流量调度器支持设置DDoS高防和云资源间的联动规则,仅在特定场景下触发并切换启用DDoS高防,保证无DDoS攻击时日常业务流畅运行、发生DDoS攻击时可切换至DDoS高防,为您的业务提供防护。流量调度器包括云产品联动、阶梯防护、CDN/DCDN联动、出海加速、安全加速功能。本文介绍了不同功能的使用场景和配置方法。

是否使用流量调度器有什么区别?

在将业务接入DDoS高防进行防护时,您只需完成域名接入(适合网站类业务,详见添加网站)或端口接入(适合非网站类业务,详见添加规则)即可,无需使用流量调度器。

业务正常接入DDoS高防后,所有业务流量(包括正常访问和发生攻击)都经过DDoS高防转发,其中攻击流量被清洗,只有正常访问流量被转发到源站服务器。在业务正常访问期间,由于正常业务流量也都经过DDoS高防转发,会给业务带来少量延迟。

针对业务正常访问期间的延迟问题,您可以开启流量调度器的云产品联动功能,实现正常业务访问期间流量不经过高防转发,直接达到源站服务器,不增加延迟;仅在业务被攻击时切换到高防进行流量转发,帮助业务清洗DDoS攻击。

除了上述场景外,流量调度器还能实现DDoS高防与DDoS原生防护、CDN或DCDN、加速线路、安全加速线路的联动使用,具体请参见适用场景

说明 流量调度器是DDoS高防提供的一项接入设置功能,是否使用流量调度器和服务计费没有关系。关于DDoS高防的计费方式,请参见DDoS高防(新BGP)计费方式保险防护&无限防护计费方式

适用场景

下表描述了DDoS高防流量调度器的不同功能的适用场景。

功能 适用场景 新BGP高防

是否支持

国际高防

是否支持

通用联动 > 云产品联动 业务使用阿里云公网IP资源且接入DDoS高防进行防护,实现以下效果:
  • 无攻击时,业务流量直达源站服务器,高防做备用,不增加延迟。
  • 被攻击时,自动切换至DDoS高防,业务流量经过DDoS高防转发。
通用联动 > 阶梯防护 业务同时接入DDoS原生防护企业版DDoS高防进行防护,实现以下效果:
  • 使用原生防护企业版抵御日常攻击,业务流量直达源站服务器,不增加延迟。
  • 发生大流量攻击时,切换至DDoS高防进行防护,业务流量经过DDoS高防转发。
通用联动 > 出海加速 业务同时接入DDoS高防(国际)保险版或无忧版加速线路,实现以下效果:
  • 无攻击时,业务流量经过加速线路IP,提升访问速度。
  • 被攻击时,切换至DDoS高防(国际)进行防护。
说明 出海加速方案适用于业务服务器部署在中国内地以外地域,但主要用户来自中国内地的场景。详见配置DDoS高防(国际)加速线路
×
通用联动 > 安全加速 业务同时接入DDoS高防(国际)保险版或无忧版安全加速线路,实现以下效果:
  • 中国电信和联通以及非移动运营商流量调度到安全加速线路对应的IP上。
  • 中国移动和海外流量调度到DDoS高防(国际)对应的IP上。
说明 安全加速线路适用于中国内地地区用户对非中国内地业务加速访问的同时,还可以为中国电信、联通和非移动线路提供大流量DDoS攻击防护能力。详见DDoS高防(国际)安全加速
×
CDN/DCDN联动调度 网站业务开启了阿里云CDN或DCDN加速服务,且接入DDoS高防进行防护,实现以下效果:
  • 无攻击时,就近使用CDN或DCDN节点加速。
  • 被攻击时,切换至DDoS高防进行防护。

