Global Acceleration依託阿里雲優質BGP頻寬和全球傳輸網路,通過聯動DDoS高防和Web Application Firewall,可以有效防禦DDoS攻擊和Web攻擊,同時可以通過全域流量管理實現故障隔離或流量切換,為Web服務商提供一套高安全的跨地區加速方案。
背景資訊
某Web服務部署在美國(矽谷)地區的阿里雲上,後端伺服器為4個綁定了阿里雲Elastic IP Address的ECS執行個體,Web服務通過網域名稱www.example.us(海外網域名稱)對外提供服務,轉送連接埠為TCP 9000連接埠。Web服務面臨以下問題:
Web網域名稱為海外網域名稱,暫不能託管在中國內地的伺服器上,但用戶端主要集中在中國內地。
Web服務經常受到各類Web攻擊和DDoS攻擊,嚴重影響Web應用服務的安全性和可用性。
跨國公網不穩定,經常出現延遲、抖動、丟包等網路問題。
後端伺服器不穩定,業務存在中斷的風險。
如上圖部署架構,您可以聯動部署Global Acceleration、DDoS高防、Web Application Firewall、全域流量管理。部署完成後,可以有效解決跨域Web服務面臨的問題。
DDoS高防可以有效防禦DDoS攻擊。
旁路部署DDoS高防,僅在特定情境下觸發並切換啟用DDoS高防,保證無DDoS攻擊時日常業務的流暢體驗以及發生DDoS攻擊時更好的防護效果。
Global Acceleration可以提高加速地區使用者的網路訪問速度。
中國內地使用者的訪問請求通過中國香港存取點進入阿里雲加速網路 ,然後通過智能選擇路由和自動網路調度,把網路訪問請求送達至美國矽谷來源站點。
Web Application Firewall可以有效防禦各類Web攻擊。
所有訪問Web的公網流量都會經過Web Application Firewall,惡意攻擊流量在Web Application Firewall上被檢測過濾,而正常流量返回給來源站點IP,確保來源站點IP安全、穩定、可用。
全域流量管理可以實現故障隔離或流量切換。
如果主伺服器組運行正常時,用戶端的訪問流量均轉寄到主伺服器組。
如果主伺服器組因故障不可用時,流量迅速切換到備伺服器組,並在主伺服器組恢複正常後,用戶端流量切回主伺服器組。
配置步驟
步驟一:建立全域流量管理執行個體
全域流量管理是一種流量管理服務,可以協助您精細化的管理用戶端訪問流量。
完成以下操作,建立全域流量管理執行個體。
在左側導覽列,單擊全域流量管理。
在全域流量管理頁面,單擊建立執行個體。
在購買頁面,根據以下資訊配置全域流量管理執行個體。
套餐版本:分為標準版和旗艦版。本方案選擇標準版。
購買數量:選擇購買執行個體的數量。
購買時間長度:選擇購買執行個體的時間長度。
單擊立即購買完成支付。
步驟二:配置存取原則
存取原則可以將不同來源的訪問請求轉寄到不同的後端伺服器,並可以根據實際業務需要設定備用後端伺服器。
完成以下操作,為全域流量管理配置存取原則。
在左側導覽列,單擊全域流量管理。
在全域流量管理頁面,找到目標全域流量管理執行個體,單擊操作列下的配置。
在選擇配置方法對話方塊,選擇快速入門。
在存取原則設定精靈下,根據以下資訊配置存取原則。
策略名稱稱:輸入存取原則的名稱。
解析請求來源: 選擇解析請求來源。
選中解析請求來源後,該地區的使用者訪問應用服務時會智能調度到所配置的後端伺服器位址集區。本方案選擇全域。
主位址集區集合:單擊主位址集區集合頁簽。
主位址集區集合是業務正常情況下,全域流量管理將使用者訪問流量轉寄到的後端伺服器位址集區。
本方案您需要先單擊新增位址集區,將美國來源站點伺服器1和伺服器2添加到主位址集區,並配置健全狀態檢查,然後再選擇主位址集區。健全狀態檢查配置詳情,請參見TCP健全狀態檢查。
備位址集區集合:單擊備位址集區集合。
備位址集區集合是在主位址集區集合中的伺服器因故障不可用時,全域流量管理將使用者訪問流量切換到的後端伺服器位址集區。
