相比于直接為ECS源站服務器開啟DDoS原生防護,在源站前部署負載均衡后再開啟DDoS原生防護,能夠取得更好的防護效果。本文介紹如何為云服務器ECS上的網站類業務部署負載均衡,并開啟DDoS原生防護。
前提條件
已創建ECS實例并部署業務相關應用。更多信息,請參見新手指引。
已購買DDoS原生防護實例。更多信息,請參見購買DDoS原生防護實例。
背景信息
使用DDoS原生防護進行網站類業務防護時,推薦您為業務所在云服務器ECS實例部署負載均衡SLB,并將負載均衡的服務地址添加為DDoS原生防護的防護對象,實現通過SLB丟棄未監聽協議和端口的流量并大幅提升源站的抗DDoS攻擊能力。上述部署方式對防御不同類型的DDoS攻擊(例如SSDP、NTP、Memcached等反射型攻擊、UDP Flood攻擊、SYN Flood大包攻擊)有很好的效果。
如果您的源站服務器已經部署了負載均衡,則只需參見防護對象,將負載均衡的服務地址作為DDoS原生防護的防護對象,即可為源站服務器開啟DDoS原生防護。
負載均衡SLB包含ALB、NLB、CLB,本文以CLB為例介紹。詳細信息,請參見負載均衡SLB產品家族介紹。
操作步驟
創建一臺公網負載均衡CLB實例。具體操作,請參見創建和管理CLB實例。
成功創建負載均衡實例后,您可以在負載均衡SLB控制臺的實例管理頁面獲取CLB實例的服務地址。
配置負載均衡實例。具體操作,請參見配置負載均衡實例。
配置負載均衡實例時需要注意以下內容:
在選擇協議&監聽時,根據自身業務,只選擇需要監聽的協議(支持TCP、UDP、HTTP、HTTPS)和端口。未設置監聽的協議和端口的流量將被直接丟棄,不會轉發到后端ECS實例。
在添加后端服務器時,選擇添加已部署業務應用的ECS源站服務器。
說明由于負載均衡CLB和后端ECS之間通過內網進行通信,所以在配置完負載均衡實例并測試負載均衡正常工作后,建議您關閉后端ECS實例的公網訪問。
成功配置負載均衡實例后,負載均衡實例將按照已有配置 ,將客戶端的請求流量分發到后端ECS實例。
修改域名DNS。
如果您的業務是通過IP地址提供服務,您只需將步驟1獲得的負載均衡實例的服務地址作為業務IP地址即可,可以跳過該步驟。
如果您的業務是通過域名提供服務,您需要將域名的DNS解析指向步驟1獲得的負載均衡實例的服務地址。具體操作請參見設置A記錄域名解析。
將負載均衡實例的服務地址添加為您已購買的DDoS原生防護實例的防護對象,為負載均衡實例開啟DDoS防護。具體操作,請參見防護對象。
成功添加防護對象后,CLB源站服務器將享有DDoS原生防護提供的DDoS攻擊全力防護能力,在業務遭受DDoS攻擊時,自動觸發流量清洗。