョン
中国
中国 (香港)
アジア太平洋
フィリピン (マニラ) 、日本 (東京) 、シンガポール、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ)
ヨーロッパおよびアメリカ
米国 (バージニア) 、米国 (シリコンバレー) 、ドイツ (フランクフルト) 、英国 (ロンドン) 。
Anti-DDoS Pro/Premiumで保護されたEIPとALBインスタンスの関連付けの制限
ALBインスタンスのゾーンごとに、Anti-DDoS Pro/Premiumによって保護されているEIPを指定する必要があります。
ALBインスタンスに関連付けるAnti-DDoS Pro/Premiumによって保護されているEIPは、インターネット共有帯域幅インスタンスに関連付けることはできません。 Anti-DDoS Pro/Premiumによって保護されたEIPをALBインスタンスに関連付けた後、ALBコンソールでインターネット共有帯域幅インスタンスをALBインスタンスに関連付けることができます。 BGP (マルチISP) 回線を使用するインターネット共有帯域幅インスタンスのみがサポートされます。
課金ルール
Anti-DDoS Pro/Premiumによって保護されたEIPをALBインスタンスに関連付けると、Anti-DDoSによってセキュリティ保護料金が請求されます。
課金項目 | 計算式 | 関連ドキュメント |
インスタンス料金 |
| |
ロードバランサー容量ユニット (LCU) 料金 |
| |
インターネットデータ転送料金 | 内部対応のALBインスタンスを使用している場合、インターネットデータ転送料金は請求されません。 インターネット対応のALBインスタンスを使用している場合にのみ、インターネットデータ転送料金が請求されます。 Anti-DDoS Pro/Premiumによって保護されたEIPをALBインスタンスに関連付けると、EIPのインスタンス料金とデータ転送料金が課金されます。 詳細については、「料金」をご参照ください。 | |
セキュリティ保護料金 | Anti-DDoS Pro/Premiumによって保護されたEIPをALBインスタンスに関連付けると、セキュリティ保護料金が課金されます。 詳細については、「Anti-DDoSオリジン2.0 (従量課金) 」をご参照ください。 警告 Anti-DDoS Pro/Premiumで保護されたEIPを購入するには、従量課金制のAnti-DDoS Originを有効化する必要があります。 従量課金のAnti-DDoS Originは、毎月有効化されます。 サービスを無効にするには、少なくとも30日間サービスを使用する必要があります。 |
前提条件
VPC1という名前の仮想プライベートクラウド (VPC) が作成されます。 詳細は、VPC の作成をご参照ください。
VPC1という名前の仮想プライベートクラウド (VPC) が作成されます。 ECS01とECS02という名前の2つのElastic Compute Service (ECS) インスタンスがVPC1に作成されます。
ECSインスタンスの作成方法の詳細については、「ウィザードを使用したインスタンスの作成」をご参照ください。
次のコードブロックは、ECS01およびECS 02にテストアプリケーションをデプロイする方法を示しています。
RS01という名前のALBサーバーグループが作成され、ECS01とECS02がバックエンドサーバーとしてサーバーグループに追加されます。 詳細については、「サーバーグループの作成と管理」をご参照ください。
ALBインスタンスをインターネット共有帯域幅インスタンスに関連付ける場合は、インターネット共有帯域幅インスタンスを購入する必要があります。 この例では、BGP (マルチISP) 回線を使用するインターネット共有帯域幅インスタンスを購入します。 詳細については、「インターネット共有帯域幅インスタンスの購入」をご参照ください。
手順
ステップ1: Anti-DDoS Pro/Premiumによって保護されたEIPを作成する
Anti-DDoS Pro/Premiumで保護されたEIPをALBインスタンスに関連付ける前に、EIPコンソールでAnti-DDoS Pro/Premiumで保護されたEIPを購入する必要があります。
Elastic IP Addressコンソールにログインします。
Elastic IP アドレスページで、EIPの作成をクリックします。
Anti-DDoS Pro/Premiumで保護されたEIPを初めて購入するときは、
Elastic IPページのAnti-DDoS Origin (従量課金) で、従量課金のAnti-DDoS Originを有効化します。
警告Anti-DDoS Pro/Premiumで保護されたEIPを購入するには、従量課金制のAnti-DDoS Originを有効化する必要があります。 従量課金のAnti-DDoS Originは、毎月有効化されます。 サービスを無効にするには、少なくとも30日間サービスを使用する必要があります。
従量課金のAnti-DDoS Originを有効化した後、Traffic Securityコンソールにログインし、 または を選択して、Anti-DDoS Originインスタンスの詳細を表示できます。
Anti-DDoS Originが有効化されたら、次の情報に基づいてEIPを設定し、今すぐ購入をクリックし、そして支払いを完了します。