本方案您需要單擊新增位址集區,將美國來源站點伺服器3和伺服器4添加到備位址集區,並配置健全狀態檢查,然後再選擇備位址集區。健全狀態檢查配置詳情,請參見TCP健全狀態檢查。
單擊下一步。
步驟三:配置基礎資訊
配置存取原則後,您需要配置全域流量管理執行個體的基礎資訊,包括主網域名稱資訊、CNAME接入網域名稱、全域TTL、警示通知群組等相關資訊。
完成以下操作,為全域流量管理配置基礎資訊。
在基本配置設定精靈下,配置基礎資訊。
執行個體名稱:輸入執行個體名稱。
執行個體名稱是便於識別該執行個體用於某個應用服務的標識。
業務網域名稱(公網):輸入用戶端訪問的網域名稱。本方案輸入www.example.us。
CNAME接入網域名稱:選擇接入網域名稱的類型。
系統分配接入網域名稱:適用於後端服務位址集區中都是阿里雲地址或海外地址。
自訂接入網域名稱:適用於後端服務位址集區中有自建IDC的地址。
本方案中,後端服務地址均為阿里雲Elastic IP Address,所以選擇系統分配接入網域名稱。
全域TTL:網域名稱解析對應IP地址的生效時間。本方案選擇1分鐘。
全域流量管理是以網域名稱形式對外提供流量管理服務,全域TTL即網域名稱對應IP地址資訊在電訊廠商DNS系統內的緩衝生效時間,預設提供1分鐘的TTL時間。如果使用自訂接入網域名稱方式,全域TTL需要與自訂網域名的雲解析套餐支援的最小TTL保持一致。
警示通知群組:當業務出現異常時,用於接收通知訊息的聯絡組。
說明如果您未配置警示通知群組,請先前往CloudMonitor控制台設定。詳細資料,請參見建立警示連絡人或警示連絡人群組。
如果您已經配置了警示通知群組,但您使用子帳號配置基礎資訊,請先使用主帳號授權。授權成功後,子帳號才能讀取到警示通知群組資訊。
單擊完成。
基本資料配置完成後,系統會自動分配一個CNAME接入網域名稱用於解析要調度的後端服務IP。
步驟四:開通Web Application Firewall
Web Application FirewallWAF雲端式安全巨量資料能力,用於防禦SQL注入、XSS跨站指令碼、常見Web伺服器外掛程式漏洞、木馬上傳、非授權核心資源訪問等OWASP常見攻擊,並過濾海量惡意CC攻擊,避免您的網站資產資料泄露,保障網站的安全與可用性。
本方案以訂用帳戶為例,介紹如何開通Web Application Firewall。
進入阿里雲官網Web Application Firewall產品詳情頁並登入您的阿里雲帳號。
單擊立即購買。
在Web Application Firewall購買頁面,完成以下配置。
地區:選擇WAF服務主機所在地區。
本方案WAF服務主機所在地區為美國(矽谷),所以選擇海外地區。
套餐選擇:選擇要使用的WAF套餐類型。本方案選擇雲WAF。
版本:選擇要開通的WAF服務的版本。
不同WAF版本適用的業務規模和支援的防護功能不同。詳細資料,請參見套餐和版本說明。本方案選擇企業版。
擴充網域名稱包:指定要開通的擴充網域名稱包數量。
當您有多個網域名稱(或超過10個子網域名稱)需要接入WAF進行防護時,您可以開通網域名稱擴充包。詳細資料,請參見網域名稱擴充包。本方案不購買網域名稱擴充包。
網域名稱獨享IP包:指定要開通的獨享IP數量。
當您有重要的網域名稱需要使用獨立的WAF IP進行防護時,您可以開通網域名稱獨享IP包。詳細資料,請參見獨享IP包。本方案不購買網域名稱獨享資源套件。
擴充頻寬包:指定要開通的擴充頻寬包大小,單位Mbps。
當您需要接入WAF進行防護的業務總頻寬超過所選套餐規格時,您可以開通擴充頻寬包。詳細資料,請參見額外頻寬擴充包。本方案選擇100Mbps。
智能負載平衡:選擇開啟或關閉全域負載平衡。
智能負載平衡通過多節點智能接入技術,助力業務支援多節點、多線路自動調度容災,提高業務的可靠性。本方案選擇否。
Log Service:選擇開啟或關閉日誌儲存服務。
