CDN/DCDN联动调度适用于网站业务开启了阿里云CDN或DCDN加速服务且已接入DDoS高防进行防护后,实现CDN/DCDN加速和DDoS高防联动使用:业务正常访问期间(无攻击),流量不经过高防清洗,就近使用CDN或DCDN节点加速;业务被攻击时,自动切换至DDoS高防进行防护,流量经过高防清洗后转发到源站服务器。

前提条件

  • 网站业务的域名已添加为CDN/DCDN的加速域名 。更多信息,请参见添加加速域名(CDN联动)、添加加速域名(DCDN联动)。

    关于CDN/DCDN与高防联动的限制,请参见使用限制

  • 已开通DDoS高防实例,并且网站业务已完成DDoS高防转发配置(关联了增强功能套餐的DDoS高防实例)。更多信息,请参见添加网站
    注意 DDoS高防实例的业务带宽、QPS等规格必须满足正常业务防护需求,确保当流量切换到DDoS高防时,高防实例可以承载业务流量。
  • 已验证DDoS高防实例可以正常转发业务。更多信息,请参见本地验证转发配置生效

使用限制

使用CDN/DCDN联动需要满足以下限制条件。
限制项 说明
业务类型 只适合HTTP和HTTPS业务,不支持视频直播。
业务场景
  • 不适合被攻击频率太高的网站,例如高于每周3次以上。
  • 不适合对防护生效速度要求比较高的场景。
    说明 调度到DDoS高防时,防护生效时间受DNS TTL生效时间限制。
  • 不适合正常业务流量和QPS比较大的场景。
    说明 若超过3 Gbps、10000 QPS时,请提交工单进行评估。
CDN/DCDN状态 CDN/DCDN的加速域名不允许是切入沙箱状态。
说明 如果域名已经被CDN或DCDN切入沙箱,建议您只用DDoS高防,不用联动。
CDN/DCDN和DDoS高防切换 添加CDN/DCDN联动时,您需要设置访问QPS阈值,作为CDN/DCDN和DDoS高防间相互切换的条件。CDN/DCDN和DDoS高防间相互切换需要满足以下条件:
  • CDN/DCDN切换到高防
    • 连续3分钟内3次触发QPS超过阈值或连续10分钟内出现6次以上,并且CDN/DCDN上流量不超过10 Gbps,则触发切换流程。
      说明 10 Gbps流量超出了DDoS高防的售卖规格。
    • 当高防侧监测到域名进入沙箱状态,并且CDN/DCDN上流量不超过10 Gbps,触发切换流程。
  • 高防切换到CDN/DCDN
    • 连续12小时以上,域名QPS低于QPS阈值的80%、CC阻断率低于10%,则触发回切流程。
    • 回切检查:要切回的高防IP不在清洗中、黑洞中和沙箱状态且1小时内不存在清洗、黑洞事件。
    • 回切时间范围:上午8时到晚上23时,其他时间不触发回切。

操作步骤

说明 以下操作步骤描述了在DDoS高防控制台配置CDN/DCDN联动DDoS高防的方法,您也可以在CDN控制台配置CDN联动DDoS高防。更多信息,请参见配置CDN联动DDoS高防
  1. 登录DDoS高防控制台
  2. 在顶部菜单栏,选择服务所在地域:
    • 中国内地:DDoS高防(新BGP)服务
    • 非中国内地:DDoS高防(国际)服务
    您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。
  3. 在左侧导航栏,单击接入管理 > 流量调度器
  4. 单击CDN/DCDN联动调度页签。
  5. 定位到要配置的域名,单击其操作列下的添加联动
  6. 添加联动页面,完成联动配置,并单击下一步添加联动配置
    参数 说明
    DDoS高防实例 自动显示当前域名已关联的DDoS高防实例,无需手动操作。DDoS高防实例必须是增强功能套餐实例。

    如果提示该实例需要购买增强功能才可使用CDN联动功能,请按照页面提示,单击立即购买,将当前实例升级为增强功能套餐。

    如果提示未选择DDoS高防实例,请先完成域名接入。更多信息,请参见添加网站

    联动资源 如果当前域名已完成阿里云CDN阿里云DCDN配置,则自动选择对应的联动资源,无需手动操作。

    如果当前域名未完成阿里云CDN阿里云DCDN配置,您需要手动选择阿里云CDN阿里云DCDN,并按照页面提示前往配置。

    访问QPS 设置触发切换到DDoS高防的最小QPS值。关于CDN/DCDN与高防的具体切换条件,请参见使用限制
    说明 建议您在设置QPS阈值时,考虑业务突增的情形,将阈值设置为业务历史峰值的2~3倍以上,即使网站QPS较低,QPS阈值也建议不要低于500。
    成功添加规则后,流量调度器为当前规则生成一个CNAME地址。您可以在域名列表中查看域名的联动状态和CNAME地址。
  7. 修改域名DNS。
    要使联动规则生效,您需要前往业务域名的DNS服务商处,修改域名的DNS解析,将解析指向流量调度器的CNAME地址。更多信息,请参见修改CNAME解析接入流量调度器

相关操作

  • 编辑联动规则:您可以在流量调度器的CDN/DCDN联动调度列表编辑已添加的联动规则(单击操作列下的编辑),修改切换至高防条件(即访问QPS)。
  • 删除联动规则:您可以在流量调度器的CDN/DCDN联动调度列表删除已添加的联动规则(单击操作列下的删除)。
    警告 删除联动规则前,请确保网站不再指向流量调度器CNAME,否则删除后网站将无法正常转发。