次の表に、このトピックに関連するパラメーターを示します。 詳細については、「EIPの申請」をご参照ください。
パラメーター
説明
[課金方法]
EIPの課金方法を選択します。 この例では、従量課金が選択されています。
リージョン
EIPを作成するリージョンを選択します。
EIPがALBインスタンスと同じリージョンにデプロイされていることを確認します。 この例では、中国 (杭州) が選択されています。
ラインタイプ
EIPのラインタイプを選択します。 この例では、BGP(Multi ISP) が選択されています。
セキュリティ保護
ビジネス要件に基づいてAnti-DDoSのエディションを選択します。 この例では、Anti-DDoS (Enhanced) が選択されています。
デフォルト: Anti-DDoS Origin Basic。DDoS攻撃を最大5 Gbit/sで軽減できます。
Anti-DDoS (Enhanced): Anti-DDoS Pro/Premium。Tbit/sレベルでDDoS攻撃を軽減できます。
データ転送
データ転送の計測方法を選択します。 この例では、[ペイ・バイ・データ転送] が選択されています。
数量
購入するEIPの数を選択します。 購入するEIPの数は、ALBインスタンスのゾーン数と同じである必要があります。
手順2: Anti-DDoS Pro/Premiumによって保護されたEIPをALBインスタンスに関連付ける
新しいALBインスタンス
ALBインスタンスを購入すると、Anti-DDoS Pro/Premiumで保護されているEIPをALBインスタンスに関連付けることができます。
ALBコンソールにログインします。
インスタンスページで、ALBの作成をクリックします。
[Application Load Balancer] ページで、次のパラメーターを設定し、[今すぐ購入] をクリックします。
次のセクションでは、このトピックに関連するパラメーターについて説明します。 その他のパラメーターの詳細については、「ALBインスタンスの作成」をご参照ください。
ネットワークタイプ: [インターネット] を選択します。
VPC: VPC1を選択します。
ゾーン: ゾーンとvSwitchを選択し、Anti-DDoS Pro/Premiumで保護されているEIPを各ゾーンに割り当てます。
説明ALBはマルチゾーン展開をサポートしています。 選択したリージョンで2つ以上のゾーンがサポートされている場合は、少なくとも2つのゾーンを選択して高可用性を確保します。 ALBは追加料金を請求しません。
ゾーンで使用できるvSwitchがない場合は、ALBコンソールの指示に従ってvSwitchを作成します。
ALBインスタンスのリスナーを設定します。 この例では、HTTPリスナーが設定され、ALBサーバーグループRS01が選択されています。
インスタンス ページに戻ります。 管理するインスタンスの 操作 列で、リスナーの作成 をクリックします。
リスナーの設定ステップで、パラメータを設定し、次へをクリックします。
次のセクションでは、このトピックに関連するパラメーターについて説明します。 他のパラメーターにはデフォルト値を使用します。 詳細については、「HTTPリスナーの追加」をご参照ください。
リスナープロトコルの選択: [HTTP] を選択します。
リスナーポート: 80を入力します。
サーバーグループステップで、RS01を選択し、次へをクリックします。
構成レビューステップで、設定を確認し、送信をクリックします。
既存の内部対応ALBインスタンス
Anti-DDoS Pro/Premiumで保護されているEIPを内部対応のALBインスタンスに関連付ける場合は、ALBインスタンスのネットワークタイプを変更してから、Anti-DDoS Pro/Premiumで保護されているEIPをALBインスタンスに割り当てることができます。
ALBコンソールにログインします。
上部のナビゲーションバーで、ALBインスタンスがデプロイされているリージョンを選択します。 この例では、中国 (杭州) が選択されています。
[インスタンス] ページで、管理する内部対応のALBインスタンスを見つけ、インスタンスIDをクリックします。
On theインスタンスの詳細タブ、検索ネットワークタイプで、基本情報セクションをクリックし、ネットワークタイプの変更プライベートIPv4アドレスの右側に
[ネットワークタイプの変更] ダイアログボックスの 「手順1: Anti-DDoS Pro/Premiumで保護されたEIPを作成する」で作成したAnti-DDoS Pro/Premiumで保護されたEIPを [EIPの割り当て] ドロップダウンリストから選択します。 Anti-DDoS Pro/Premiumによって保護されたEIPを各ゾーンに割り当てたら、[OK] をクリックします。
既存のインターネット向けALBインスタンス
Anti-DDoS Origin Basicによって保護されているEIPがインターネット向けのALBインスタンスに関連付けられており、Anti-DDoS Pro/Premiumによって保護されているEIPをALBインスタンスに関連付ける場合は、次の手順を実行します。
ALBインスタンスのネットワークタイプをインターネット接続から内部接続に変更します。
ネットワークタイプを再度変更し、Anti-DDoS Pro/Premiumで保護されているEIPを内部対応のALBインスタンスに割り当てます。
