Alibaba Cloudは、Anti-DDoS Pro/Premiumによって保護されたEIPアドレス (EIP) を提供します。 Anti-DDoS Pro/Premiumで保護されたEIPは、Tbit/sレベルでDDoS攻撃を軽減でき、大規模なゲームやライブストリーミング活動など、高いセキュリティと低遅延が必要なシナリオに最適です。 このトピックでは、Network Load Balancer (NLB) をAnti-DDoS Pro/Premiumによって保護されたEIPに関連付けて、NLBインスタンスがインターネットにアクセスできるようにする方法について説明します。
Anti-DDoS Pro/Premiumによって保護されたEIPの概要
Alibaba Cloudは、Anti-DDoS Pro/Premiumによって保護されたEIPを提供しています。 Anti-DDoS Pro/Premiumで保護されているEIPは、EIPコンソールで購入できます。 Anti-DDoS Pro/Premiumによって保護されたEIPは、Tbit/sレベルでDDoS攻撃を軽減できます。 Anti-DDoS Pro/Premiumで保護されたEIPを使用する場合、追加の設定を実行したり、サービスを提供するためにNLBインスタンスで使用されるIPアドレスを変更したりする必要はありません。 詳細については、「Anti-DDoS Pro/Premiumによって保護されたEIPを使用するためのベストプラクティス」をご参照ください。
制限事項
NLBインスタンスとAnti-DDoS Pro/Premiumで保護されているEIPは、同じリージョンにデプロイする必要があります。
Anti-DDoS Pro/Premiumで保護されたEIPの制限
BGP (マルチISP) タイプの従量課金制EIPのみがAnti-DDoS Pro/Premiumをサポート
.
IPアドレスプールを指定してAnti-DDoS Pro/Premiumで保護されたEIPを作成する場合、IPアドレスプールはAnti-DDoS Pro/Premiumタイプである必要があります。
次のリージョンでは、Anti-DDoS Pro/Premiumをサポートしています。
Anti-DDoS Pro/Premiumによって保護されたEIPをサポートするリージョン
地域
リージョン
中国
中国 (北京) 、中国 (杭州) 、中国 (上海) 、中国 (香港)
アジア太平洋
フィリピン (マニラ) 、日本 (東京) 、シンガポール、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ)
ヨーロッパおよびアメリカ
米国 (バージニア州) 、米国 (シリコンバレー) 、ドイツ (フランクフルト) 、英国 (ロンドン)
Anti-DDoS Pro/PremiumタイプのIPアドレスプールをサポートするリージョン
地域
リージョン
中国
中国 (香港)
アジア太平洋
フィリピン (マニラ) 、日本 (東京) 、シンガポール、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ)
ヨーロッパおよびアメリカ
米国 (バージニア) 、米国 (シリコンバレー) 、ドイツ (フランクフルト) 、英国 (ロンドン) 。
Anti-DDoS Pro/Premiumによって保護されたEIPへのNLBインスタンスの関連付けの制限
Anti-DDoS Pro/Premiumによって保護されているEIPをNLBインスタンスに関連付けるには、そのEIPがインターネット共有帯域幅インスタンスに関連付けられていないことを確認します。 EIPをインターネット共有帯域幅インスタンスに関連付ける場合は、Server Load Balancer (SLB) コンソールで、EIPをNLBインスタンスに関連付けてから、EIPをインターネット共有帯域幅インスタンスに関連付けることができます。 Anti-DDoS Pro/Premiumによって保護されたEIPは、BGP (マルチISP) 回線を使用するインターネット共有帯域幅インスタンスにのみ関連付けることができます。
課金
NLBインスタンスがAnti-DDoS Pro/Premiumによって保護されたEIPに関連付けられた後、Anti-DDoS Pro/Premiumは保護料金を請求します。
課金項目 | 計算式 | 関連ドキュメント |
インスタンス料金 |
| |
ロードバランサー容量ユニット (LCU) 料金 |
| |
インターネットデータ転送料金 | 内部対応のNLBインスタンスを使用している場合、インターネット経由のデータ転送に対しては課金されません。 インターネット接続NLBインスタンスを使用している場合にのみ、インターネット経由のデータ転送に対して課金されます。 NLBインスタンスがAnti-DDoS Pro/Premiumによって保護されたEIPに関連付けられた後、EIPはインスタンス料金とEIPインスタンスのデータ転送料金を請求します。 詳細については、「従量課金」をご参照ください。 | |
