全部產品
Search
文件中心

Anti-DDoS:DDoS高防和CDN或DCDN聯動

更新時間:Jun 30, 2024

當網站既需要訪問加速,又需要進行DDoS防護時,可以使用DDoS高防和加速產品(CDN或DCDN)聯動。通過流量調度器的智能調度,業務正常訪問期間,流量不經過DDoS高防清洗就近使用加速產品的節點加速,僅在業務被攻擊時流量切換到DDoS高防進行清洗,由高防將清潔流量直接轉寄給來源站點,保證業務平穩運行。本文介紹如何配置DDoS高防和加速產品(CDN或DCDN)聯動。

功能介紹

業務既需要訪問加速又需要DDoS防護時,阿里雲支援如下兩種方案:

  • 方案一:DCDN的邊緣DDoS防護(推薦)

    網域名稱接入DCDN後,在DCDN側直接配置邊緣DDoS防護,無需繁瑣配置即可一鍵開啟DDoS防護。無需在DDoS高防側配置。具體操作,請參見防護配置

    說明

    僅DCDN支援邊緣DDoS防護,CDN不支援。您可以將CDN的網域名稱遷移到DCDN,然後使用邊緣DDoS防護。具體操作,請參見將CDN網域名稱升級至DCDN產品

  • 方案二:DDoS高防和CDN聯動,或者DDoS高防和DCDN聯動

    即本文介紹的內容,攻擊流量經過高防清洗後,清潔流量直接轉寄給來源站點。您需要在加速產品和DDoS高防分別佈建網域名接入,然後在DDoS高防的流量調度器中配置聯動。

聯動時攻擊流量調度到高防清洗後,將清潔流量轉寄給來源站點。DCDN的邊緣DDoS防護,攻擊流量調度到高防清洗後,將清潔流量轉寄給DCDN,攻擊時依然實現加速效果。具體請參見下圖。

注意事項

  • 如果您的業務頻寬超過3 Gbps或QPS超過10000,使用聯動功能前,請聯絡您的商務經理進行評估。

  • 攻擊頻率太高(例如,高於每周3次以上)的網站,建議您只使用DDoS高防,避免流量在加速產品和DDoS高防間頻繁切換影響您的業務。

  • 同時支援Anti-DDoS Pro為IPv4、IPv6的配置聯動。

  • 發生攻擊時,業務流量調度到DDoS高防時,防護生效時間可能受DNS TTL生效時間限制。

  • 使用聯動功能前,請確保您的網域名稱在加速產品中不處於沙箱狀態。關於沙箱的詳細資料,請參見沙箱說明。處於沙箱狀態時,如需設定DDoS防護並解除網域名稱的沙箱狀態,請聯絡您的商務經理。

支援聯動的DDoS高防執行個體類型

DDoS(中國內地)專業版執行個體、DDoS(中國內地)進階版執行個體、DDoS高防(非中國內地)保險版執行個體、DDoS高防(非中國內地)無憂版執行個體,且執行個體必須為增強功能套餐。

前提條件

操作步驟

  1. 登入DDoS高防控制台

  2. 在頂部功能表列左上方處,選擇地區。

    • DDoS高防(中國內地):選擇中國內地地區。

    • DDoS高防(非中國內地):選擇非中國內地地區。

  3. 在左側導覽列,選擇接入管理 > 流量調度器後,單擊CDN/DCDN聯動調度頁簽。

    說明

    首次使用聯動調度前,需要單擊立即進行授權,按照指引授權DDoS高防訪問加速產品。

  4. 定位到目標網域名稱,單擊操作列的添加聯動,在添加聯動面板完成配置後,單擊下一步

    配置項

    說明

    DDoS高防執行個體

    選擇要與加速產品聯動的DDoS高防執行個體。

    說明
    • 提示該執行個體需要購買增強功能才可使用CDN聯動功能:請按照指引升級執行個體,將執行個體的套餐升級為增強功能。

    • 提示未選擇DDoS高防執行個體:請先將網域名稱接入DDoS高防執行個體進行防護。具體操作 ,請參見添加網站

    聯動資源

    系統會自動選擇聯動資源。

    如果網域名稱未添加到加速產品中,請根據頁面指引進行配置,等待約10分鐘後再設定聯動。具體操作,請參見添加加速網域名稱(CDN)添加服務網域名稱(DCDN)

