NLB如何綁定DDoS防護（增強版）EIP - Server Load Balancer

阿里雲EIP提供DDoS防護（增強版）安全防護層級的EIP。DDoS防護（增強版）EIP提供Tbps級的專業DDoS防護能力，適用於大型遊戲、重大線上直播等對安全防護層級要求較高且時延較敏感的情境。本文介紹NLB如何綁定DDoS防護（增強版）EIP，並通過DDoS防護（增強版）EIP實現公網訪問。 image..png

DDoS防護（增強版）EIP介紹

阿里雲提供DDoS防護（增強版）EIP，在購買EIP執行個體時，您可以在Elastic IP Address控制台選擇購買DDoS防護（增強版）EIP。DDoS防護（增強版）EIP支援在原生防護模式下，提供Tbps級的專業DDoS防護能力。使用DDoS防護（增強版）EIP，您無需額外進行DDoS高防配置，業務IP也無需進行轉換。更多資訊，請參見DDoS防護（增強版）EIP最佳實務。

使用限制

NLB執行個體所屬的地區和DDoS防護（增強版）EIP所屬的地區需相同。

DDoS防護（增強版）EIP使用限制

僅隨用隨付模式、BGP（多線）線路類型的EIP支援選擇DDoS防護（增強版）。
指定IP位址集區建立DDoS防護（增強版）EIP時，需要IP位址集區也同為DDoS防護（增強版）類型。

目前支援DDoS防護（增強版）的地區：

支援DDoS防護（增強版）EIP的地區

地區	地區
中國	華北2（北京）、華東1（杭州）、華東2（上海）、中國香港
亞太地區	菲律賓（馬尼拉）、日本（東京）、新加坡、馬來西亞（吉隆坡）、印尼（雅加達）
歐美地區	美國（維吉尼亞）、美國（矽谷）、德國（法蘭克福）、英國（倫敦）

支援DDoS防護（增強版）IP位址集區的地區

地區	地區
中國	中國香港
亞太地區	菲律賓（馬尼拉）、日本（東京）、新加坡、馬來西亞（吉隆坡）、印尼（雅加達）
歐美地區	美國（維吉尼亞）、美國（矽谷）、德國（法蘭克福）、英國（倫敦）

NLB執行個體綁定DDoS防護（增強版）EIP使用限制

綁定前，要求DDoS防護（增強版）EIP未加入共用頻寬。如有加入共用頻寬的需求，NLB執行個體綁定DDoS防護（增強版）EIP後，您可以在負載平衡控制台選擇加入共用頻寬。DDoS防護（增強版）EIP僅支援加入BGP（多線）共用頻寬。

計費說明

NLB綁定DDoS防護（增強版）EIP執行個體後，會產生安全防護費用，該費用由DDoS防護服務收取。 NLB綁定高防EIP

收費項	計費公式	相關文檔
執行個體費	`執行個體費=執行個體單價(美元/小時)×計費時間長度(小時)`	執行個體費
LCU費	`LCU費=max{建立串連數LCU值，並發串連數LCU值，處理資料量LCU值，規則評估數LCU值}×LCU單價×計費時間長度(小時)`	效能容量單位LCU費
公網網路費	私網NLB不收取公網網路費用，只有當您購買公網NLB才會收取公網網路費用。NLB綁定DDoS防護（增強版）EIP後，EIP將會收取DDoS防護（增強版）EIP執行個體的執行個體費、流量費。更多資訊，請參見隨用隨付。
安全防護費	NLB綁定DDoS防護（增強版）EIP執行個體後，會產生安全防護費用。更多資訊，請參見原生防護2.0（後付費）。警告購買DDoS防護（增強版）EIP所開通的DDoS原生防護（隨用隨付）服務是按月開通產品，需至少正式開通30天，30天內不支援停用服務。

前提條件

您已建立了Virtual Private Cloud1。具體操作，請參見建立專用網路。
您已在VPC1中建立ECS01和ECS02執行個體，且ECS01和ECS02執行個體中部署了2個不同的Nginx服務。
- 關於如何建立ECS執行個體，請參見自訂購買執行個體。
- 關於如何部署Nginx服務，請參見手動部署LNMP環境（CentOS 7）。
您已建立NLB伺服器組RS01，並選擇ECS01和ECS02作為後端伺服器。具體操作，請參見建立和管理伺服器組。
如需加入共用頻寬，您需購買共用頻寬。本文您已購買BGP多線共用頻寬。具體操作，請參見建立共用頻寬執行個體。

