流量切換說明

當DDoS攻擊不超過原生防護的防御能力時（防御能力具體和所在地域有關，詳細介紹，請參見防護能力），業務流量默認解析到云產品，不增加業務延遲；當攻擊過大觸發黑洞時，高防流量調度器將流量切換到DDoS高防，防御大流量的攻擊；攻擊停止后，根據流量調度器設置的切換延遲時間，等待一段時間后業務流量回切到云產品。

具體架構如下圖所示。

方案概覽

為業務同時部署DDoS原生防護和DDoS高防（中國內地）分為如下四步：

1. 購買并配置DDoS原生防護：將您的業務接入DDoS原生防護，當DDoS攻擊不超過DDoS原生防護的防御能力時，業務流量默認解析到云產品。

2. 購買并配置DDoS高防（中國內地）：將您的業務接入DDoS高防，當攻擊過大觸發黑洞時，高防流量調度器將流量切換到DDoS高防，防護能力取決于您購買時選擇的規格。

3. 配置流量調度器：當攻擊過大觸發黑洞時，高防流量調度器將流量切換到DDoS高防，攻擊停止后，根據流量調度器設置的切換延遲時間，等待一段時間后業務流量回切到云產品。

4. 修改DNS解析：將業務的解析指向流量調度器CNAME地址，保障流量轉發正常。

1 購買并配置DDoS原生防護

1.1 購買DDoS原生防護實例

本文以購買DDoS原生防護2.0（包年包月）企業版為例。具體操作，請參見購買DDoS原生防護實例。

1. 登錄流量安全產品控制臺。

2. 在實例管理頁面，單擊新購原生防護，選擇企業版實例并完成購買。

   配置項	說明
   業務帶寬	要防護業務的正常業務規模（以網絡帶寬來衡量）。 關于業務規模的估算方法，請參見估算業務規模。
   IP數量	要防護的IP的總個數。
   防護日志	提供防護流量的全量日志分析和報表功能。
   資源組	資源組是當前阿里云賬號下一組相關的資源，用于對資源組內成員、權限和資源進行獨立管理。您可以選擇已創建的資源組或新建資源組。 更多信息，請參見創建資源組。