保護料 | NLBインスタンスがAnti-DDoS Pro/Premiumによって保護されたEIPに関連付けられると、保護料金が課金されます。 詳細については、「Anti-DDoSオリジン2.0 (従量課金) 」をご参照ください。 警告 Anti-DDoS Pro/Premiumで保護されたEIPを購入するには、少なくとも30日間、従量課金制でAnti-DDoS Originを有効化する必要があります。 Anti-DDoS Originは毎月課金されます。 最初の30日が経過するまでは、Anti-DDoS Originを無効にすることはできません。 |
前提条件
VPC1という名前の仮想プライベートクラウド (VPC) が作成されます。 詳細は、VPC の作成をご参照ください。
ECS01およびECS02という名前のElastic Compute Service (ECS) インスタンスがVPC1で作成されます。 NGINXサービスは各ECSインスタンスにデプロイされています。
ECSインスタンスの作成方法の詳細については、「ウィザードを使用したインスタンスの作成」をご参照ください。
NGINXサービスのデプロイ方法の詳細については、「CentOS 7にLNMP環境をデプロイする」をご参照ください。
NLBインスタンス用にRS01という名前のサーバーグループが作成されます。 バックエンドサーバーとしてECS01とECS02が指定されています。 詳細については、「サーバーグループの作成と管理」をご参照ください。
NLBインスタンスをインターネット共有帯域幅インスタンスに関連付ける場合は、インターネット共有帯域幅インスタンスを購入する必要があります。 この例では、BGP (マルチISP) 回線を使用するインターネット共有帯域幅インスタンスを購入します。 詳細については、「インターネット共有帯域幅の作成」をご参照ください。
手順
ステップ1: Anti-DDoS Pro/Premiumによって保護されたEIPを作成する
NLBインスタンスをAnti-DDoS Pro/Premiumで保護されたEIPに関連付ける前に、EIPコンソールでAnti-DDoS Pro/Premiumで保護されたEIPを購入する必要があります。
Elastic IP Addressコンソールにログインします。
Elastic IP アドレスページで、EIPの作成をクリックします。
Anti-DDoS Pro/Premiumで保護されたEIPを初めて購入する場合は、
Anti-DDoS Origin (従量課金) で、従量課金の課金方法を使用するAnti-DDos Originを有効化します。
警告Anti-DDoS Pro/Premiumで保護されたEIPを購入するには、まずAnti-DDoS Originを従量課金制で有効化する必要があります。 Anti-DDoS Originは毎月請求されます。 最低サブスクリプション期間は30日です。 最初の30日までは、Anti-DDoS Originを無効にすることはできません。
従量課金制のAnti-DDoS Originを有効化した後、Traffic Securityコンソールにログインします。 左側のナビゲーションウィンドウで、 または を選択して、Anti-DDoS Originインスタンスの詳細を表示します。
EIP購入ページでパラメーターを設定し、今すぐ購入、そして支払いを完了します。
次の表に、このトピックに関連するパラメーターを示します。 詳細については、「EIPの申請」をご参照ください。
パラメーター
説明
課金方法
EIPの課金方法を選択します。 この例では、従量課金が選択されています。
リージョン
EIPを作成するリージョンを選択します。
EIPとNLBインスタンスは同じリージョンにデプロイする必要があります。 この例では、中国 (杭州) が選択されています。
インターネット接続タイプ
EIPのラインタイプを選択します。 この例では、BGP(Multi ISP) が選択されています。
セキュリティ保護
ビジネス要件に基づいてAnti-DDoSのエディションを選択します。 この例では、Anti-DDoS (Enhanced Edition) が選択されています。 有効な値:
デフォルト: Anti-DDoS Origin。DDoS攻撃を最大5 Gbit/sで軽減できます。
Anti-DDoS (Enhanced Edition): Anti-DDoS Pro/Premium。Tbit/sレベルでDDoS攻撃を軽減できます。
ネットワークトラフィック
データ転送の計測方法を選択します。 この例では、[トラフィック別] が選択されています。
数量
購入するEIPの数を選択します。
ステップ2: Anti-DDoS Pro/Premiumによって保護されたEIPにNLBインスタンスを関連付ける
NLBインスタンスを購入するとき、またはNLBインスタンスのネットワークタイプを変更するときに、Anti-DDoS Pro/Premiumによって保護されているEIPにNLBインスタンスを関連付けることができます。 シナリオに基づいて、次のいずれかの方法を選択します。
NLBインスタンスの購入
NLBインスタンスの購入時に、NLBインスタンスをAnti-DDoS Pro/Premiumによって保護されたEIPに関連付けることができます。
NLBコンソールにログインします。
上部のナビゲーションバーで、NLBインスタンスをデプロイするリージョンを選択します。 この例では、中国 (杭州) が選択されています。
[インスタンス] ページで、[NLBの作成] をクリックします。