配置流程

步驟一：建立DDoS防護（增強版）EIP

NLB執行個體綁定DDoS防護（增強版）EIP前，您需要先至Elastic IP Address管理主控台購買DDoS防護（增強版）EIP。

登入Elastic IP Address管理主控台。
在Elastic IP Address頁面，單擊建立Elastic IP Address。
在Elastic IP Address建立頁面，首次購買DDoS防護（增強版）EIP時，請根據頁面提示單擊DDoS原生防護（按量），開通DDoS原生防護（隨用隨付版）。
警告
購買DDoS防護（增強版）EIP所開通的DDoS原生防護（隨用隨付）服務是按月開通產品，需至少正式開通30天，30天內不支援停用服務。
開通DDoS原生防護（隨用隨付）服務後，您可登入流量安全產品控制台，在網路安全 > DDoS原生防護 > 賬單中心或者網路安全 > DDoS原生防護 > 執行個體管理頁面查看已開通的DDoS原生防護執行個體的詳細資料。

開通DDoS原生防護後，在Elastic IP Address建立頁面，根據以下資訊配置EIP，然後單擊立即購買並完成支付。

此處僅列出與本文強相關的配置項。其餘參數的配置，請參見申請EIP。

配置	說明
付費模式	選擇EIP的付費模式。本文只選擇隨用隨付。
地區	選擇EIP的地區。確保EIP的地區和NLB執行個體的地區相同。本文選擇華東1（杭州）。
線路類型	選擇EIP的線路類型。本文選擇BGP（多線）。
安全防護	根據您的業務需要，選擇安全防護層級。本文只選擇DDoS防護（增強版）。預設：提供不超過5 Gbps的基礎DDoS防護能力。 DDoS防護（增強版）：提供Tbps級專業的DDoS防護能力。
流量	選擇EIP流量的計量方式。本文選擇按使用流量計費。
購買數量	根據業務需要，選擇購買DDoS防護（增強版）EIP的數量。

步驟二：NLB執行個體綁定DDoS防護（增強版）EIP

支援在新購NLB執行個體和變更NLB執行個體網路類型時綁定DDoS防護（增強版）EIP。您可以根據需要選擇對應的情境進行操作。

新購NLB執行個體

您可以在新購NLB執行個體時，在購買頁選擇綁定已建立的DDoS防護（增強版）EIP。

登入網路型負載平衡NLB控制台。
在頂部功能表列，選擇NLB執行個體所屬的地區。本文選擇華東1（杭州）。
在執行個體頁面，單擊建立網路型負載平衡。
在網路型負載平衡(隨用隨付)國際站購買頁面，完成以下配置，然後單擊立即購買並根據頁面提示完成支付。
此處僅列出和本文強相關的配置項，其餘參數的配置請參見建立NLB執行個體。
- 執行個體網路類型：選擇公網。
- VPC：選擇已建立的VPC1。
- 可用性區域：選擇可用性區域及交換器，並為所選可用性區域分配已建立的DDoS防護（增強版）EIP。
  說明
  NLB支援多可用性區域部署，若當前地區支援2個及2個以上的可用性區域，為保障業務高可用，請至少選擇2個可用性區域，且NLB不會額外收取可用性區域的費用。
  如果可用性區域下無交換器，請根據控制台提示建立交換器。
  同一個NLB執行個體支援同時選擇DDoS防護（增強版）EIP和預設安全防護EIP。預設選項自動分配公網IP建立的是隨用隨付（按使用流量計費）的BGP多線預設安全防護EIP。
完成NLB執行個體監聽的配置。本文以配置TCP監聽為例說明，並選擇已建立的NLB伺服器組RS01。
1. 返回NLB執行個體頁面，在目標執行個體操作列單擊建立監聽。
2. 在配置監聽設定精靈，完成監聽參數的配置，然後單擊下一步。
  此處僅列出部分參數的配置，其餘參數可保持預設值。更多資訊，請參見添加TCP監聽。
  - 選擇負載平衡協議：本文選擇TCP，您可以按需配置。
  - 監聽連接埠：本文設定為80。
3. 在選擇伺服器組設定精靈，選擇已建立的RS01伺服器組，然後單擊下一步。
4. 在組態稽核設定精靈，確認配置資訊，然後單擊提交。

已有私網NLB執行個體

如果您需要為已建立的私網NLB執行個體綁定DDoS防護（增強版）EIP，可在變更網路類型時為該NLB執行個體分配DDoS防護（增強版）EIP。

登入網路型負載平衡NLB控制台。
在頂部功能表列，選擇執行個體所屬的地區。本文選擇華東1（杭州）。
在執行個體頁面，找到目標私網NLB執行個體，然後單擊執行個體ID。
在執行個體詳情頁簽，找到基本資料地區，在網路類型的IPv4右側單擊變更網路類型。
在彈出的變更網路類型對話方塊中，選擇IP類型為Elastic IP Address，在分配Elastic IP Address下拉框中，選擇步驟一：建立DDoS防護（增強版）EIP建立的DDoS防護（增強版）EIP，單擊確定變更。
同一個NLB執行個體支援同時選擇DDoS防護（增強版）EIP和預設安全防護EIP。選擇新購Elastic IP Address時建立的是隨用隨付（按使用流量計費）的BGP多線預設安全防護EIP。