使用限制

下表描述了DDoS高防流量调度器的不同功能的使用限制。

功能 限制条件 说明
云产品联动 高防实例规格 DDoS高防实例的QPS、业务带宽等规格满足正常业务防护需求,当流量切至高防时,确保可以承载业务流量。
高防配置 DDoS高防实例预先完成被防护业务的转发配置。
阶梯防护 防护包 购买并使用防护包企业版。
实例规格 防护包业务带宽规格满足防护需求。
高防配置 DDoS高防实例预先完成被防护业务的转发配置。
防护包配置 云资源在防护包的防护对象中。
出海加速
说明 仅DDoS高防(国际)支持该功能。
高防实例规格 DDoS高防(国际)实例的QPS、业务带宽等规格满足正常业务防护需求,当流量切至高防时,确保可以承载业务流量。
高防配置 DDoS高防(国际)实例预先完成被防护业务的转发配置。
安全加速
说明 仅DDoS高防(国际)支持该功能。
高防实例规格 DDoS高防(国际)实例的QPS、业务带宽等规格满足正常业务防护需求,当流量切至高防时,确保可以承载业务流量。
高防配置 DDoS高防(国际)实例预先完成被防护业务的转发配置。
CDN/DCDN联动 CDN/DCDN状态 域名不允许是切入沙箱状态。
说明 如果域名已经被CDN或DCDN切入沙箱,建议您只用DDoS高防,不用联动。
攻击频率 不适合被攻击频率太高的网站,例如高于每周3次以上。
防护生效敏感度 不适合对防护生效速度要求比较高的场景。
说明 调度到DDoS高防时,防护生效时间受DNS TTL生效时间限制。
业务流量 不适合正常业务流量和QPS比较大的场景。
说明 若超过3 Gbps、10000 QPS时,请提交工单进行评估。
业务类型 只适合HTTP和HTTPS业务,不支持视频直播。
高防版本 仅支持增强功能版本的DDoS高防实例。

CDN/DCDN和DDoS高防切换条件

启用CDN/DCDN联动功能时,您需要设置访问QPS阈值,作为CDN/DCDN和DDoS高防间相互切换的条件。CDN/DCDN和DDoS高防间相互切换满足以下逻辑和限制。
  • CDN/DCDN切换到高防
    • 连续3分钟内3次触发QPS超过阈值或连续10分钟内出现6次以上,并且CDN/DCDN上流量不超过10 Gbps,则触发切换流程。
      说明 10 Gbps流量超出了DDoS高防的售卖规格。
    • 当高防侧监测到域名进入沙箱状态,并且CDN/DCDN上流量不超过10 Gbps,触发切换流程。
  • 高防切换到CDN/DCDN
    • 连续12小时以上,域名QPS低于QPS阈值的80%、CC阻断率低于10%,则触发回切流程。
    • 回切检查:要切回的高防IP不在清洗中、黑洞中和沙箱状态且1小时内不存在清洗、黑洞事件。
    • 回切时间范围:上午8时到晚上23时,其他时间不触发回切。

