本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
當網站既需要訪問加速,又需要進行DDoS防護時,可以使用DDoS高防和加速產品(CDN或DCDN)聯動。通過流量調度器的智能調度,業務正常訪問期間,流量不經過DDoS高防清洗就近使用加速產品的節點加速,僅在業務被攻擊時流量切換到DDoS高防進行清洗,由高防將清潔流量直接轉發給源站,保證業務平穩運行。本文介紹如何配置DDoS高防和加速產品(CDN或DCDN)聯動。
功能介紹
業務既需要訪問加速又需要DDoS防護時,阿里云支持如下兩種方案:
方案一:DCDN的邊緣DDoS防護(推薦)
域名接入DCDN后,在DCDN側直接配置邊緣DDoS防護,無需繁瑣配置即可一鍵開啟DDoS防護。無需在DDoS高防側配置。具體操作,請參見防護配置。
說明僅DCDN支持邊緣DDoS防護,CDN不支持。您可以將CDN的域名遷移到DCDN,然后使用邊緣DDoS防護。具體操作,請參見將CDN域名升級至DCDN產品。
方案二:DDoS高防和CDN聯動,或者DDoS高防和DCDN聯動
即本文介紹的內容,攻擊流量經過高防清洗后,清潔流量直接轉發給源站。您需要在加速產品和DDoS高防分別配置域名接入,然后在DDoS高防的流量調度器中配置聯動。
聯動時攻擊流量調度到高防清洗后,將清潔流量轉發給源站。DCDN的邊緣DDoS防護,攻擊流量調度到高防清洗后,將清潔流量轉發給DCDN,攻擊時依然實現加速效果。具體請參見下圖。
注意事項
如果您的業務帶寬超過3 Gbps或QPS超過10000,使用聯動功能前,請聯系您的商務經理進行評估。
攻擊頻率太高(例如,高于每周3次以上)的網站,建議您只使用DDoS高防,避免流量在加速產品和DDoS高防間頻繁切換影響您的業務。
同時支持DDoS高防IP為IPv4、IPv6的配置聯動。
發生攻擊時,業務流量調度到DDoS高防時,防護生效時間可能受DNS TTL生效時間限制。
使用聯動功能前,請確保您的域名在加速產品中不處于沙箱狀態。關于沙箱的詳細信息,請參見沙箱說明。處于沙箱狀態時,如需設置DDoS防護并解除域名的沙箱狀態,請聯系您的商務經理。
支持聯動的DDoS高防實例類型
DDoS(中國內地)專業版實例、DDoS(中國內地)高級版實例、DDoS高防(非中國內地)保險版實例、DDoS高防(非中國內地)無憂版實例,且實例必須為增強功能套餐。
前提條件
已為網站域名開啟CDN或DCDN加速。具體操作,請參見添加加速域名(CDN聯動)或添加服務域名(DCDN聯動)。
已購買DDoS高防實例,并已將網站域名接入DDoS高防。具體操作,請參見購買DDoS高防實例、添加網站配置。
已驗證DDoS高防實例可以正常轉發業務流量。具體操作,請參見本地驗證轉發配置生效。
操作步驟
登錄DDoS高防控制臺。
在頂部菜單欄左上角處,選擇地域。
DDoS高防(中國內地):選擇中國內地地域。
DDoS高防(非中國內地):選擇非中國內地地域。
在左側導航欄,選擇后,單擊CDN/DCDN聯動調度頁簽。
說明首次使用聯動調度前,需要單擊立即進行授權,按照指引授權DDoS高防訪問加速產品。
定位到目標域名,單擊操作列的添加聯動,在添加聯動面板完成配置后,單擊下一步。
配置項
說明
DDoS高防實例
選擇要與加速產品聯動的DDoS高防實例。
說明提示該實例需要購買增強功能才可使用CDN聯動功能:請按照指引升級實例,將實例的套餐升級為增強功能。
提示未選擇DDoS高防實例:請先將域名接入DDoS高防實例進行防護。具體操作 ,請參見添加網站。
聯動資源
系統會自動選擇聯動資源。
如果域名未添加到加速產品中,請根據頁面指引進行配置,等待約10分鐘后再設置聯動。具體操作,請參見添加加速域名(CDN)或添加服務域名(DCDN)。
訪問QPS
設置觸發切換到DDoS高防的最小QPS值。
關于流量切換的詳細信息,請參見流量切換。
說明建議您在設置QPS閾值時,考慮業務突增的情形,將閾值設置為業務歷史峰值的2~3倍以上,即使網站QPS較低,QPS閾值也建議不要低于500。
通過修改本地host文件驗證流量調度規則是否生效,避免因回源策略不一致出現兼容性問題。具體操作,請參見本地驗證轉發配置生效。
例如,在CDN和高防聯動且回源到OSS的場景,由于CDN回源支持修改回源HOST,而DDoS高防不支持,導致發生攻擊自動切換到DDoS高防后,DDoS高防回源到OSS的正常流量無法被識別,出現業務故障。
前往DNS服務商處修改DNS解析,將DNS解析指向流量調度器生成的CNAME地址。具體操作,請參見修改CNAME解析接入流量調度器。
說明域名接入加速產品、DDoS高防以及配置聯動規則時,會生成3個CNAME地址,加速產品提供的CNAME、DDoS高防提供的CNAME,以及配置聯動規則時流量調度器生成的CNAME,您需要將域名解析到流量調度器生成的CNAME。
流量切換
流量支持自動切換和手動切換。滿足自動切換條件時,流量會在加速產品和DDoS高防間自動互相切換。您還可以根據業務防護需求,手動將業務流量切換到DDoS高防以及回切到加速產品。通常建議您使用自動切換。
自動切換
切換類型 | 切換條件 |
加速產品切換到DDoS高防 | 滿足如下條件之一即觸發切換:
|
DDoS高防回切到加速產品 | 同時滿足如下條件時觸發切換:
重要 系統僅在08:00~23:00會進行回切操作,其他時間不會觸發回切。 |
手動切換
操作 | 說明 |
加速產品切換到DDoS高防 | 在未自動觸發DDoS高防清洗時,手動將業務流量切換到DDoS高防進行清洗。如果您的業務流量突增但未達到自動切換的條件,為避免攻擊對業務影響,您可以手動切換。 重要
|
DDoS高防回切到加速產品 | 如果是正常業務突增導致的流量切到高防,為避免影響業務,您可以手動將流量回切到加速產品。 重要 建議您在執行回切前,確認DDoS攻擊已經結束并且域名不處于沙箱狀態。 |
相關操作
修改聯動調度規則:在CDN/DCDN聯動調度頁簽,定位到目標域名,單擊操作列的編輯,修改DDoS高防實例或訪問QPS。
刪除聯動調度規則:在CDN/DCDN聯動調度頁簽,定位到目標域名,單擊操作列的刪除。
警告刪除聯動規則前,請確保網站域名的解析沒有指向流量調度器CNAME,否則刪除聯動規則后,網站將無法正常訪問。