NLB (従量課金) 国際サイトページで、次のパラメーターを設定し、[今すぐ購入] をクリックし、プロンプトに従って支払いを完了します。
次のセクションでは、このトピックに関連するパラメーターのみについて説明します。 詳細については、「NLBインスタンスの作成」をご参照ください。
ネットワークタイプ: インターネット接続を選択します。
VPC: VPC1を選択します。
ゾーン: ゾーンとvSwitchを選択します。 Anti-DDoS Pro/Premiumによって保護されたEIPは、指定されたゾーンに作成されます。
説明NLBはマルチゾーン展開をサポートしています。 選択したリージョンで2つ以上のゾーンがサポートされている場合は、少なくとも2つのゾーンを選択して高可用性を確保します。 NLBによる追加料金はかかりません。
ゾーンで使用可能なvSwitchがない場合は、プロンプトに従ってNLBコンソールのゾーンにvSwitchを作成します。
NLBインスタンスは、Anti-DDoS Pro/Premiumによって保護されたEIPとAnti-DDoS Originによって保護されたEIPに同時に関連付けることができます。 デフォルトのオプション [EIPの自動割り当て] を選択すると、データ転送課金方式とBGP (マルチISP) 回線を使用する従量課金EIPが作成されます。 EIPはAnti-DDoS Originによって保護されています。
NLBインスタンスのリスナーを設定します。 この例では、TCPリスナーが構成され、RS01に関連付けられています。
インスタンス ページで、管理するNLBインスタンスを見つけ、操作 列の リスナーの作成 をクリックします。
[リスナーの設定] ステップで、次のパラメーターを設定し、次へ をクリックします。
次のセクションでは、このトピックに関連するパラメーターについて説明します。 他のパラメーターにはデフォルト値を使用します。 詳細については、「TCPリスナーの追加」をご参照ください。
リスナープロトコル: リスナープロトコル。 ビジネス要件に基づいてプロトコルを選択します。 この例では、TCPが選択されています。
リスナーポート: NLBインスタンスがリッスンするポート。 この例では、ポート80が指定されている。
[サーバーグループ] ステップで、RS01を選択し、次へ をクリックします。
[確認] ステップで、設定を確認し、送信 をクリックします。
既存の内部向けNLBインスタンスの使用
既存のNLBインスタンスをAnti-DDoS Pro/Premiumで保護されているEIPに関連付ける必要がある場合は、NLBインスタンスのネットワークタイプを変更して関連付けを実行します。
NLBコンソールにログインします。
上部のナビゲーションバーで、NLBインスタンスがデプロイされているリージョンを選択します。 この例では、中国 (杭州) が選択されています。
インスタンス ページで、管理する内部対応のNLBインスタンスを見つけ、インスタンスIDをクリックします。
インスタンスの詳細ページの インスタンスの詳細 タブで、基本情報 セクションに移動し、ネットワークタイプ パラメーターの右側にあるIPv4の横にある ネットワークタイプの変更 をクリックします。
ネットワークタイプの変更 ダイアログボックスで、[IPタイプ] パラメーターを [EIP] に設定し、「手順1: Anti-DDoS Pro/Premiumで保護されたEIPの作成」で作成したEIPを [EIPの割り当て] ドロップダウンリストから選択し、OK をクリックします。
NLBインスタンスは、Anti-DDoS Pro/Premiumによって保護されたEIPとAnti-DDoS Originによって保護されたEIPに同時に関連付けることができます。 [EIPの購入] を選択すると、データ転送課金方式とBGP (マルチISP) 回線を使用する従量課金EIPが作成されます。 EIPはAnti-DDoS Originによって保護されています。
既存のインターネット向けNLBインスタンスの使用
インターネットに接続するNLBインスタンスがAnti-DDoS Originで保護されたEIPに関連付けられており、NLBインスタンスをAnti-DDoS Pro/Premiumで保護されたEIPに関連付ける場合は、次の操作を実行します。
NLBインスタンスのネットワークタイプをインターネット接続から内部接続に変更します。
ネットワークタイプを変更するときは、NLBインスタンスをAnti-DDoS Pro/Premiumで保護されているEIPに関連付けます。
インターネット接続のNLBインスタンスを作成するときにデフォルトのオプション [EIPを自動的に割り当てる] を選択した場合、NLBインスタンスは、データ転送課金およびBGP (マルチISP) ラインを使用する従量課金EIPに関連付けられ、EIPはAnti-DDoS Originによって保護されます。
手順1: NLBインスタンスのネットワークタイプをインターネット接続から内部接続に変更
インスタンス ページで、管理するインターネット向けNLBインスタンスを見つけ、インスタンスIDをクリックします。
インスタンス詳細ページの インスタンスの詳細 タブで、基本情報 セクションに移動し、インスタンスの詳細 パラメーターの右側にあるIPv4の横にある ネットワークタイプの変更 をクリックします。
