全球化應用需要應對來自全球各地用戶的訪問,同時需要對所有進出流量統一管控防護。全球加速GA依托阿里云優質BGP帶寬和全球傳輸網絡,提供高可靠和高性能的網絡加速服務,云防火墻的互聯網邊界防火墻提供精細化的流量管控和防護能力。通過GA和云防火墻聯動,可以有效提升應用的安全性、性能和穩定性。
場景示例
某企業應用部署在美國硅谷,客戶端主要集中在中國。該企業面臨以下問題:
因跨國公網不穩定,客戶端經常出現延遲、抖動、丟包等網絡問題。
海外流量中存在較高比例的惡意攻擊、爬蟲和其他非目標用戶的訪問,不僅對應用安全有一定威脅,還增加了不必要的流量,導致服務器負載增加,影響整體性能。
為解決以上問題,該企業決定通過GA提升中國地區客戶端的訪問體驗。同時,使用云防火墻的互聯網邊界訪問控制策略功能,攔截海外區域的流量訪問。
使用限制
云防火墻的互聯網邊界防火墻支持防護的公網資產類型包括GA的加速IP(即GA EIP類型),但該加速IP需滿足以下條件:
該加速IP所屬GA實例必須為標準型實例。
加速IP類型必須為彈性公網IP類型。
該加速IP所屬加速地域不能為阿里云POP點。
查看加速地域是否為阿里云POP點,請參見ListAvailableBusiRegions。
前提條件
您的源站服務器已部署了應用服務。
本文以Alibaba Cloud Linux 3操作系統為例,并使用Nginx配置后端HTTP 80服務。
yum install -y nginx systemctl start nginx.service cd /usr/share/nginx/html/ echo "Hello World ! This is This is the Silicon Valley data center test page." > index.html您已經購買了云防火墻服務。具體操作,請參見購買云防火墻服務。
操作步驟
步驟一:配置GA實例
本文以按量付費的標準型GA實例為例。
在全球加速控制臺的列表頁面,單擊創建標準型按量付費實例。
在實例基礎配置配置向導頁面,配置基礎信息,單擊下一步。
在配置加速區域配置向導頁面,添加加速地域并為其分配帶寬,然后單擊下一步。
本文以中國香港地域為例,加速區域添加為中國(香港),公網質量類型均配置為BGP(多線),其他參數可保持默認值或根據實際情況修改。加速區域配置詳細信息,請參見添加和管理加速區域。
重要如果帶寬峰值設置過低,可能出現限速從而導致流量被丟棄,請合理規劃帶寬峰值,確保和業務需求匹配。
在配置監聽配置向導頁面,配置轉發協議與端口,然后單擊下一步。
本文場景中,協議配置為HTTP,端口配置為80,其他參數可保持默認值或根據實際情況修改。監聽配置詳細信息,請參見添加和管理智能路由類型監聽。
在配置終端節點組配置向導頁面,配置終端節點后端服務,然后單擊下一步。
本文場景中,地域選擇美國(硅谷),后端服務類型選擇自定義IP,后端服務輸入源站公網IP,然后閱讀并選中數據跨境合規承諾,其他參數可保持默認值或根據實際情況修改。終端節點組配置詳細信息,請參見添加和管理智能路由類型監聽的終端節點組。
在配置審核配置向導頁面,確認全球加速的配置信息,然后單擊提交。
可選:創建任務完成后,在創建任務詳情列表下方,單擊進入實例詳情,然后在實例詳情頁,可選擇實例信息、監聽、加速區域等頁簽查看實例配置信息。
例如,GA的加速IP可從加速區域頁簽下獲取。
步驟二:配置云防火墻
在云防火墻控制臺的防火墻開關頁面,選擇互聯網邊界防火墻頁簽,在IPv4頁簽下,找到已創建GA的加速IP,開啟公網資產保護。
您可以選擇資產類型為GA EIP,并輸入GA的實例ID,進行資產篩選。防火墻狀態列顯示為保護中,表示開啟成功。關于開啟防火墻開關更多信息,請參見互聯網邊界防火墻。
在云防火墻控制臺的頁面,選擇入向頁簽,并單擊創建策略。
在創建入向策略面板,選擇自定義創建頁簽,配置策略,然后單擊確定,并根據提示完成地址簿創建。
本文場景中,可參考下表進行配置。您還可以根據實際情況修改,訪問控制策略配置詳細信息,請參見配置互聯網邊界訪問控制策略。
配置項
說明
本文場景示例值
源類型
網絡流量的發起方。您需要選擇訪問源類型,并根據訪問源類型輸入發送流量的訪問源地址。
區域
訪問源
全部國際區域(即中國以外的地區)
目的類型
網絡流量的接收方。您需要選擇目的類型,并根據目的類型輸入接收流量的目的地址。
IP
目的
輸入GA的加速IP(后綴/32)
協議類型
傳輸層協議類型,支持設置為:TCP、UDP、ICMP、ANY。不確定具體協議時可選擇ANY。
ANY
端口類型
設置目的端口類型和目的端口。
端口
端口
輸入0/0,表示所有端口
應用
設置訪問流量的應用類型。
ANY
動作
設置匹配成功的流量在該條策略的放行情況。
放行:放行該流量。
拒絕:攔截該流量,并且不會提供任何形式的通知信息。
觀察:該模式下,默認放行流量。觀察一段時間后,您可根據需要調整為放行或拒絕。
拒絕
優先級
選擇該策略的優先級,默認為最后,表示優先級最低。
最前
策略有效期
設置該策略的有效時間段。策略僅在有效時間段內才可用于匹配流量。
總是
啟用狀態
設置是否啟用策略。如果您創建策略時未啟用策略,可以在策略列表中開啟策略。
啟用
步驟三:結果驗證
云防火墻訪問控制策略生效驗證
本文以中國香港地域以及德國(法蘭克福)地域的客戶端訪問為例進行測試。
分別在中國香港地域以及德國(法蘭克福)地域客戶端,通過瀏覽器訪問GA的加速IP,檢查是否可正常訪問后端服務。
中國香港地域客戶端訪問GA的加速IP,結果如下:
德國(法蘭克福)地域的客戶端訪問GA的加速IP,結果如下:
經驗證,云防火墻的互聯網邊界訪問控制策略配置生效,已成功攔截海外區域的流量。
在訪問控制策略列表的命中次數/最近命中時間列,查看訪問控制策略的命中情況;單擊命中次數可跳轉到流量日志頁面,查看流量細節。
例如,您可以設置查詢條件的目的IP為GA的加速IP,應用識別狀態為已被策略攔截,查看被攔截的流量細節。
您還可以通過日志審計,查看攻擊事件、操作日志等。更多信息,請參見日志審計。
在入侵防御頁面的互聯網防護頁簽,可查看防護數據統計和防護明細列表。
例如,您可以在防護明細列表上方輸入目的IP為GA的加速IP,進行搜索,查看云防火墻對攻擊流量的防護明細。
關于入侵防護能力更多信息,請參見入侵防御。
GA加速效果驗證
本文以中國香港探測點為例,使用網絡撥測工具,在配置GA前后,分別對源站公網IP及GA的加速IP進行撥測,對比查看加速效果。具體操作,請參見使用網絡撥測工具測試加速效果。
對GA的加速IP發起撥測,查看配置GA后的網絡延遲情況。
對源站公網IP發起撥測,查看配置GA前的網絡延遲情況。
經驗證,使用GA后,降低了中國香港客戶端訪問美國(硅谷)服務的延遲。
GA的加速效果以您的實際業務測試為準。