ALB通過DDoS防護（增強版）EIP實現公網訪問 - Server Load Balancer

阿里雲EIP提供DDoS防護（增強版）安全防護層級的EIP。DDoS防護（增強版）EIP提供Tbps級的專業DDoS防護能力，適用於大型遊戲、重大線上直播等對安全防護層級要求較高且時延較敏感的情境。本文介紹ALB如何綁定DDoS防護（增強版）EIP，並通過DDoS防護（增強版）EIP實現公網訪問。

DDoS防護（增強版）EIP介紹

阿里雲提供DDoS防護（增強版）EIP，在購買EIP執行個體時，您可以在Elastic IP Address控制台選擇購買DDoS防護（增強版）EIP。DDoS防護（增強版）EIP支援在原生防護模式下，提供Tbps級的專業DDoS防護能力。使用DDoS防護（增強版）EIP，您無需額外進行DDoS高防配置，業務IP也無需進行轉換。更多資訊，請參見DDoS防護（增強版）EIP最佳實務。

使用限制

ALB執行個體所屬的地區和DDoS防護（增強版）EIP所屬的地區需相同。

DDoS防護（增強版）EIP使用限制

僅隨用隨付模式、BGP（多線）線路類型的EIP支援選擇DDoS防護（增強版）。
指定IP位址集區建立DDoS防護（增強版）EIP時，需要IP位址集區也同為DDoS防護（增強版）類型。

目前支援DDoS防護（增強版）的地區：

支援DDoS防護（增強版）EIP的地區

地區	地區
中國	華北2（北京）、華北3（張家口）、華東1（杭州）、華東2（上海）、中國香港
亞太地區	菲律賓（馬尼拉）、日本（東京）、新加坡、馬來西亞（吉隆坡）、印尼（雅加達）
歐美地區	美國（維吉尼亞）、美國（矽谷）、德國（法蘭克福）、英國（倫敦）

支援DDoS防護（增強版）IP位址集區的地區

地區	地區
中國	中國香港
亞太地區	菲律賓（馬尼拉）、日本（東京）、新加坡、馬來西亞（吉隆坡）、印尼（雅加達）
歐美地區	美國（維吉尼亞）、美國（矽谷）、德國（法蘭克福）、英國（倫敦）

ALB執行個體綁定DDoS防護（增強版）EIP使用限制

ALB執行個體的每個可用性區域都需要選擇DDoS防護（增強版）防護的EIP。
綁定前，要求DDoS防護（增強版）EIP未加入共用頻寬。如有加入共用頻寬的需求，ALB執行個體綁定DDoS防護（增強版）EIP後，您可以在負載平衡控制台選擇加入共用頻寬。僅支援加入BGP（多線）共用頻寬。

計費說明

ALB綁定DDoS防護（增強版）EIP執行個體後，會產生安全防護費用，該費用由DDoS防護服務收取。計費說明

收費項	計費公式	相關文檔
執行個體費	`執行個體費=執行個體單價(美元/小時)×計費時間長度(小時)`	執行個體費
LCU費	`LCU費=max{建立串連數LCU值，並發串連數LCU值，處理資料量LCU值，規則評估數LCU值}×LCU單價×計費時間長度(小時)`	效能容量單位LCU費
公網網路費	私網ALB不收取公網網路費用，只有當您購買公網ALB才會收取公網網路費用。ALB綁定DDoS防護（增強版）EIP後，將會收取EIP的執行個體費、流量費。更多資訊，請參見隨用隨付。
安全防護費	ALB綁定DDoS防護（增強版）EIP執行個體後，會產生安全防護費用。更多資訊，請參見原生防護2.0後付費。警告購買DDoS防護（增強版）EIP所開通的DDoS原生防護（隨用隨付）服務是按月開通產品，需至少正式開通30天，30天內不支援停用服務。

前提條件

您已建立了Virtual Private Cloud1。具體操作，請參見建立專用網路。
您已在VPC1中建立ECS01和ECS02執行個體，且ECS01和ECS02執行個體中部署了2個不同的應用服務。
- 關於如何建立ECS執行個體，請參見自訂購買執行個體。
- 本文ECS01和ECS02部署測試應用服務樣本如下：
  ECS01服務部署命令
```
yum install -y nginx
systemctl start nginx.service
cd /usr/share/nginx/html/
echo "Hello World ! This is ECS01." > index.html
```
  ECS02服務部署命令
```
yum install -y nginx
systemctl start nginx.service
cd /usr/share/nginx/html/
echo "Hello World ! This is ECS02." > index.html
```
您已建立ALB伺服器組RS01，並選擇ECS01和ECS02作為後端伺服器。具體操作，請參見建立和管理伺服器組。
如需加入共用頻寬，您需購買共用頻寬。本文您已購買BGP多線共用頻寬。具體操作，請參見建立共用頻寬執行個體。