日誌儲存服務將WAF所有的日誌資訊即時儲存至Log Service儲存空間中,同時提供查詢分析和展示線上報表等功能。本方案選擇否。
Bot管理:選擇開啟或關閉Bot管理功能。
如果您需要緩解機器流量對業務造成的安全威脅,您可以開通Bot管理功能模組。詳細資料,請參見設定爬蟲威脅情報規則和設定合法爬蟲規則。本方案選擇否。
APP防護:選擇開啟或關閉APP防護。
如果您的業務支援原生APP端且存在可信通訊、防機器指令碼濫刷等安全需求,您可以開通APP防護。詳細資料,請參見設定App防護。本方案選擇否。
- 可視化大屏服務:選擇要開通的可視化大屏服務類型。如果您需要通過接入資料大屏來展示和分析網站的整體業務及安全狀況,您可以開通可視化大屏服務。詳細資料,請參見資料大屏。本方案選擇未開啟。
購買時間長度:選擇WAF服務的有效時間長度。
單擊立即購買完成支付。
步驟五:添加網站配置
開通Web Application Firewall後,您需要配置WAF防護網站的轉寄資訊。
完成以下操作,將被防護網域名稱的訪問流量指向WAF。
在頂部狀態列,選擇Web Application Firewall執行個體的地區。本方案選擇海外地區。
在左側導覽列,選擇 。
在網站接入頁面,單擊網站接入。
根據設定精靈完成相關任務。
網域名稱:輸入要防護的網域名稱。 本方案輸入www.example.us。
說明支援使用精確網域名稱(例如
www.aliyun.com
)和泛網域名稱(例如*.aliyun.com
)格式。使用泛網域名稱後,Web Application Firewall將自動匹配該泛網域名稱對應的子網域名稱。
如果同時存在泛網域名稱和精確網域名稱配置,則精確網域名稱的轉寄規則和防護策略優先生效。
暫不支援添加
.edu
網域名稱。如果您需要添加.edu
網域名稱,請加入釘群(釘群號:21715946),聯絡產品技術專家進行諮詢。。
協議類型:選中網站支援的協議類型。本方案選中HTTP。
伺服器位址:選擇伺服器位址類型,然後輸入網站的來源站點伺服器位址。
支援IP和網域名稱(如CNAME)格式。網站接入WAF後,WAF將過濾後的訪問請求轉寄至該地址。本方案選擇網域名稱(如CNAME),然後輸入步驟三配置基礎資訊後系統為全域流量管理分配的CNAME地址。詳細資料,請參見步驟三:配置基礎資訊。
伺服器連接埠:配置網站的協議連接埠。
WAF通過所配置的連接埠為網站提供流量的接入與轉寄服務,網站網域名稱的業務流量只通過所配置的服務連接埠進行轉寄;對於未配置的連接埠,WAF不會轉寄任何該連接埠的訪問請求流量到來源站點伺服器,因此這些連接埠的啟用和漏洞不會對來源站點伺服器造成任何安全威脅。
重要配置的協議和連接埠必須與您所接入的網站業務來源站點IP(在WAF中配置的伺服器IP地址)的協議和連接埠(在WAF中配置的伺服器連接埠)一致,不支援連接埠轉換功能。
本方案輸入自訂9000連接埠。
說明WAF預設支援以下連接埠:80/8080(HTTP)和443/8443(HTTPS)。企業版和旗艦版WAF執行個體支援更多的非標連接埠,且對被防護網域名稱使用的不同連接埠的總數有相應限制。詳細資料,請參見WAF支援的連接埠。
負載平衡演算法:如果配置了多個來源站點IP,勾選IP hash或輪詢。WAF將根據所選擇的方式在多個來源站點IP間分發訪問請求,實現負載平衡。
WAF前是否有七層代理(高防/CDN等):根據該網站業務的實際情況選擇是否有七層代理(高防/CDN等)。本方案選擇是。
啟用流量標記:配置是否開啟WAF流量標記功能。如果您需要對經過WAF的請求進行標記(用以區分沒有經過WAF的請求,便於後端服務統計分析),則可以開啟該功能,並設定一個自訂的HTTP頭部標記欄位,包含Header欄位名稱和Header欄位值。本方案選擇開啟該功能。
說明請不要填寫標準的HTTP頭部欄位(如User-agent等),否則會導致標準欄位被自訂的欄位值覆蓋。