デフォルトでは、新しいインターネット向けALBインスタンスは、データ転送課金方式を使用する従量課金EIPに関連付けられます。 EIPはBGP (マルチISP) 回線を使用し、Anti-DDoS Origin Basicによって保護されています。
手順1: インターネット向けALBインスタンスを内部向けALBインスタンスに変更する
[インスタンス] ページで、インターネットに接続されているALBインスタンスを見つけ、インスタンスIDをクリックします。
インスタンスの詳細タブで、基本情報セクションでネットワークタイプを見つけ、パブリックIPv4アドレスの右側にある ネットワークタイプの変更をクリックします。
ネットワークタイプの変更メッセージで、変更の影響を確認し、OKをクリックします。
変更が有効になるまでに約1分かかります。 [インスタンスの詳細] タブの [ネットワークタイプ] パラメーターに [プライベート] が表示されると、ネットワークタイプが変更されます。
手順2: 内部対応のALBインスタンスをインターネット対応のALBインスタンスに変更する
[インスタンス] ページで、管理する内部対応のALBインスタンスを見つけ、インスタンスIDをクリックします。
インスタンスの詳細タブで、基本情報セクションでネットワークタイプを見つけ、プライベートIPv4アドレスの右側に あるネットワークタイプの変更をクリックします。
[ネットワークタイプの変更] ダイアログボックスの 「手順1: Anti-DDoS Pro/Premiumで保護されたEIPを作成する」で作成したAnti-DDoS Pro/Premiumで保護されたEIPを [EIPの割り当て] ドロップダウンリストから選択します。 Anti-DDoS Pro/Premiumによって保護されたEIPを各ゾーンに割り当てたら、[OK] をクリックします。
手順3: (オプション) インターネット共有帯域幅インスタンスをALBインスタンスに関連付ける
より高い帯域幅が必要な場合は、ALBインスタンスをインターネット共有帯域幅インスタンスに関連付ける必要があります。
[インスタンス] ページで、管理するインスタンスを見つけ、次のいずれかの方法を使用して、インターネット共有帯域幅インスタンスをALBインスタンスに関連付けます。
[操作] 列で
を選択するか、[インターネット共有帯域幅] 列で [関連付け] をクリックします。管理するALBインスタンスのIDをクリックします。 [インスタンスの詳細] タブで、[課金情報] セクションを見つけ、[インターネット共有帯域幅との関連付け] をクリックします。
EIP帯域幅プランの関連付けダイアログボックスで、インターネット共有帯域幅インスタンスを選択し、OKをクリックします。
ステップ4: DNSレコードを作成する
ALBでは、CNAMEレコードを使用して、共通ドメイン名をALBインスタンスのパブリックドメイン名にマッピングできます。 これにより、ネットワークリソースへのアクセスが容易になります。 詳細については、「CNAMEレコードの設定」をご参照ください。
左側のナビゲーションウィンドウで、を選択します。
インスタンスページで、ALBインスタンスのドメイン名をコピーします。
CNAMEレコードを作成するには、次の操作を実行します。
Alibaba Cloud DNSコンソールにログインします。
DNSの管理ページで、ドメイン名の追加をクリックします。
ドメイン名の追加ダイアログボックスで、ホストのドメイン名を入力し、OK をクリックします。
重要CNAMEレコードを作成する前に、TXTレコードを使用してドメイン名の所有権を確認する必要があります。
管理するドメイン名を見つけて、アクション列でDNS設定をクリックします。
DNS設定ページで、レコードの追加をクリックします。
DNSレコードの追加パネルで、次のパラメータを設定し、OKをクリックします。
パラメーター
説明
レコードタイプ
ドロップダウンリストから [CNAME] を選択します。
ホスト名
ドメイン名のプレフィックスを入力します。
DNSリクエストソース
[デフォルト] を選択します。
レコード値
ALBインスタンスのドメイン名であるCNAMEを入力します。
TTL
DNSサーバーにキャッシュされるCNAMEレコードの有効期限 (TTL) 値を選択します。 この例では、デフォルト値が使用されます。
説明CNAMEレコードを作成すると、すぐに有効になります。 レコードを変更すると、レコードはレコードのTTLに基づいて有効になります。 デフォルトでは、TTLは10分です。
作成するCNAMEレコードが既存のレコードと競合する場合は、別のドメイン名を指定することを推奨します。 詳細については、「競合するDNSレコードのルール」をご参照ください。
手順 5:ネットワーク接続のテスト
この例では、ALBインスタンスにHTTPリスナーが設定され、ALBサーバーグループRS01が選択されています。 詳細については、「HTTPリスナーの追加」をご参照ください。
ALBインスタンスのCNAMEレコードを設定した後、ブラウザにステップ4: DNSレコードの作成で指定されたドメイン名を入力して、Anti-DDoS Pro/Premiumで保護されているEIPを使用してALBインスタンスがインターネット接続サービスを提供できるかどうかを確認できます。
ページをリフレッシュすると、リクエストはECS01とECS02の間で切り替えられます。 ECSインスタンスから返された次のメッセージを表示できます。