當網站既需要訪問加速,又需要進行DDoS防護時,可以使用DDoS高防和加速產品(CDN或DCDN)聯動。通過流量調度器的智能調度,業務正常訪問期間,流量不經過DDoS高防清洗就近使用加速產品的節點加速,僅在業務被攻擊時流量切換到DDoS高防進行清洗,由高防將清潔流量直接轉寄給來源站點,保證業務平穩運行。本文介紹如何配置DDoS高防和加速產品(CDN或DCDN)聯動。
功能介紹
業務既需要訪問加速又需要DDoS防護時,阿里雲支援如下兩種方案:
方案一:DCDN的邊緣DDoS防護(推薦)
網域名稱接入DCDN後,在DCDN側直接配置邊緣DDoS防護,無需繁瑣配置即可一鍵開啟DDoS防護。無需在DDoS高防側配置。具體操作,請參見防護配置。
說明僅DCDN支援邊緣DDoS防護,CDN不支援。您可以將CDN的網域名稱遷移到DCDN,然後使用邊緣DDoS防護。具體操作,請參見將CDN網域名稱升級至DCDN產品。
方案二:DDoS高防和CDN聯動,或者DDoS高防和DCDN聯動
即本文介紹的內容,攻擊流量經過高防清洗後,清潔流量直接轉寄給來源站點。您需要在加速產品和DDoS高防分別佈建網域名接入,然後在DDoS高防的流量調度器中配置聯動。
聯動時攻擊流量調度到高防清洗後,將清潔流量轉寄給來源站點。DCDN的邊緣DDoS防護,攻擊流量調度到高防清洗後,將清潔流量轉寄給DCDN,攻擊時依然實現加速效果。具體請參見下圖。
注意事項
如果您的業務頻寬超過3 Gbps或QPS超過10000,使用聯動功能前,請聯絡您的商務經理進行評估。
攻擊頻率太高(例如,高於每周3次以上)的網站,建議您只使用DDoS高防,避免流量在加速產品和DDoS高防間頻繁切換影響您的業務。
同時支援Anti-DDoS Pro為IPv4、IPv6的配置聯動。
發生攻擊時,業務流量調度到DDoS高防時,防護生效時間可能受DNS TTL生效時間限制。
使用聯動功能前,請確保您的網域名稱在加速產品中不處於沙箱狀態。關於沙箱的詳細資料,請參見沙箱說明。處於沙箱狀態時,如需設定DDoS防護並解除網域名稱的沙箱狀態,請聯絡您的商務經理。
支援聯動的DDoS高防執行個體類型
DDoS(中國內地)專業版執行個體、DDoS(中國內地)進階版執行個體、DDoS高防(非中國內地)保險版執行個體、DDoS高防(非中國內地)無憂版執行個體,且執行個體必須為增強功能套餐。
前提條件
已為網站網域名稱開啟CDN或DCDN加速。具體操作,請參見添加加速網域名稱(CDN聯動)或添加服務網域名稱(DCDN聯動)。
已購買DDoS高防執行個體,並已將網站網域名稱接入DDoS高防。具體操作,請參見購買DDoS高防執行個體、添加網站配置。
已驗證DDoS高防執行個體可以正常轉寄業務流量。具體操作,請參見本地驗證轉寄配置生效。
操作步驟
登入DDoS高防控制台。
在頂部功能表列左上方處,選擇地區。
DDoS高防(中國內地):選擇中國內地地區。
DDoS高防(非中國內地):選擇非中國內地地區。
在左側導覽列,選擇
後,單擊CDN/DCDN聯動調度頁簽。說明首次使用聯動調度前,需要單擊立即進行授權,按照指引授權DDoS高防訪問加速產品。
定位到目標網域名稱,單擊操作列的添加聯動,在添加聯動面板完成配置後,單擊下一步。
配置項
說明
DDoS高防執行個體
選擇要與加速產品聯動的DDoS高防執行個體。
說明提示該執行個體需要購買增強功能才可使用CDN聯動功能:請按照指引升級執行個體,將執行個體的套餐升級為增強功能。
提示未選擇DDoS高防執行個體:請先將網域名稱接入DDoS高防執行個體進行防護。具體操作 ,請參見添加網站。
聯動資源
系統會自動選擇聯動資源。
如果網域名稱未添加到加速產品中,請根據頁面指引進行配置,等待約10分鐘後再設定聯動。具體操作,請參見添加加速網域名稱(CDN)或添加服務網域名稱(DCDN)。
訪問QPS
設定觸發切換到DDoS高防的最小QPS值。
關於流量切換的詳細資料,請參見流量切換。
說明建議您在設定QPS閾值時,考慮業務突增的情形,將閾值設定為業務歷史峰值的2~3倍以上,即使網站QPS較低,QPS閾值也建議不要低於500。
通過修改本地host檔案驗證流量調度規則是否生效,避免因回源策略不一致出現相容性問題。具體操作,請參見本地驗證轉寄配置生效。
例如,在CDN和高防聯動且回源到OSS的情境,由於CDN回源支援修改回源HOST,而DDoS高防不支援,導致發生攻擊自動切換到DDoS高防後,DDoS高防回源到OSS的正常流量無法被識別,出現業務故障。
前往DNS服務位址修改DNS解析,將DNS解析指向流量調度器產生的CNAME地址。具體操作,請參見修改CNAME解析接入流量調度器。
說明網域名稱接入加速產品、DDoS高防以及配置聯動規則時,會產生3個CNAME地址,加速產品提供的CNAME、DDoS高防提供的CNAME,以及配置聯動規則時流量調度器產生的CNAME,您需要將網域名稱解析到流量調度器產生的CNAME。
流量切換
流量支援自動切換和手動切換。滿足自動切換條件時,流量會在加速產品和DDoS高防間自動互相切換。您還可以根據業務防護需求,手動將業務流量切換到DDoS高防以及回切到加速產品。通常建議您使用自動切換。
自動切換
切換類型 | 切換條件 |
加速產品切換到DDoS高防 | 滿足如下條件之一即觸發切換:
|
DDoS高防回切到加速產品 | 同時滿足如下條件時觸發切換:
重要 系統僅在08:00~23:00會進行回切操作,其他時間不會觸發回切。 |
手動切換
操作 | 說明 |
加速產品切換到DDoS高防 | 在未自動觸發DDoS高防清洗時,手動將業務流量切換到DDoS高防進行清洗。如果您的業務流量突增但未達到自動切換的條件,為避免攻擊對業務影響,您可以手動切換。 重要
|
DDoS高防回切到加速產品 | 如果是正常業務突增導致的流量切到高防,為避免影響業務,您可以手動將流量回切到加速產品。 重要 建議您在執行回切前,確認DDoS攻擊已經結束並且網域名稱不處於沙箱狀態。 |
相關操作
修改聯動調度規則:在CDN/DCDN聯動調度頁簽,定位到目標網域名稱,單擊操作列的編輯,修改DDoS高防執行個體或訪問QPS。
刪除聯動調度規則:在CDN/DCDN聯動調度頁簽,定位到目標網域名稱,單擊操作列的刪除。
警告刪除聯動規則前,請確保網站網域名稱的解析沒有指向流量調度器CNAME,否則刪除聯動規則後,網站將無法正常訪問。