已有公網NLB執行個體

如果您的公網NLB執行個體已綁定預設安全防護EIP，該NLB執行個體需要綁定DDoS防護（增強版）EIP，請執行以下操作：

公網NLB執行個體變更為私網。
在變更網路類型時，為私網NLB執行個體分配DDoS防護（增強版）EIP。

說明

建立公網NLB執行個體時，預設選項自動分配公網IP綁定的是隨用隨付（按使用流量計費）的BGP多線預設安全防護EIP。

公網ALB執行個體綁定高防EIP

步驟1：公網NLB執行個體變更為私網NLB執行個體

在執行個體頁面，找到目標公網NLB執行個體，然後單擊執行個體ID。
在執行個體詳情頁簽，找到基本資料地區，在執行個體詳情的IPv4右側單擊變更網路類型。
在彈出的變更網路類型對話方塊中，確認轉換後的影響，然後單擊確定變更。
此變更生效大約需要一分鐘，在執行個體詳情頁簽查看網路類型轉變為私網後，代錶轉換成功。

步驟2：私網NLB執行個體變更為公網NLB執行個體

在執行個體頁面，找到目標私網NLB執行個體，然後單擊執行個體ID。
在執行個體詳情頁簽，找到基本資料地區，在網路類型的IPv4右側單擊變更網路類型。
在彈出的變更網路類型對話方塊中，選擇IP類型為Elastic IP Address，在分配Elastic IP Address下拉框中，選擇步驟一：建立DDoS防護（增強版）EIP建立的DDoS防護（增強版）EIP，單擊確定變更。
一個NLB執行個體支援同時選擇DDoS防護（增強版）EIP和預設安全防護EIP。選擇新購Elastic IP Address時建立的是隨用隨付（按使用流量計費）的BGP多線預設安全防護EIP。

（可選）步驟三：申請加入共用頻寬

未加入共用頻寬時，NLB執行個體（雙可用性區域）預設公網頻寬峰值為400 Mbps。如需更大頻寬，可申請加入共用頻寬。

在NLB執行個體頁面，找到目標執行個體，您可以選擇以下任意一種方法加入共用頻寬。
- 在操作列選擇>加入EIP Bandwidth Plan，或在EIP Bandwidth Plan列單擊加入。
- 單擊目標執行個體ID，在執行個體詳情頁簽，找到付費資訊地區，單擊加入共用頻寬。
在加入共用寬頻對話方塊，選擇目標共用頻寬，單擊確認加入。

步驟四：設定網域名稱解析

NLB支援將您擁有的常用網域名稱通過CNAME方式解析到NLB執行個體的公網服務網域名稱上，使您可以更加方便地訪問各種網路資源。

在左側導覽列，選擇網路型負載平衡NLB > 執行個體。
在頂部功能表列，選擇NLB執行個體所屬的地區。本文選擇華東1（杭州）。

執行以下步驟添加CNAME解析記錄。

說明

對於非阿里雲註冊網域名稱，需先將網域名稱添加到雲解析控制台，才可以進行網域名稱解析設定。具體操作，請參見網域名稱管理。如果您是阿里雲註冊的網域名稱，請直接執行以下步驟。

登入網域名稱解析控制台。
在權威網域名稱解析頁面，找到目標網域名稱，在操作列單擊解析設定。
在解析設定頁面，單擊添加記錄。

在添加記錄面板，配置以下資訊完成CNAME解析配置，然後單擊確定。

配置	說明
記錄類型	在下拉式清單中選擇CNAME。
主機記錄	您的網域名稱的首碼。本文輸入`@`。說明建立網域名稱為根網域名稱時，主機記錄為@。
解析請求來源	選擇預設。
記錄值	輸入欄位名對應的CNAME地址，此處為NLB執行個體的DNS名稱。
TTL	全稱Time To Live，表示DNS記錄在DNS伺服器上的緩衝時間，本文使用預設值。

步驟五：訪問測試

本文以NLB執行個體配置TCP監聽為例說明，並選擇已建立的NLB伺服器組RS01。更多操作，請參見：

當您為NLB執行個體設定網域名稱解析後，您可以在瀏覽器中輸入步驟四：設定網域名稱解析解析的網域名稱，測試NLB執行個體通過DDoS防護（增強版）EIP實現公網訪問。

您可以觀察到請求已轉寄至兩台ECS伺服器。訪問測試圖1 訪問測試圖2