阶梯防护表示通过自定义规则,联动使用DDoS高防与DDoS原生防护,解决网站业务接入高防防护后,正常业务访问延时增加的问题。阶梯防护可实现由DDoS原生防护防御日常攻击(不增加延时),仅在发生大流量攻击时切换到DDoS高防进行防护。本文介绍如何添加阶梯防护联动规则。
支持的实例类型
DDoS高防(中国内地)专业版、DDoS高防(中国内地)高级版、DDoS高防(非中国内地)保险版或DDoS高防(非中国内地)无忧版。
前提条件
业务使用阿里云公网IP资源,具体包括拥有公网IP的云服务器ECS或负载均衡SLB、弹性公网IP、Web应用防火墙。
已购买DDoS原生防护实例,并为公网IP资产开启了DDoS原生防护。具体操作,请参见购买DDoS原生防护实例、防护对象。
已购买DDoS高防(中国内地)实例或DDoS高防(非中国内地)实例。具体操作,请参见购买DDoS高防实例。
已将网站业务接入DDoS高防。具体操作,请参见添加网站配置。
已验证DDoS高防实例可以正常转发业务流量。具体操作,请参见本地验证转发配置生效。
添加阶梯防护联动规则
登录DDoS高防控制台。
在顶部菜单栏左上角处,选择地域。
DDoS高防(中国内地):选择中国内地地域。
DDoS高防(非中国内地):选择非中国内地地域。
在左侧导航栏,选择
。在通用联动页签,单击添加规则,配置阶梯防护规则并单击下一步。
配置项
说明
联动场景
选择阶梯防护。
规则名
为规则命名。
规则名由英文字母、数字和下划线(_)组成,不超过128个字符。
高防IP
选择要联动的DDoS高防实例。
联动资源
设置要联动的云资源IP:选择云资源所在地域,并输入云资源IP地址。
重要云资源IP(ECS、SLB、EIP、WAF)必须已经开启DDoS原生防护企业版防护。相关操作,请参见防护对象。
单击添加云资源IP,可以添加多个云资源。最多支持添加20个IP。
说明添加多个云资源IP时(即多个云资源IP关联一个高防IP),如果一个云资源IP上发生DDoS攻击,将优先使用其他云资源IP,直到无可用云资源IP时,才会切换到高防进行防护。如果您希望云产品多路分摊流量,每路被攻击时单独切换高防,请参见多路分摊切换配置。
回切时间
业务流量联动到DDoS高防进行防护后,允许触发回切流程(切换回云资源IP)的等待时间。攻击结束且经过该等待时间后,业务流量自动回切到云资源IP。
可选范围:30~120分钟。推荐您设置为60分钟。
通过修改本地hosts文件验证流量调度规则是否生效,避免因回源策略不一致出现兼容性问题。具体操作,请参见本地验证转发配置生效。
前往DNS服务商处修改DNS解析,将DNS解析指向流量调度器生成的CNAME地址。具体操作,请参见修改CNAME解析接入流量调度器。
修改解析记录后,您可以使用浏览器测试网站访问是否正常,如果网站访问出现异常请先进行异常排查,具体操作,请参见业务接入高防后存在卡顿、延迟、访问不通等问题。
配置阶梯防护联动规则后,云资源IP的业务流量默认由DDoS原生防护进行防护;只有在云资源IP上发生大流量DDoS攻击时,业务流量才会自动切换到DDoS高防进行清洗,保证只有正常业务流量会转发到云资源。业务流量自动切换到DDoS高防后,DDoS高防将在攻击结束后等待一段时间(回切时间),自动将业务流量回切到云资源(由DDoS原生防护进行防护)。
除了自动切换方式,您还可以选择手动切换,即根据业务防护需求,手动将业务流量切换到DDoS高防、回切到云资源。
相关操作
切到高防
在未自动触发DDoS高防清洗,即联动资源前有图标时,您可以手动将业务流量切换到DDoS高防进行清洗。适用于在业务触发黑洞前手动切换到高防,减少业务损伤。
只有当DDoS高防IP不在黑洞中,才可以切换到DDoS高防。
切换到DDoS高防后,默认不会自动回切到联动资源。如需回切到联动资源,您必须手动执行回切操作。
在流量调度器页面的通用联动页签下,定位到联动场景为阶梯防护的规则。
单击操作列的切到高防,在提示对话框中确认无误后,单击确定。
回切
在业务流量由DDoS高防清洗,即高防IP前有图标时,您可以手动将业务流量回切到联动资源。
建议您在执行回切前,确认攻击已经结束并且回切的联动资源线路可用,避免联动资源处于沙箱状态导致业务中断。
如果您通过切到高防操作将业务流量切换到DDoS高防,则只能通过回切操作将流量回切到联动资源。
如果联动资源全部在黑洞中,回切操作将失败。如果有部分联动资源已经解除黑洞,部分联动资源在黑洞,流量将先回切到已经解除黑洞的联动资源,其他联动资源待黑洞解除后自动恢复流量。
在流量调度器页面的通用联动页签下,定位到联动场景为阶梯防护的规则。
单击操作列的回切,在提示对话框中确认无误后,单击确定。
编辑规则
在流量调度器页面的通用联动页签下,定位到联动场景为阶梯防护的规则。
单击操作列的编辑,修改高防IP、联动资源或回切时间后,单击下一步。
删除规则
删除联动规则前,请确保网站域名的解析没有指向流量调度器CNAME,否则删除联动规则后,网站将无法正常访问。
在流量调度器页面的通用联动页签下,定位到联动场景为阶梯防护的规则。
单击操作列的删除,在提示对话框中确认无误后,单击删除。