單擊下一步。在添加網域名稱頁面,單擊複製Cname,記錄下WAF分配的CNAME地址。
單擊下一步,查看WAF IP地址,然後單擊完成,返回網站列表。
步驟六:建立Global Acceleration執行個體
- 在執行個體列表頁面,單擊建立加速執行個體。
在購買頁面,根據以下資訊配置Global Acceleration執行個體,然後單擊去購買,並按照頁面提示完成支付。
配置
說明
執行個體類型
選擇標準型執行個體。
執行個體規格
選擇購買標準型Global Acceleration執行個體的規格。本文選擇中型Ⅰ。
標準型Global Acceleration支援的執行個體規格,請參見標準型Global Acceleration執行個體概述。
加速IP類型
預設選擇Elastic IP Address。
頻寬計費方式
預設選擇按頻寬。
資源群組
選擇標準型Global Acceleration執行個體所屬的資源群組。
該資源群組為當前阿里雲帳號在資源管理中建立的資源群組。更多資訊,請參見建立資源群組。
購買時間長度
選擇購買標準型Global Acceleration執行個體的時間長度。
選中到期自動續約(需保證您的賬戶餘額充足)可開啟標準型Global Acceleration執行個體自動續約功能。
優惠券
選擇是否使用優惠券支付。
預設選擇不使用優惠券,您還可以在下拉式清單中選擇優惠券進行支付。
服務合約
查閱並選中相關服務合約。
執行個體建立成功後,系統會自動分配一個CNAME用於解析要加速的後端服務的網域名稱。
步驟七:購買並綁定基礎頻寬包
基礎頻寬包提供了覆蓋全球的公網接入頻寬和阿里雲內網傳輸頻寬。實現Global Acceleration您需要購買基礎頻寬包並將基礎頻寬包綁定到Global Acceleration執行個體。
- 在執行個體列表頁面,單擊購買基礎頻寬包。
在購買頁面,配置基礎頻寬包,然後單擊立即購買完成支付。
頻寬類型:選擇購買基礎頻寬包的頻寬類型。
本方案中來源站點網域名稱為海外網域名稱,該網域名稱不能託管在中國內地的伺服器上,所以選擇精品加速頻寬,中國內地使用者通過中國香港精品公網訪問部署在美國矽谷的Web服務。
基礎頻寬包支援標準加速頻寬、增強加速頻寬和精品加速頻寬三種頻寬類型。頻寬類型不同,加速類型、加速後端服務和加速範圍也不同,如下表所示。
頻寬類型
加速類型
加速後端服務
加速範圍
標準加速頻寬
加速部署在阿里雲上的應用
標準型Global Accelerator執行個體:
阿里雲公網IP
Elastic Compute Service
彈性網卡 ENI
傳統型負載平衡 CLB(原SLB)
應用型負載平衡 ALB
網路型負載平衡 NLB
Object Storage Service
交換器(vSwitch)
基礎型Global Accelerator執行個體:
傳統型負載平衡 CLB(原SLB)
輔助網卡類型的彈性網卡 ENI
Elastic Compute Service
網路型負載平衡 NLB
預設的加速地區和後端服務地區都位於中國內地
增強加速頻寬
加速部署在阿里雲上的應用
加速部署在非阿里雲的應用
標準型Global Accelerator執行個體:
阿里雲公網IP
Elastic Compute Service
彈性網卡 ENI
傳統型負載平衡 CLB(原SLB)
應用型負載平衡 ALB
網路型負載平衡 NLB
Object Storage Service
交換器(vSwitch)
自訂IP
自訂網域名
基礎型Global Accelerator執行個體 :不涉及
預設的加速地區和後端服務地區都位於中國內地
精品加速頻寬
加速部署在阿里雲上的應用
加速部署在非阿里雲的應用
標準型Global Accelerator執行個體:
阿里雲公網IP
Elastic Compute Service
彈性網卡 ENI
傳統型負載平衡 CLB(原SLB)