操作流程

ALB綁定高防EIP

步驟一：建立DDoS防護（增強版）EIP

ALB執行個體綁定DDoS防護（增強版）EIP前，您需要先至Elastic IP Address管理主控台購買DDoS防護（增強版）EIP。

登入Elastic IP Address管理主控台。
在Elastic IP Address頁面，單擊建立Elastic IP Address。
在Elastic IP Address建立頁面，首次購買DDoS防護（增強版）EIP時，請根據頁面提示或單擊DDoS原生防護（隨用隨付版），開通DDoS原生防護（隨用隨付版）。
警告
購買DDoS防護（增強版）EIP所開通的DDoS原生防護（隨用隨付）服務是按月開通產品，需至少正式開通30天，30天內不支援停用服務。
開通DDoS原生防護（隨用隨付）服務後，您可登入流量安全產品控制台，在網路安全 > DDoS原生防護 > 賬單中心或者網路安全 > DDoS原生防護 > 執行個體管理頁面查看已開通的DDoS原生防護執行個體的詳細資料。

已開通DDoS原生防護後，在Elastic IP Address建立頁面，根據以下資訊配置EIP，然後單擊立即購買並完成支付。

此處僅列出與本文強相關的配置項。其餘參數的配置，請參見申請EIP。

配置	說明
付費模式	選擇EIP的付費模式。本文選擇隨用隨付。
地區	選擇EIP的地區。確保EIP的地區和ALB執行個體的地區相同。本文選擇華東1（杭州）。
線路類型	選擇EIP的線路類型。本文選擇BGP（多線）。
安全防護	根據您的業務需要，選擇安全防護層級。本文選擇DDoS防護（增強版）。預設：提供不超過5 Gbps的基礎DDoS防護能力。 DDoS防護（增強版）：提供Tbps級專業的DDoS防護能力。
流量	選擇EIP流量的計量方式。本文選擇按使用流量計費。
購買數量	根據業務需要，選擇購買EIP的數量，購買的DDoS防護（增強版）EIP的數量需與ALB執行個體的可用性區域數量相同。

步驟二：ALB執行個體綁定DDoS防護（增強版）EIP

新購ALB執行個體

您可以在新購ALB執行個體時，在購買頁選擇綁定已建立的DDoS防護（增強版）EIP。

登入應用型負載平衡ALB控制台。
在執行個體頁面，單擊建立應用型負載平衡。
在應用型負載平衡(隨用隨付)國際站購買頁面，完成以下配置，然後單擊立即購買。
此處僅列出和本文強相關的配置項，其餘參數的配置請參見建立應用型負載平衡。
- 執行個體網路類型：選擇公網。
- VPC：選擇已建立的VPC1。
- 可用性區域：選擇可用性區域及交換器，並分別為所選可用性區域分配已建立的DDoS防護（增強版）EIP。
  說明
  ALB支援多可用性區域部署，若當前地區支援2個及2個以上的可用性區域，為保障業務高可用，請至少選擇2個可用性區域，且ALB不會額外收取可用性區域的費用。
  如果可用性區域下無交換器，請根據控制台提示建立交換器。
完成ALB執行個體監聽的配置。本文以配置HTTP監聽為例說明，並選擇已建立的ALB伺服器組RS01。
1. 返回ALB執行個體頁面，在目標執行個體操作單擊建立監聽。
2. 在配置監聽設定精靈，完成監聽參數的配置，然後單擊下一步。
  此處僅列出部分參數的配置，其餘參數可保持預設值。更多資訊，請參見添加HTTP監聽。
  - 選擇監聽協議：選擇HTTP。
  - 監聽連接埠：輸入80。
3. 在選擇伺服器組設定精靈，選擇已建立的RS01伺服器組，然後單擊下一步。
4. 在組態稽核設定精靈，確認配置資訊，然後單擊提交。

已有私網ALB執行個體

如果您需要為已建立的私網ALB執行個體綁定DDoS防護（增強版）EIP，可在變更網路類型時為該ALB執行個體分配DDoS防護（增強版）EIP。

登入應用型負載平衡ALB控制台。
在頂部功能表列，選擇執行個體所屬的地區。本文選擇華東1（杭州）。
在執行個體頁面，找到目標私網ALB執行個體，然後單擊執行個體ID。
在執行個體詳情頁簽，找到基本資料地區，在網路類型的IPv4右側單擊變更網路類型。
在彈出的變更網路類型對話方塊中，在分配Elastic IP Address下拉框中，選擇步驟一：建立DDoS防護（增強版）EIP建立的DDoS防護（增強版）EIP，列表中的所有可用性區域都分配DDoS防護（增強版）EIP後，單擊確定變更。

