全部產品
Search
文件中心

Anti-DDoS:雲產品聯動

更新時間:Jul 08, 2024

雲產品聯動表示通過自訂規則,聯動使用DDoS高防與阿里雲公網IP資源,解決網站業務接入高防防護後,正常業務訪問延時增加的問題。

前提條件

  • 業務使用阿里雲公網IP資源,具體包括擁有公網IP的Elastic Compute Service或Server Load Balancer、Elastic IP Address、Web Application Firewall。

  • 已購買DDoS高防(中國內地)專業版執行個體、DDoS高防(非中國內地)保險版或無憂版執行個體。

    重要

    DDoS高防執行個體的業務頻寬、QPS等規格必須滿足正常業務防護需求。

    相關操作,請參見購買DDoS高防執行個體

  • 已將網站業務接入DDoS高防執行個體進行防護。

    相關操作,請參見添加網站配置

  • 已驗證DDoS高防執行個體可以正常轉寄業務流量。

    相關操作,請參見本地驗證轉寄配置生效

背景資訊

業務接入DDoS高防防護後,預設所有業務流量都經過DDoS高防轉寄,其中攻擊流量被清洗後丟棄,只有正常業務流量被轉寄到來源站點伺服器。在業務正常訪問期間(無攻擊時),由於正常業務流量也經過DDoS高防轉寄,會給業務訪問帶來少量延遲。

如果您希望在業務正常訪問期間不增加延遲,則可以通過流量調度器建立一條雲產品聯動調度規則,實現業務正常訪問期間,流量直達來源站點伺服器(不增加延時);僅在業務被攻擊時,流量切換到DDoS高防,經清洗後再轉寄到來源站點伺服器。

添加雲產品聯動規則

  1. 登入DDoS高防控制台

  2. 在頂部功能表列左上方處,選擇地區。

    • DDoS高防(中國內地):選擇中國內地地區。

    • DDoS高防(非中國內地):選擇非中國內地地區。

  3. 在左側導覽列,選擇接入管理 > 流量調度器

  4. 通用聯動頁簽,單擊添加規則

  5. 添加規則面板,配置雲產品聯動規則,並單擊下一步

    圖 1. DDoS高防(中國內地)雲產品聯動規則樣本添加規則配置,防護調度

    參數

    描述

    聯動情境

    選擇雲產品聯動

    規則名

    為規則命名。

    規則名由英文字母、數字和底線(_)組成,不超過128個字元。

    高防IP

    選擇要聯動的DDoS高防執行個體。

    聯動資源

    輸入要聯動的雲資源IP,可以使用ECS執行個體IP、SLB執行個體IP、WAF執行個體IP、EIP。

    單擊添加雲資源IP,可以添加多個雲資源。最多支援添加20個IP。

    說明

    添加多個雲資源IP時(即多個雲資源IP關聯一個高防IP),如果一個雲資源IP上發生DDoS攻擊,將優先使用其他雲資源IP,直到無可用雲資源IP時,才會切換到高防進行防護。如果您希望雲產品多路分攤流量,每路被攻擊時單獨切換高防,請參見多路分攤切換配置

    回切時間

    業務流量聯動到DDoS高防進行防護後,允許觸發回切流程(切換回雲資源IP)的等待時間。攻擊結束且經過該等待時間後,業務流量自動回切到雲資源IP。

    可選範圍:30~120分鐘。推薦您設定為60分鐘。

    說明
    • 當DDoS高防執行個體處於黑洞狀態時,或在高防黑洞事件開始時間+回切時間到期前,不允許雲資源切換到高防進行防護。

    • 當雲資源發生黑洞時,自動切換到高防進行防護。雲資源黑洞狀態下,不允許從高防回切到雲上。雲資源解除黑洞後可以立即回切,不受回切時間限制。

  6. 按照頁面提示修改網域名稱的DNS解析設定,並單擊完成

    要使聯動規則生效,您必須在網域名稱的DNS服務位址修改網域名稱的DNS解析(如果網域名稱通過阿里雲網域名稱服務 (DNS)註冊,只需在Alibaba Cloud DNS控制台操作;否則需要在註冊網域名稱的第三方平台操作),將解析指向流量調度器的CNAME地址。

    重要

    您修改網域名稱的DNS解析後,流量調度規則將會生效。建議您在修改DNS解析前,先通過修改本機電腦的hosts檔案配置,驗證流量調度規則,避免因回源策略不一致出現不相容問題。例如,在CDN和高防聯動且回源到OSS的情境,由於CDN回源支援修改回源HOST,而DDoS高防不支援,導致發生攻擊自動切換到DDoS高防後,DDoS高防回源到OSS的正常流量無法被識別,出現業務故障。

    關於驗證流量調度規則的操作,請參見本地驗證轉寄配置生效

    關於修改網域名稱DNS解析的操作,請參見修改CNAME解析接入流量調度器

配置雲產品聯動規則後,如果雲資源上未發生DDoS攻擊,業務流量不經過DDoS高防清洗,直接由用戶端到雲資源;只有在雲資源上發生DDoS攻擊時,業務流量才會自動切換到DDoS高防進行清洗,保證只有正常業務流量會轉寄到雲資源。業務流量自動切換到DDoS高防後,DDoS高防將在攻擊結束後等待一段時間(回切時間),自動將業務流量回切到雲資源。

除了自動切換方式,您還可以選擇手動切換,即根據業務防護需求,手動將業務流量切換到DDoS高防進行清洗、回切到雲資源。更多資訊,請參見相關操作

相關操作

成功添加通用聯動規則後,您可以在規則列表,對已添加的規則執行以下操作。

操作

說明

切到高防

在未自動觸發DDoS高防清洗(聯動資源下有綠色表徵圖)時,手動將業務流量切換到DDoS高防進行清洗。適用於在業務觸發黑洞前提前切換,減少業務損傷。切到高防

只有當Anti-DDoS Pro不在黑洞中,才可以正常切換到DDoS高防。

重要

手動將業務流量切換到DDoS高防後,預設不會自動回切到聯動資源。如需回切到聯動資源,您必須手動執行回切操作。

回切

在業務流量由DDoS高防清洗(高防IP下有綠色表徵圖)時,手動將業務流量回切到聯動資源。回切

重要
  • 建議您在執行回切前,確認攻擊已經結束並且回切的聯動資源線路可用,避免聯動資源處於沙箱狀態導致業務中斷。

  • 如果您通過切到高防操作將業務流量切換到DDoS高防,則只能通過回切操作將流量回切到聯動資源。

如果聯動資源全部在黑洞中,回切操作將會失敗。如果有部分聯動資源已經解除黑洞,部分聯動資源還在黑洞中,流量將先回切到已經解除黑洞的聯動資源上,其他資源等待黑洞解除後自動回復流量。

編輯

編輯通用聯動規則,修改除聯動情境規則名以外的參數配置。

刪除

刪除通用聯動規則。

警告

刪除聯動規則前,請確保網站網域名稱的解析沒有指向流量調度器CNAME,否則刪除聯動規則後,網站將無法正常訪問。