全部产品
Search

搜索本产品

    DDoS 防护:云产品联动

    文档中心

    DDoS 防护:云产品联动

    更新时间:Jul 02, 2024

    云产品联动表示通过自定义规则,联动使用DDoS高防与阿里云公网IP资源,解决网站业务接入高防防护后,正常业务访问延时增加的问题。

    前提条件

    • 业务使用阿里云公网IP资源,具体包括拥有公网IP的云服务器ECS或负载均衡SLB、弹性公网IP、Web应用防火墙。

    • 已购买DDoS高防(中国内地)专业版实例、DDoS高防(非中国内地)保险版或无忧版实例。

      重要

      DDoS高防实例的业务带宽、QPS等规格必须满足正常业务防护需求。

      相关操作,请参见购买DDoS高防实例

    • 已将网站业务接入DDoS高防实例进行防护。

      相关操作,请参见添加网站配置

    • 已验证DDoS高防实例可以正常转发业务流量。

      相关操作,请参见本地验证转发配置生效

    背景信息

    业务接入DDoS高防防护后,默认所有业务流量都经过DDoS高防转发,其中攻击流量被清洗后丢弃,只有正常业务流量被转发到源站服务器。在业务正常访问期间(无攻击时),由于正常业务流量也经过DDoS高防转发,会给业务访问带来少量延迟。

    如果您希望在业务正常访问期间不增加延迟,则可以通过流量调度器创建一条云产品联动调度规则,实现业务正常访问期间,流量直达源站服务器(不增加延时);仅在业务被攻击时,流量切换到DDoS高防,经清洗后再转发到源站服务器。

    添加云产品联动规则

    1. 登录DDoS高防控制台

    2. 在顶部菜单栏左上角处,选择地域。

      • DDoS高防(中国内地):选择中国内地地域。

      • DDoS高防(非中国内地):选择非中国内地地域。

    3. 在左侧导航栏,选择接入管理 > 流量调度器

    4. 通用联动页签,单击添加规则

    5. 添加规则面板,配置云产品联动规则,并单击下一步

      图 1. DDoS高防(中国内地)云产品联动规则示例添加规则配置,防护调度

      参数

      描述

      联动场景

      选择云产品联动

      规则名

      为规则命名。

      规则名由英文字母、数字和下划线(_)组成,不超过128个字符。

      高防IP

      选择要联动的DDoS高防实例。

      联动资源

      输入要联动的云资源IP,可以使用ECS实例IP、SLB实例IP、WAF实例IP、EIP。

      单击添加云资源IP,可以添加多个云资源。最多支持添加20个IP。

      说明

      添加多个云资源IP时(即多个云资源IP关联一个高防IP),如果一个云资源IP上发生DDoS攻击,将优先使用其他云资源IP,直到无可用云资源IP时,才会切换到高防进行防护。如果您希望云产品多路分摊流量,每路被攻击时单独切换高防,请参见多路分摊切换配置

      回切时间

      业务流量联动到DDoS高防进行防护后,允许触发回切流程(切换回云资源IP)的等待时间。攻击结束且经过该等待时间后,业务流量自动回切到云资源IP。

      可选范围:30~120分钟。推荐您设置为60分钟。

      说明

      • 当DDoS高防实例处于黑洞状态时,或在高防黑洞事件开始时间+回切时间到期前,不允许云资源切换到高防进行防护。

      • 当云资源发生黑洞时,自动切换到高防进行防护。云资源黑洞状态下,不允许从高防回切到云上。云资源解除黑洞后可以立即回切,不受回切时间限制。

    6. 按照页面提示修改域名的DNS解析设置,并单击完成

      要使联动规则生效,您必须在域名的DNS服务商处修改域名的DNS解析(如果域名通过阿里云域名服务注册,只需在云解析DNS控制台操作;否则需要在注册域名的第三方平台操作),将解析指向流量调度器的CNAME地址。

      重要

      您修改域名的DNS解析后,流量调度规则将会生效。建议您在修改DNS解析前,先通过修改本地计算机的hosts文件配置,验证流量调度规则,避免因回源策略不一致出现不兼容问题。例如,在CDN和高防联动且回源到OSS的场景,由于CDN回源支持修改回源HOST,而DDoS高防不支持,导致发生攻击自动切换到DDoS高防后,DDoS高防回源到OSS的正常流量无法被识别,出现业务故障。

      关于验证流量调度规则的操作,请参见本地验证转发配置生效

      关于修改域名DNS解析的操作,请参见修改CNAME解析接入流量调度器

    配置云产品联动规则后,如果云资源上未发生DDoS攻击,业务流量不经过DDoS高防清洗,直接由客户端到云资源;只有在云资源上发生DDoS攻击时,业务流量才会自动切换到DDoS高防进行清洗,保证只有正常业务流量会转发到云资源。业务流量自动切换到DDoS高防后,DDoS高防将在攻击结束后等待一段时间(回切时间),自动将业务流量回切到云资源。

    除了自动切换方式,您还可以选择手动切换,即根据业务防护需求,手动将业务流量切换到DDoS高防进行清洗、回切到云资源。更多信息,请参见相关操作

    相关操作

    成功添加通用联动规则后,您可以在规则列表,对已添加的规则执行以下操作。

    操作

    说明

    切到高防

    在未自动触发DDoS高防清洗(联动资源下有绿色图标)时,手动将业务流量切换到DDoS高防进行清洗。适用于在业务触发黑洞前提前切换,减少业务损伤。切到高防

    只有当DDoS高防IP不在黑洞中,才可以正常切换到DDoS高防。

    重要

    手动将业务流量切换到DDoS高防后,默认不会自动回切到联动资源。如需回切到联动资源,您必须手动执行回切操作。

    回切

    在业务流量由DDoS高防清洗(高防IP下有绿色图标)时,手动将业务流量回切到联动资源。回切

    重要

    • 建议您在执行回切前,确认攻击已经结束并且回切的联动资源线路可用,避免联动资源处于沙箱状态导致业务中断。

    • 如果您通过切到高防操作将业务流量切换到DDoS高防,则只能通过回切操作将流量回切到联动资源。

    如果联动资源全部在黑洞中,回切操作将会失败。如果有部分联动资源已经解除黑洞,部分联动资源还在黑洞中,流量将先回切到已经解除黑洞的联动资源上,其他资源等待黑洞解除后自动恢复流量。

    编辑

    编辑通用联动规则,修改除联动场景规则名以外的参数配置。

    删除

    删除通用联动规则。

    警告

    删除联动规则前,请确保网站域名的解析没有指向流量调度器CNAME,否则删除联动规则后,网站将无法正常访问。