應用型負載平衡 ALB
網路型負載平衡 NLB
Object Storage Service
交換器(vSwitch)
自訂IP
自訂網域名
基礎型Global Accelerator執行個體 :
傳統型負載平衡 CLB(原SLB)
輔助網卡類型的彈性網卡 ENI
Elastic Compute Service
網路型負載平衡 NLB
預設的加速地區和後端服務地區都位于海外(如果要加速中國內地到海外的訪問,需選擇中國香港作為加速地區)
說明基礎型Global Accelerator執行個體的頻寬計費方式為按頻寬時,僅支援綁定頻寬類型為標準加速頻寬和精品加速頻寬的基礎頻寬包。
關於後端服務類型的更多資訊,請參見標準型執行個體的終端節點群組與終端節點概述和基礎型執行個體的終端節點群組與終端節點。
頻寬峰值:選擇購買基礎頻寬包的頻寬峰值。本方案設定為10 Mbps。
資源群組:選擇基礎頻寬包所屬的資源群組。
該資源群組為當前阿里雲帳號在資源管理中建立的資源群組。更多資訊,請參見建立資源群組。
購買時間長度:選擇購買基礎頻寬包的時間長度。
- 返回執行個體列表頁面,單擊已建立的Global Acceleration執行個體ID。
- 單擊頻寬包管理頁簽。
在基礎頻寬包地區,單擊去綁定基礎頻寬包。
在綁定基礎頻寬包對話方塊,根據以下資訊選擇目標基礎頻寬包,單擊確定。
資源群組:選擇要綁定的基礎頻寬包所在資源群組。
綁定基礎頻寬包:在下拉式清單中選擇要綁定的基礎頻寬包。
綁定成功後,基礎頻寬包的狀態變成可用。
步驟八:添加加速地區
在購買基礎頻寬包後,您便可以添加加速地區,指定訪問後端服務的使用者的所在地區並分配加速頻寬。
在執行個體列表頁面,單擊步驟六:建立Global Acceleration執行個體中建立的Global Acceleration執行個體ID。
在執行個體詳情頁,單擊加速地區頁簽,然後選擇需要進行訪問加速的地區。本方案選擇亞太地區。
在加速地區頁簽下,單擊添加加速地區。
在添加加速地區對話方塊,根據以下資訊配置加速地區,然後單擊確定。
選擇加速地區:選擇訪問加速服務使用者的所屬地區。本方案選中中國(香港),然後單擊添加至列表。
頻寬:選擇加速服務的地區頻寬。本方案選擇10 Mbps。
IP地址協議:選擇接入Global Acceleration服務的IP地址協議。本方案選擇IPv4。
加速地區添加成功後,Global Acceleration會為每個加速地區中的地區分配一個加速IP,用來加速使用者訪問。
步驟九:建立監聽
監聽負責檢查串連請求。系統會根據您指定的連接埠和協議轉寄來自用戶端的入站串連。
在執行個體列表頁面,單擊步驟六:建立Global Acceleration執行個體中建立的Global Acceleration執行個體ID。
- 預設進入執行個體詳情頁的監聽頁簽,單擊添加監聽。
- 在配置監聽和協議的設定精靈頁面,配置監聽。然後單擊下一步。
參數 描述 監聽名稱 輸入監聽的名稱。 名稱長度為2~128個字元,以大小寫字母或中文開頭,可包含數字、底線(_)和短劃線(-)。 協議 選擇監聽的協議類型。本方案選擇TCP。 連接埠 指定用來接收請求並向終端節點進行轉寄的監聽連接埠,連接埠取值範圍:1~65499。本方案輸入9000。 用戶端親和性 選擇是否保持用戶端親和性。保持用戶端親和性,即用戶端訪問有狀態的應用程式時,可以將來自同一用戶端的所有請求都定向到同一終端節點。本方案選擇源IP。
步驟十:設定終端節點群組
在節點群組名稱地區輸入節點群組名稱。
選擇終端節點群組所屬的地區,即請求要訪問的目標伺服器的所屬地區。
本方案要將流量轉寄到Web Application Firewall,所以選擇美國矽谷。
選擇後端服務部署在阿里雲還是非阿里雲。本方案選擇非阿里雲。
選擇開啟或關閉保持用戶端源IP。開啟後,後端伺服器可以通過該功能擷取用戶端源IP。本教程選擇關閉保持用戶端源IP。