配置概述

功能 配置说明
云产品联动 云产品联动分为云产品与DDoS高防一对一切换、云产品与DDoS高防多对一切换。 配置步骤如下。
  1. 配置DDoS高防转发。具体操作请参见添加网站
  2. 验证高防实例可以正常转发。具体操作请参见本地验证转发配置生效
  3. 配置流量调度器。
    • 一对一切换,具体操作请参见添加通用联动规则
    • 多对一切换,包括以下两种配置模式:
      • 优先使用云产品,无可用云产品IP时,切换高防。配置方法同一对一切换,在添加通用联动规则时,选择添加多个需要联动的云资源IP即可。
      • 云产品多路分摊流量,每路被攻击单独切换高防。配置方法请参见多路分摊切换配置
  4. 将DNS解析到流量调度器。修改域名的DNS解析,应用CNAME解析并将解析目标设置为调度器分配的CNAME地址。
    说明 关于修改域名DNS解析CNAME记录的操作步骤,请参见修改CNAME解析接入流量调度器
阶梯防护 阶梯防护分为防护包中云产品与DDoS高防一对一切换、防护包中云产品与DDoS高防多对一切换。配置步骤与云产品联动相同。
出海加速
说明 仅DDoS高防(国际)支持该功能。
配置步骤如下。
  1. 配置DDoS高防转发。具体操作请参见添加网站
  2. 验证高防实例可以正常转发。具体操作请参见本地验证转发配置生效
  3. 配置流量调度器。具体操作请参见添加通用联动规则
  4. 将DNS解析到流量调度器。修改域名的DNS解析,应用CNAME解析并将解析目标设置为调度器分配的CNAME地址。
    说明 关于修改域名DNS解析CNAME记录的操作步骤,请参见修改CNAME解析接入流量调度器
安全加速
说明 仅DDoS高防(国际)支持该功能。
配置步骤如下。
  1. 配置DDoS高防(国际)安全加速线路转发。具体操作请参见配置DDoS高防(国际)加速线路
  2. 配置DDoS高防转发。具体操作请参见添加网站
  3. 验证高防实例可以正常转发。具体操作请参见本地验证转发配置生效
  4. 配置流量调度器。具体操作请参见添加通用联动规则
  5. 将DNS解析到流量调度器。修改域名的DNS解析,应用CNAME解析并将解析目标设置为调度器分配的CNAME地址。
    说明 关于修改域名DNS解析CNAME记录的操作步骤,请参见修改CNAME解析接入流量调度器
CDN/DCDN联动 配置步骤如下。
  1. 预先配置好CDN/DCDN,并解析到CDN/DCDN,经测试可用。 具体操作请参见添加加速域名
    说明 如果配置了源站防护(安全组),则需要将CDN/DCDN回源地址加入白名单。
  2. 配置DDoS高防转发。具体操作请参见添加网站
  3. 验证高防实例可以正常转发。具体操作请参见本地验证转发配置生效
  4. 配置流量调度器。具体操作请参见添加CDN/DCDN联动
  5. 将DNS解析到流量调度器。修改域名的DNS解析,应用CNAME解析并将解析目标设置为调度器分配的CNAME地址。
    说明 关于修改域名DNS解析CNAME记录的操作步骤,请参见修改CNAME解析接入流量调度器

添加通用联动规则

  1. 登录DDoS高防控制台
  2. 在顶部菜单栏,选择服务所在地域:
    • 中国内地:DDoS高防(新BGP)服务
    • 非中国内地:DDoS高防(国际)服务
    您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。
  3. 在左侧导航栏,单击接入管理 > 流量调度器
  4. 通用联动页签下,单击添加规则
  5. 添加规则页面,完成联动规则配置,并单击下一步
    图 1. DDoS高防(新BGP)云产品联动配置示例
    添加规则配置,防护调度
    图 2. DDoS高防(国际)出海加速配置示例
    出海加速
    图 3. DDoS高防(国际)安全加速配置示例
    安全加速
    参数 描述
    联动场景 选择规则类型,取值:
    • 安全加速
      说明 仅DDoS高防(国际)支持该选项。
    • 出海加速
      说明 仅DDoS高防(国际)支持该选项。
    • 阶梯防护
      说明 仅支持DDoS防护包防护对象中的云资源,包括ECS、EIP、SLB、WAF。
    • 云产品联动
    规则名 为规则命名。

    规则名由英文字母、数字和下横线(_)组成,不超过128个字符。

    DDoS高防IP安全加速场景下对应国际高防 选择要联动的高防实例。
    加速线路IP 出海加速场景下,选择要联动的加速线路IP。
    说明 仅DDoS高防(国际)支持该选项。
    安全加速 安全加速场景下,选择要联动的安全加速线路IP。
    说明 仅DDoS高防(国际)支持该选项。
    云资源 云产品联动阶梯防护场景下,设置要联动的云资源。选择云资源所在地域,并输入云资源IP地址。单击添加云资源IP,可以添加多个云资源。最多支持添加20个IP。
    回切时间 发生联动后,允许触发回切流程的等待时间。
    说明 安全加速场景无需回切,所以没有该选项。