已有公網ALB執行個體

如果您的公網ALB執行個體已綁定預設安全防護EIP，該ALB執行個體需要綁定DDoS防護（增強版）EIP，請執行以下操作：

公網ALB執行個體變更為私網。
再次變更網路類型時，為私網ALB執行個體分配DDoS防護（增強版）EIP。

說明

新建立的公網ALB執行個體預設綁定隨用隨付（按使用流量計費）的BGP多線預設安全防護EIP。

公網ALB執行個體綁定原生高防EIP

步驟1：公網ALB執行個體變更為私網ALB執行個體

在執行個體頁面，找到目標公網ALB執行個體，然後單擊執行個體ID。
在執行個體詳情頁簽，找到基本資料地區，在網路類型的IPv4右側單擊變更網路類型。
在彈出的變更網路類型對話方塊中，確認轉換後的影響，然後單擊確定變更。
此變更生效大約需要一分鐘，在執行個體詳情頁簽查看網路類型轉變為私網後，代錶轉換成功。

步驟2：私網ALB執行個體變更為公網ALB執行個體

在執行個體頁面，找到目標私網ALB執行個體，然後單擊執行個體ID。
在執行個體詳情頁簽，找到基本資料地區，在網路類型的IPv4右側單擊變更網路類型。
在彈出的變更網路類型對話方塊中，在分配Elastic IP Address下拉框中，選擇步驟一：建立DDoS防護（增強版）EIP建立的DDoS防護（增強版）EIP，列表中的所有可用性區域都分配DDoS防護（增強版）EIP後，單擊確定變更。

（可選）步驟三：申請加入共用頻寬

如需更大頻寬，可申請加入共用頻寬。

在ALB執行個體頁面，找到目標執行個體，您可以選擇以下任意一種方法加入共用頻寬。
- 在操作列選擇 > 加入共用頻寬，或在共用頻寬列單擊加入。
- 單擊目標執行個體ID，在執行個體詳情頁簽，找到付費資訊地區，單擊加入共用頻寬。
在加入共用寬頻對話方塊，選擇目標共用頻寬，單擊確認加入。

步驟四：設定網域名稱解析

ALB支援將您擁有的常用網域名稱通過CNAME方式解析到ALB執行個體的公網服務網域名稱上，使您可以更加方便地訪問各種網路資源。更多資訊，請參見設定CNAME網域名稱解析。

在左側導覽列，選擇應用型負載平衡ALB > 執行個體。
在執行個體頁面，複製已建立的ALB執行個體的DNS名稱。

完成以下步驟來添加CNAME解析記錄。

登入網域名稱解析控制台。
在網域名稱解析頁面單擊添加網域名稱。
在添加網域名稱對話方塊中輸入您的主機網域名稱，然後單擊確認。
重要
您的主機網域名稱需已完成TXT記錄驗證。
在目標網域名稱的操作列單擊解析設定。
在解析設定頁面單擊添加記錄。

在添加記錄面板配置以下資訊完成CNAME解析配置，然後單擊確認。

配置	說明
記錄類型	在下拉式清單中選擇CNAME。
主機記錄	您的網域名稱的首碼。
解析請求來源	選擇預設。
記錄值	輸入欄位名對應的CNAME地址，即您複製的ALB執行個體的DNS名稱。
TTL	全稱Time To Live，表示DNS記錄在DNS伺服器上的緩衝時間，本文使用預設值。

說明

新增CNAME記錄即時生效，修改CNAME記錄取決於本地DNS緩衝的解析記錄的TTL到期時間，預設為10分鐘。
添加時如遇添加衝突，請換一個解析網域名稱。更多資訊請參見解析記錄衝突規則。

步驟五：訪問測試

本文以ALB執行個體配置HTTP監聽為例說明，並選擇已建立的ALB伺服器組RS01。具體操作，請參見添加HTTP監聽。

當您為ALB設定網域名稱解析後，您可以在瀏覽器中輸入步驟四：設定網域名稱解析解析的網域名稱，測試ALB執行個體通過DDoS防護（增強版）EIP實現公網訪問。

重新整理瀏覽器，您可以觀察到用戶端的請求在ECS01和ECS02伺服器之間的轉換。訪問測試圖1 訪問測試圖2