配置終端節點。
後端服務類型:選擇自訂網域名。
後端服務:輸入步驟五添加網站配置後WAF分配的CNAME地址。詳細資料,請參見步驟五:添加網站配置。
權重:輸入終端節點的權重,權重取值範圍:0~255。Global Acceleration根據您配置的權重按比例將流量路由到終端節點。
警告如果某個終端節點的權重設定為0,Global Accelerator將終止向該終端節點分發流量,請您謹慎操作。
單擊下一步查看監聽和終端節點群組配置,確認無誤後,再單擊下一步。
步驟十一:開通DDoS高防(國際)執行個體
部署在中國內地以外的商務服務器,可以通過DDoS高防(國際)降低DDoS攻擊風險。DDoS高防(國際)依託先進的分布式近源清洗方式清洗攻擊流量,並將過濾後的正常流量返回至來源站點伺服器,保障業務穩定運行。
完成以下操作,開通DDoS高防(國際)執行個體。
- 登入DDoS高防控制台。
- 在執行個體管理頁面,單擊新購執行個體。
在購買頁面,完成DDoS高防(國際)執行個體的購買配置。
商品類型:選擇DDoS高防(國際)。
防護套餐:選擇DDoS高防(國際)執行個體的防護套餐。
保險版和無憂版的說明,請參見DDoS高防(非中國內地)保險防護和無限防護計費說明。
加速線路的說明,請參見DDoS高防(非中國內地)加速線路計費說明。
本方案選擇無憂版。
業務頻寬:選擇DDoS高防(國際)執行個體的業務頻寬。
業務頻寬即在無攻擊狀態下本執行個體最大可容納的正常業務流量。本方案選擇100Mbps。
功能套餐:選擇功能套餐。
支援標準功能和增強功能。關於標準功能和增強功能的差異,請參見標準功能和增強功能的差異。本方案選擇增強功能。
防護網域名稱數:選擇支援接入防護的HTTP/HTTPS網域名稱數量。
關於防護網域名稱數的詳細說明,請參見購買DDoS高防執行個體。本方案選擇10。
業務QPS:選擇業務QPS。
業務QPS是無攻擊狀態下本執行個體最大可容納HTTP/HTTPS的並發請求速率。本方案選擇3000。
防護連接埠數:選擇支援的防護連接埠數量。
防護連接埠數即通過TCP/UDP協議轉寄支援的最大條目數。本方案選擇50。
購買數量:選擇購買當前配置的執行個體的數量。
購買時間長度:選擇要購買執行個體的有效期間。
單擊立即購買並完成支付。
步驟十二:添加網站
網站配置定義了接入DDoS高防的網站業務的流量轉寄資訊。
完成以下操作,在DDoS高防中添加要防護的網站資訊。
- 登入DDoS高防控制台。
在頂部狀態列,選擇服務所在地區。本方案選擇非中國內地。
- 在左側導覽列,單擊 。
- 在網域名稱接入頁面,單擊添加網站。
在添加網站頁面,填寫網站資訊。
功能套餐:選擇要關聯的DDoS高防執行個體的功能套餐規格。
支援標準功能和增強功能,詳細資料,請參見標準功能和增強功能的差異。本方案選擇增強功能。
- 執行個體:選中要關聯的DDoS高防執行個體。一個網站網域名稱最多支援關聯八個DDoS高防執行個體,且不支援關聯不同功能套餐的執行個體。
網站:輸入要防護的網站網域名稱。 本方案輸入www.example.us。
- 協議類型:選擇網站支援的協議類型。本方案保持預設選擇的HTTP和HTTPS。
伺服器位址:選擇來源站點地址類型,並指定來源站點伺服器位址。本方案選擇來源站點IP,然後輸入步驟八添加加速地區後Global Acceleration執行個體分配給中國香港地區的加速IP。詳細資料,請參見步驟八:添加加速地區。
伺服器連接埠:根據選擇的協議類型指定伺服器連接埠。 本方案指定連接埠為9000。
單擊添加。
步驟十三:配置流量調度器
您可以通過DDoS高防流量調度器配置DDoS高防與雲資源間的聯動規則,僅在特定情境下觸發並切換啟用DDoS高防,保證無DDoS攻擊時日常業務的流暢體驗以及發生DDoS攻擊時達到更好的防護效果。
完成以下操作,配置流量調度器。
- 登入DDoS高防控制台。
在頂部狀態列處,選擇服務所在地區。本方案選擇非中國內地。