    考虑到黑洞解除的等待时间以及避免频繁触发联动切换,回切时间的最小值为30分钟。推荐您设置为60分钟。

    成功添加规则后,流量调度器为新建规则分配一个CNAME地址。要使联动规则生效,您需要前往云资源的DNS服务商处修改其DNS解析,应用CNAME解析并将解析目标设置为流量调度器分配的CNAME地址。您可以在规则列表中查看新建的规则和CNAME地址。通用联动规则

执行一键回切

通用联动规则添加生效后,如果云资源流量被调度到DDoS高防,您可以根据需要执行一键回切,将流量切回到云资源。
说明 安全加速场景无需回切。
执行回切操作时,可能出现的异常结果如下:
  • 如果联动资源全部在黑洞中,回切动作将会失败。
  • 如果存在部分联动资源已经解除黑洞,部分联动资源还在黑洞中,流量将先回切到已经解除黑洞的联动资源上,其他资源等待黑洞解除后自动恢复流量。
  1. 登录DDoS高防控制台
  2. 在顶部菜单栏,选择服务所在地域:
    • 中国内地:DDoS高防(新BGP)服务
    • 非中国内地:DDoS高防(国际)服务
    您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。
  3. 在左侧导航栏,单击接入管理 > 流量调度器
  4. 通用联动页签,定位到要操作的规则,单击其操作列下的回切并确认操作。
    说明 只有当发生了联动且流量联动到DDoS高防的时间不小于规则的回切时间回切操作才会出现。

添加CDN/DCDN联动

  1. 登录DDoS高防控制台
  2. 在顶部菜单栏,选择服务所在地域:
    • 中国内地:DDoS高防(新BGP)服务
    • 非中国内地:DDoS高防(国际)服务
    您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。
  3. 在左侧导航栏,单击接入管理 > 流量调度器
  4. 单击CDN/DCDN联动调度页签。
  5. 定位到要配置的域名,单击其操作列下的添加联动添加联动
  6. 添加联动页面,确认域名信息满足要求后,配置切换至高防条件,即访问QPS的最小值,并单击下一步添加联动配置
    要添加联动,域名信息应满足以下要求:
    • DDoS高防实例:已开通增强功能。
    • 联动资源:已完成阿里云CDN/DCDN配置。
    域名信息
    说明 建议您在设置QPS阈值时,考虑业务突增的情形,将阈值设置为业务历史峰值的2~3倍以上。即使网站QPS较低,QPS阈值也建议不要低于500。
    成功添加联动后,流量调度器为新建规则分配一个CNAME地址。要使调度规则生效,您需要前往云资源的DNS服务商处修改其DNS解析,应用CNAME解析并将解析目标设置为流量调度器分配的CNAME地址。您可以在规则列表中看到域名的CDN联动状态更新为已开启,并查看其CNAME地址。联动已开启

多路分摊切换配置

以多防护包切换DDoS高防为例,介绍云产品与DDoS高防多对一切换(云产品多路分摊流量,每路被攻击单独切换高防模式)的具体配置方法。

  1. 防护包配置。在防护包中添加多个防护对象,例如三个。具体操作请参见添加防护对象
  2. 流量调度器配置。为步骤1中的三个防护对象各添加一条阶梯防护规则,三条规则关联同一个DDoS高防IP。具体操作请参见添加通用联动规则
  3. 域名解析配置。使用同一个主机记录,添加三条CNAME解析记录,记录值分别是步骤2中三条阶梯防护规则的CNAME地址。具体操作请参见修改CNAME解析接入流量调度器
  4. 验证结果。在http://tool.chinaz.com/上验证步骤3中添加的CNAME记录生效。