1.2 將源站IP地址添加為防護對象

具體操作，請參見防護對象。

1. 在防護對象頁面，地域選擇全球，選擇您購買的實例后，單擊添加防護對象。

2. 您可以選擇從資產中添加，也可以選擇手工添加。截圖以從資產中添加為例。

2 購買并配置DDoS高防（中國內地）

切換到DDoS高防（中國內地）后，黑洞閾值受DDoS高防的最大防護能力限制。您可以配置保底防護+彈性防護結合的方式，節省DDoS高防產品費用。

2.1 購買DDoS高防（中國內地）實例

具體操作，請參見購買DDoS高防實例。

1. 登錄DDoS高防控制臺。

2. 地域選擇中國內地后，在實例管理頁面，單擊新購實例并完成購買。

   配置項	描述
   地址類型	選擇實例支持的IP協議類型?？蛇x項：IPv4、IPv6。 重要 關于IPv4高防IP和IPv6高防IP支持的功能差異，請參見功能介紹。 IPv6高防IP支持轉發來自IPv6客戶端的請求，對接入業務有以下限制：域名接入只支持IPv4源站，端口接入支持IPv4或IPv6源站。
   防護套餐	根據您的業務需要選擇套餐類型。本文以專業版為例。
   保底防護帶寬	選擇實例的保底防護帶寬，即該DDoS實例可以防御的攻擊流量閾值。
   彈性防護帶寬	選擇實例的彈性防護帶寬，即最高防護帶寬。關于彈性防護帶寬的費用，請參見彈性防護帶寬計費方式。
   業務帶寬	選擇實例支持處理的正常業務的網絡帶寬。 警告 如果您購買的實例業務帶寬不夠用，可能會丟包或者影響業務，在這種情況下請及時升級業務帶寬。具體操作，請參見升級實例。 如何評估實際業務流量大小 您可以根據所有將要接入DDoS高防實例的業務的日常入方向或出方向總流量的峰值，選擇合適的業務帶寬規格。您選擇的最大業務帶寬應大于這些業務的網絡入、出方向總流量峰值中較大的值。一般情況下，網絡出方向的流量會比較大。 您可以參考云服務器（ECS）管理控制臺中的流量統計，或者通過您業務源站服務器上的其他流量監控工具來評估您的實際業務流量大小。此處的流量指的是正常的業務流量。例如，您將業務的外部訪問流量均接入DDoS高防進行防護。在業務正常訪問（未遭受攻擊）時，DDoS高防將這些正常訪問流量回源到源站服務器；而當業務遭受攻擊時，DDoS高防過濾、攔截異常流量后，僅將正常流量回源到源站服務器。因此，您在云服務器（ECS）管理控制臺中查看您源站服務器的入方向及出方向的流量即是正常的業務流量。如果您的業務部署在多臺源站服務器，則需要統計所有源站服務器的流量總和。假設您需要將三個網站業務接入DDoS高防實例進行防護，每個業務出方向的正常業務流量峰值均不超過50 Mbps，業務流量總和不超過150 Mbps。這種情況下，您只需確保所購買的實例的最大業務帶寬大于150 Mbps即可。
   95彈性業務帶寬模式	選擇是否啟用彈性業務帶寬。關于彈性業務帶寬的費用，請參見彈性業務帶寬計費方式?？蛇x項： 不啟用：不啟用彈性業務帶寬。 日95模式：啟用彈性業務帶寬，計費模式為日95模式。 月95模式：啟用彈性業務帶寬，計費模式為月95模式。
   功能套餐	選擇實例的功能套餐類型。可選項：標準功能、增強功能。 關于不同功能套餐的差異說明，請參見標準功能和增強功能的差異。
   防護域名數	選擇支持接入實例防護的域名配置的數量。支持以10個域名配置為單位增加或減少。 域名配置中支持使用子域名、泛域名，且子域名、泛域名對應不同域名的數量不超過“防護域名數/10”。 例如，DDoS高防（中國內地）專業版實例默認防護域名數為50，表示支持接入最多5個不同的域名對應的子域名、泛域名配置，且所有域名配置的總數不超過50個。 假設要接入防護的域名包括aliyundoc.com、aliyun.com，則支持使用上述域名的子域名（例如www.aliyundoc.com、abc.aliyun.com）、泛域名（*.aliyundoc.com、*.aliyun.com）作為域名接入配置。
   業務QPS	選擇無攻擊狀態下實例最大可處理的并發請求速率，包含使用HTTP協議和HTTPS協議的請求。 業務QPS和連接數規格的對應關系，請參見業務QPS與連接數規格說明。 警告 如果您購買的實例業務QPS不夠用，可能會丟包或者影響業務，在這種情況下請及時升級業務QPS規格或者啟用彈性QPS。
   95彈性QPS模式	選擇是否啟用彈性QPS。關于彈性QPS的費用，請參見彈性QPS計費說明?？蛇x項： 不啟用：不啟用彈性QPS。 日95模式：啟用彈性QPS，計費模式為日95模式。 月95模式：啟用彈性QPS，計費模式為月95模式。 業務QPS和連接數規格的對應關系，請參見業務QPS與連接數規格說明。
   端口數	選擇實例支持接入的端口轉發配置的數量，包含使用TCP和UDP協議添加的端口轉發配置。
   資源組	選擇實例在資源管理服務中所屬的資源組，默認為默認資源組。 關于資源組的更多信息，請參見創建資源組。

2.2 將域名接入高防

1. 在域名接入頁面，單擊添加網站。

2. 按照指引完成網站接入以及轉發配置。詳細的配置說明，請參見添加網站配置。

   說明

   設置DNS解析時，需要解析到流量調度器的CNAME地址。因此添加網站業務轉發配置后，暫時無需按照頁面提示修改DNS解析。

   

3 配置流量調度器

使用流量調度器，為業務添加階梯防護調度規則，請將業務解析到流量調度器的CNAME地址。具體操作，請參見階梯防護。

1. 登錄DDoS高防控制臺，選擇流量調度器 > 階梯防護 > 通用聯動，單擊添加規則。

   配置項	說明
   聯動場景	選擇階梯防護。
   規則名	為規則命名。 規則名由英文字母、數字和下劃線（_）組成，不超過128個字符。
   高防IP	選擇要聯動的DDoS高防實例。
   聯動資源	單擊添加云資源IP，可以添加多個云資源。最多支持添加20個IP。 說明 添加多個云資源IP時（即多個云資源IP關聯一個高防IP），如果一個云資源IP上發生DDoS攻擊，將優先使用其他云資源IP，直到無可用云資源IP時，才會切換到高防進行防護。如果您希望云產品多路分攤流量，每路被攻擊時單獨切換高防，請參見多路分攤切換配置。
   回切時間	業務流量聯動到DDoS高防進行防護后，允許觸發回切流程（切換回云資源IP）的等待時間。攻擊結束且經過該等待時間后，業務流量自動回切到云資源IP。 可選范圍：30~120分鐘。推薦您設置為60分鐘。 說明 當DDoS高防實例處于黑洞狀態時，或在高防黑洞事件開始時間+回切時間到期前，不允許云資源切換到高防進行防護。 當云資源發生黑洞時，自動切換到高防進行防護。云資源黑洞狀態下，不允許從高防回切到云上。云資源解除黑洞后可以立即回切，不受回切時間限制。

2. 完成規則配置后獲取CNAME地址。

4 修改DNS解析

前往域名DNS服務商處修改域名的DNS解析，將解析指向流量調度器CNAME地址。具體操作，請參見修改CNAME解析接入流量調度器。

本文以使用阿里云DNS解析為例。

1. 登錄阿里云云解析DNS控制臺。

2. 在公網DNS解析 > 權威解析 > 權威域名頁簽，單擊添加域名。

3. 根據業務實際情況填寫解析記錄。

   其中記錄類型選擇CNAME，記錄值為流量調度器的CNAME地址。