- 在左側導覽列,單擊接入管理 > 流量調度器。
- 在通用聯動頁簽下,單擊添加規則。
在添加規則面板,完成聯動規則配置。
- 聯動情境:選擇規則的聯動情境。本方案選擇雲產品聯動。
- 規則名:輸入規則名稱。規則名由英文字母、數字和下橫線(_)組成,不超過128個字元。
高防IP:選擇要聯動的DDoS高防執行個體。本方案選擇步驟十一中建立的DDoS高防執行個體。
聯動資源:選擇雲資源所在地區,然後輸入雲資源IP地址。
單擊添加雲資源IP,可以添加多個雲資源。最多支援添加20個IP。
本方案選擇中國香港,然後輸入步驟八添加加速地區後Global Acceleration執行個體分配給中國香港地區的加速IP。詳細資料,請參見步驟八:添加加速地區。
回切時間:發生聯動後,允許觸發回切流程的等待時間。
考慮到黑洞解除的等待時間以及避免頻繁觸發聯動切換,回切時間的最小值為30分鐘。本方案設定為60分鐘。
單擊下一步。
- 單擊完成。成功添加規則後,流量調度器為建立規則分配一個CNAME地址。
步驟十四:將DNS解析到流量調度器
使用流量調度器添加調度規則後,您必須更新規則對應網域名稱的DNS解析CNAME記錄,將中國內地地區使用者的業務流量切換至流量調度器,使規則生效。
如果您使用其他DNS服務商的網域名稱解析服務,請登入服務商系統修改網站網域名稱的解析記錄。
完成以下操作,將DNS解析到流量調度器。
- 登入阿里雲Alibaba Cloud DNS控制台。
- 在網域名稱解析頁面,找到目標網域名稱,單擊操作列下的解析設定。
在解析設定頁面,單擊添加記錄。
在添加記錄對話方塊,配置記錄,然後單擊確定。
記錄類型:選擇記錄類型。
本方案需要將Web網域名稱指向另一個網域名稱,所以選擇CNAME。
主機記錄:輸入加速網域名稱的首碼。
本方案輸入www。
解析線路:選擇預設。
記錄值:設定為步驟十三配置流量調度器後為建立規則分配的CNAME地址。詳細資料,請參見步驟十三:配置流量調度器。
TTL:網域名稱解析的生效時間。
本方案選擇10分鐘。
重複上述步驟,分別為中國聯通、中國電信、中國移動、中國教育網線路添加記錄。
步驟十五:訪問測試
在接入地區(本方案為中國內地)下,使用Windows電腦測試Global Acceleration聯動DDoS高防(國際)、Web Application Firewall、全域流量管理後的防護和加速效果。
在瀏覽器中使用Web服務網域名稱(本方案為海外網域名稱www.example.us)訪問美國(矽谷)地區部署的Web服務。
在cmd視窗下,執行
nslookup <Web服務網域名稱>
查看解析結果。來源站點未被攻擊時:解析結果為配置的Global Acceleration的IP。
來源站點被攻擊時:解析結果為DDoS高防(國際)IP。
執行
nslookup <全域流量管理的CNAME接入網域名稱>
查看解析結果。主伺服器組(本方案為美國矽谷伺服器1和伺服器2)正常運行時:解析結果為美國矽谷伺服器1或伺服器2的IP。
主伺服器組(本方案為美國矽谷伺服器1和伺服器2)異常時:解析結果為美國矽谷伺服器3或伺服器4的IP。
執行以下命令,查看資料包延遲情況。
curl -o /dev/null -s -w "time_connect: %{time_connect}\ntime_starttransfer: %{time_starttransfer}\ntime_total: %{time_total}\n" "http[s]://<Web服務網域名稱>[:<連接埠>]"
其中:- time_connect:連線時間,從開始到建立TCP串連完成所用的時間。
- time_starttransfer:開始傳輸時間。在用戶端發出請求後,到後端伺服器響應第一個位元組所用的時間。
- time_total:串連總時間。用戶端發出請求後,到後端伺服器響應會話所用的時間。