ネットワークタイプの変更 メッセージで情報を確認し、OK をクリックします。
変更が有効になるまでに約1分かかります。 インスタンスの詳細 タブの ネットワークタイプ パラメーターの値が [プライベート] に変わると、ネットワークタイプが変更されます。
手順2: NLBインスタンスのネットワークタイプを内部接続からインターネット接続に変更
インスタンス ページで、管理する内部対応のNLBインスタンスを見つけ、インスタンスIDをクリックします。
インスタンスの詳細ページの インスタンスの詳細 タブで、基本情報 セクションに移動し、ネットワークタイプ パラメーターの右側にあるIPv4の横にある ネットワークタイプの変更 をクリックします。
ネットワークタイプの変更 ダイアログボックスで、[IPタイプ] パラメーターを [EIP] に設定し、[EIPの割り当て] ドロップダウンリストから [ステップ1: Anti-DDoS Pro-Premiumで保護されたEIPの作成] で作成したEIPを選択し、OK をクリックします。
NLBインスタンスは、Anti-DDoS Pro/Premiumによって保護されたEIPとAnti-DDoS Originによって保護されたEIPに同時に関連付けることができます。 [EIPの購入] を選択すると、データ転送課金方式とBGP (マルチISP) 回線を使用する従量課金EIPが作成されます。 EIPはAnti-DDoS Originによって保護されています。
(オプション) 手順3: インターネット共有帯域幅インスタンスをNLBインスタンスに関連付ける
NLBインスタンスがインターネット共有帯域幅インスタンスに関連付けられていない場合、2つのゾーンにデプロイされたNLBインスタンスの帯域幅は、デフォルトで400 Mbit/sに達する可能性があります。 より高い帯域幅が必要な場合は、NLBインスタンスをインターネット共有帯域幅インスタンスに関連付けることができます。
インスタンス ページで、管理するNLBインスタンスを見つけ、次のいずれかの方法を使用して、NLBインスタンスをインターネット共有帯域幅インスタンスに関連付けます。
操作 列のアイコンをクリックし、EIP 帯域幅プランに関連付ける を選択します。 または、EIP 帯域幅プラン 列の 関連付け をクリックします。
管理するNLBインスタンスのIDをクリックします。 インスタンスの詳細ページの インスタンスの詳細 タブで、[課金情報] セクションの [EIP帯域幅プランとの関連付け] をクリックします。
[EIP帯域幅プランとの関連付け] ダイアログボックスで、ドロップダウンリストからインターネット共有帯域幅インスタンスを選択し、[OK] をクリックします。
ステップ4: DNSレコードを作成する
NLBを使用すると、CNAMEレコードを使用して、頻繁にアクセスできるドメイン名をNLBインスタンスの公開ドメイン名にマッピングできます。 これにより、ネットワークリソースへのアクセスが容易になります。
左側のナビゲーションウィンドウで、 .
上部のナビゲーションバーで、NLBインスタンスがデプロイされているリージョンを選択します。 この例では、中国 (杭州) が選択されています。
CNAMEレコードを作成するには、次の手順を実行します。
説明ドメイン名がAlibaba Cloudドメインを使用して登録されていない場合、DNSレコードを設定する前にドメイン名をAlibaba Cloud DNSに追加する必要があります。 詳細については、「ドメイン名の管理」をご参照ください。 ドメイン名がAlibaba Cloudドメインを使用して登録されている場合は、この手順をスキップします。
Alibaba Cloud DNSコンソールにログインします。
権威DNS解決ページで、ドメイン名を見つけて、アクション列のDNS設定をクリックします。
ドメイン名の詳細ページのDNS設定タブをクリックし、DNSレコードの追加をクリックします。
[DNSレコードの追加] パネルでパラメーターを設定し、[OK] をクリックします。 下表にパラメーターを示します。
パラメーター
説明
レコードタイプ
ドロップダウンリストから [CNAME] を選択します。
ホスト名
ドメイン名のプレフィックス。 この例では、@ を入力します。
説明ドメイン名がルートドメイン名の場合は、@ と入力します。
DNSリクエストソース
[デフォルト] を選択します。
レコード値
NLBインスタンスのドメイン名であるCNAMEを入力します。
TTL
DNSサーバーにキャッシュされるCNAMEレコードの有効期限 (TTL) 値を指定します。 この例では、デフォルト値が使用されます。
手順 5:ネットワーク接続のテスト
この例では、NLBインスタンスのTCPリスナーとサーバーグループRS01を使用して、ネットワーク接続をテストします。 詳細については、以下のトピックを参照してください。
NLBインスタンスのDNSレコードを作成した後、ブラウザからステップ4: DNSレコードの作成で設定されたドメイン名にアクセスして、NLBインスタンスがAnti-DDoS Pro/Premiumによって保護されたEIPを使用してインターネットにアクセスできるかどうかをテストできます。
次の図は、要求をECS01とECS02に転送できることを示しています。