    訪問QPS

    設定觸發切換到DDoS高防的最小QPS值。

    關於流量切換的詳細資料,請參見流量切換

    說明

    建議您在設定QPS閾值時,考慮業務突增的情形,將閾值設定為業務歷史峰值的2~3倍以上,即使網站QPS較低,QPS閾值也建議不要低於500。

  5. 通過修改本地host檔案驗證流量調度規則是否生效,避免因回源策略不一致出現相容性問題。具體操作,請參見本地驗證轉寄配置生效

    例如,在CDN和高防聯動且回源到OSS的情境,由於CDN回源支援修改回源HOST,而DDoS高防不支援,導致發生攻擊自動切換到DDoS高防後,DDoS高防回源到OSS的正常流量無法被識別,出現業務故障。

  6. 前往DNS服務位址修改DNS解析,將DNS解析指向流量調度器產生的CNAME地址。具體操作,請參見修改CNAME解析接入流量調度器

    說明

    網域名稱接入加速產品、DDoS高防以及配置聯動規則時,會產生3個CNAME地址,加速產品提供的CNAME、DDoS高防提供的CNAME,以及配置聯動規則時流量調度器產生的CNAME,您需要將網域名稱解析到流量調度器產生的CNAME。

流量切換

流量支援自動切換和手動切換。滿足自動切換條件時,流量會在加速產品和DDoS高防間自動互相切換。您還可以根據業務防護需求,手動將業務流量切換到DDoS高防以及回切到加速產品。通常建議您使用自動切換。

自動切換

切換類型

切換條件

加速產品切換到DDoS高防

滿足如下條件之一即觸發切換:

  • 連續3分鐘內3次訪問QPS超過閾值或連續10分鐘內出現6次以上,並且加速產品上正常業務流量不超過10 Gbps。

  • DDoS高防監測到網域名稱進入沙箱狀態,並且加速產品上正常業務流量不超過10 Gbps。

DDoS高防回切到加速產品

同時滿足如下條件時觸發切換:

  • 連續12小時以上,網域名稱訪問QPS低於閾值的80%,並且攻擊請求低於10%。

  • 要切回的高防IP不在清洗中、黑洞中,且1小時內不存在清洗、黑洞事件。

  • 網域名稱不在沙箱狀態。

重要

系統僅在08:00~23:00會進行回切操作,其他時間不會觸發回切。

手動切換

操作

說明

加速產品切換到DDoS高防

在未自動觸發DDoS高防清洗時,手動將業務流量切換到DDoS高防進行清洗。如果您的業務流量突增但未達到自動切換的條件,為避免攻擊對業務影響,您可以手動切換。CDN切到高防

重要
  • 只有當Anti-DDoS Pro不在黑洞中,才可以正常切換到DDoS高防。

  • 手動將業務流量切換到DDoS高防後,當滿足自動回切的條件時,會自動切換到加速產品。

DDoS高防回切到加速產品

如果是正常業務突增導致的流量切到高防,為避免影響業務,您可以手動將流量回切到加速產品。回切(CDN)

重要

建議您在執行回切前,確認DDoS攻擊已經結束並且網域名稱不處於沙箱狀態。

相關操作

  • 修改聯動調度規則:在CDN/DCDN聯動調度頁簽,定位到目標網域名稱,單擊操作列的編輯,修改DDoS高防執行個體訪問QPS

  • 刪除聯動調度規則:在CDN/DCDN聯動調度頁簽,定位到目標網域名稱,單擊操作列的刪除

    警告

    刪除聯動規則前,請確保網站網域名稱的解析沒有指向流量調度器CNAME,否則刪除聯動規則後,網站將無法正常訪問。

相關文檔

常見問題