雲產品聯動表示通過自訂規則,聯動使用DDoS高防與阿里雲公網IP資源,解決網站業務接入高防防護後,正常業務訪問延時增加的問題。
前提條件
業務使用阿里雲公網IP資源,具體包括擁有公網IP的Elastic Compute Service或Server Load Balancer、Elastic IP Address、Web Application Firewall。
已購買DDoS高防(中國內地)專業版執行個體、DDoS高防(非中國內地)保險版或無憂版執行個體。
重要DDoS高防執行個體的業務頻寬、QPS等規格必須滿足正常業務防護需求。
相關操作,請參見購買DDoS高防執行個體。
已將網站業務接入DDoS高防執行個體進行防護。
相關操作,請參見添加網站配置。
已驗證DDoS高防執行個體可以正常轉寄業務流量。
相關操作,請參見本地驗證轉寄配置生效。
背景資訊
業務接入DDoS高防防護後,預設所有業務流量都經過DDoS高防轉寄,其中攻擊流量被清洗後丟棄,只有正常業務流量被轉寄到來源站點伺服器。在業務正常訪問期間(無攻擊時),由於正常業務流量也經過DDoS高防轉寄,會給業務訪問帶來少量延遲。
如果您希望在業務正常訪問期間不增加延遲,則可以通過流量調度器建立一條雲產品聯動調度規則,實現業務正常訪問期間,流量直達來源站點伺服器(不增加延時);僅在業務被攻擊時,流量切換到DDoS高防,經清洗後再轉寄到來源站點伺服器。
添加雲產品聯動規則
登入DDoS高防控制台。
在頂部功能表列左上方處,選擇地區。
DDoS高防(中國內地):選擇中國內地地區。
DDoS高防(非中國內地):選擇非中國內地地區。
在左側導覽列,選擇
。在通用聯動頁簽,單擊添加規則。
在添加規則面板,配置雲產品聯動規則,並單擊下一步。
參數
描述
聯動情境
選擇雲產品聯動。
規則名
為規則命名。
規則名由英文字母、數字和底線(_)組成,不超過128個字元。
高防IP
選擇要聯動的DDoS高防執行個體。
聯動資源
輸入要聯動的雲資源IP,可以使用ECS執行個體IP、SLB執行個體IP、WAF執行個體IP、EIP。
單擊添加雲資源IP,可以添加多個雲資源。最多支援添加20個IP。
說明添加多個雲資源IP時(即多個雲資源IP關聯一個高防IP),如果一個雲資源IP上發生DDoS攻擊,將優先使用其他雲資源IP,直到無可用雲資源IP時,才會切換到高防進行防護。如果您希望雲產品多路分攤流量,每路被攻擊時單獨切換高防,請參見多路分攤切換配置。
回切時間
業務流量聯動到DDoS高防進行防護後,允許觸發回切流程(切換回雲資源IP)的等待時間。攻擊結束且經過該等待時間後,業務流量自動回切到雲資源IP。
可選範圍:30~120分鐘。推薦您設定為60分鐘。
說明當DDoS高防執行個體處於黑洞狀態時,或在高防黑洞事件開始時間+回切時間到期前,不允許雲資源切換到高防進行防護。
當雲資源發生黑洞時,自動切換到高防進行防護。雲資源黑洞狀態下,不允許從高防回切到雲上。雲資源解除黑洞後可以立即回切,不受回切時間限制。
按照頁面提示修改網域名稱的DNS解析設定,並單擊完成。
要使聯動規則生效,您必須在網域名稱的DNS服務位址修改網域名稱的DNS解析(如果網域名稱通過阿里雲網域名稱服務 (DNS)註冊,只需在Alibaba Cloud DNS控制台操作;否則需要在註冊網域名稱的第三方平台操作),將解析指向流量調度器的CNAME地址。
重要您修改網域名稱的DNS解析後,流量調度規則將會生效。建議您在修改DNS解析前,先通過修改本機電腦的hosts檔案配置,驗證流量調度規則,避免因回源策略不一致出現不相容問題。例如,在CDN和高防聯動且回源到OSS的情境,由於CDN回源支援修改回源HOST,而DDoS高防不支援,導致發生攻擊自動切換到DDoS高防後,DDoS高防回源到OSS的正常流量無法被識別,出現業務故障。
關於驗證流量調度規則的操作,請參見本地驗證轉寄配置生效。
關於修改網域名稱DNS解析的操作,請參見修改CNAME解析接入流量調度器。
配置雲產品聯動規則後,如果雲資源上未發生DDoS攻擊,業務流量不經過DDoS高防清洗,直接由用戶端到雲資源;只有在雲資源上發生DDoS攻擊時,業務流量才會自動切換到DDoS高防進行清洗,保證只有正常業務流量會轉寄到雲資源。業務流量自動切換到DDoS高防後,DDoS高防將在攻擊結束後等待一段時間(回切時間),自動將業務流量回切到雲資源。
除了自動切換方式,您還可以選擇手動切換,即根據業務防護需求,手動將業務流量切換到DDoS高防進行清洗、回切到雲資源。更多資訊,請參見相關操作。
相關操作
成功添加通用聯動規則後,您可以在規則列表,對已添加的規則執行以下操作。
操作 | 說明 |
切到高防 | 在未自動觸發DDoS高防清洗(聯動資源下有表徵圖)時,手動將業務流量切換到DDoS高防進行清洗。適用於在業務觸發黑洞前提前切換,減少業務損傷。 只有當Anti-DDoS Pro不在黑洞中,才可以正常切換到DDoS高防。 重要 手動將業務流量切換到DDoS高防後,預設不會自動回切到聯動資源。如需回切到聯動資源,您必須手動執行回切操作。 |
回切 | 在業務流量由DDoS高防清洗(高防IP下有表徵圖)時,手動將業務流量回切到聯動資源。 重要
如果聯動資源全部在黑洞中,回切操作將會失敗。如果有部分聯動資源已經解除黑洞,部分聯動資源還在黑洞中,流量將先回切到已經解除黑洞的聯動資源上,其他資源等待黑洞解除後自動回復流量。 |
編輯 | 編輯通用聯動規則,修改除聯動情境、規則名以外的參數配置。 |
刪除 | 刪除通用聯動規則。 警告 刪除聯動規則前,請確保網站網域名稱的解析沒有指向流量調度器CNAME,否則刪除聯動規則後,網站將無法正常訪問。 |