已经添加到DDoS原生防护进行防护的公网IP资产遭受瞬时超大流量DDoS攻击时仍可能被黑洞,需要对被黑洞的IP快速执行黑洞解除操作恢复业务,保障业务稳定性。针对该场景,DDoS原生防护提供了黑洞自动化响应和快速解除的解决方案。
前提条件
黑洞自动化响应和快速解除解决方案需要调用DDoS原生防护的API接口,目前该解决方案仅支持DDoS原生防护实例。在部署黑洞自动解除方案前,请确认您的业务IP已添加至DDoS原生防护实例进行防护。更多信息,请参见防护对象。
背景信息
DDoS原生防护提供黑洞解除功能,您可以在DDoS原生防护控制台手动解除黑洞,具体操作,请参见解除黑洞。由于手动解除黑洞存在延迟和不确定性,如果您的业务对于稳定性和连续性有较高的要求,您可以通过以下方案实现黑洞自动化响应和快速解除:
通过云监控的事件告警功能监控DDoS原生防护实例的黑洞事件。
说明只有已添加为DDoS原生防护实例的防护对象IP触发黑洞策略时,才会触发云监控的黑洞事件报警的消息推送。对于不在DDoS原生防护实例的防护对象列表中的IP触发的黑洞事件将不会被推送。
通过自定义消息的消费机制,调用DDoS原生防护的黑洞解除API接口(DeleteBlackhole - 为被防护IP解除黑洞状态)自动解除被黑洞的业务IP。
通过类似方法,您还可以实现在DDoS攻击事件发生时自动调用云解析的API接口将相关域名的DNS解析切换至DDoS高防实例等。
操作步骤
登录云监控控制台。
在左侧导航栏,选择
。在事件监控页签,单击另存为报警,在创建/修改事件报警面板为DDoS原生防护创建黑洞事件报警规则。
产品类型选择DDoS原生防护,事件类型选择DDoS攻击,事件等级选择严重,事件名称选择黑洞,并选择事件报警消息的推送渠道。其他配置项的详细说明,请参见创建系统事件报警规则。
事件报警创建完成后,当DDoS原生防护实例中已防护的IP被黑洞时,云监控将自动报警并将以下消息实时推送至您所选择的消费渠道。 消息示例:
{ "action": "add", //事件状态。add表示事件开始,del表示事件结束。 "bps": 0, //触发该事件的流量大小,单位:Mbps。 "pps": 0, //触发该事件的包速率,单位:pps。 "instanceId": "ddosbgp-cn-78v17******", //DDoS原生防护实例ID。 "ip": "47.*.*.*", //发生事件的IP。 "regionId": "cn-hangzhou", //DDoS原生防护实例所在的地域。 "time": 1564104493000, //触发事件的时间,格式为毫秒时间戳。 "type": "blackhole" //事件类型。defense表示清洗事件,blackhole表示黑洞事件。 }
定义消息消费机制,对事件消息进行处理并结合DeleteBlackhole - 为被防护IP解除黑洞状态接口实现黑洞自动解除。