DDoS高防(国际)流量调度器允许您设置DDoS高防与云资源间的联动规则,仅在特定场景下触发并切换启用DDoS高防,保证无DDoS攻击时日常业务的流畅体验以及发生DDoS攻击时更好的防护效果。流量调度器提供云产品联动、阶梯防护、CDN联动、出海加速功能。本文介绍了它们的使用场景和配置方法。

使用场景

下表描述了DDoS高防(国际)流量调度器的不同功能的使用场景。

功能 使用场景 使用效果
云产品联动 日常不使用高防,无延迟增加;被攻击时,需要将DDoS高防前置,防护DDoS攻击。 无攻击时,高防做备用,不增加延迟;被攻击时,切换至DDoS高防。云产品联动
阶梯防护 日常使用防护包防御DDoS,无延迟增加;被大流量攻击的时候,需要切到DDoS高防。 防护包抵御日常攻击,不增加延迟;大流量攻击时,切换至DDoS高防。阶梯防护
CDN联动 网站使用CDN加速,又需要防御DDoS攻击;当攻击发生时,需要从CDN切换至DDoS高防。 无攻击时,就近使用CDN节点加速;被攻击时,切换至DDoS高防。CDN联动
出海加速 使用DDoS高防(国际)防护业务,无攻击时,业务使用加速IP;被攻击时,需要切换到DDoS高防。 无攻击时,使用加速线路IP;被攻击时,切换至DDoS高防。出海加速

使用限制

下表描述了DDoS高防流量调度器的不同功能的使用限制。

功能 限制条件 说明
云产品联动 高防实例规格 DDoS高防实例的QPS、业务带宽等规格满足正常业务防护需求,当流量切至高防时,确保可以承载业务流量。
高防配置 DDoS高防实例预先完成被防护业务的转发配置。
阶梯防护 防护包 购买并使用防护包企业版。
实例规格 防护包业务带宽规格满足防护需求。
高防配置 DDoS高防实例预先完成被防护业务的转发配置。
防护包配置 云资源在防护包的防护对象中。
出海加速 高防实例规格 DDoS高防实例的QPS、业务带宽等规格满足正常业务防护需求,当流量切至高防时,确保可以承载业务流量。
高防配置 DDoS高防实例预先完成被防护业务的转发配置。
CDN联动 CDN状态 域名不允许是切入沙箱状态。
说明 如果域名已经被CDN切入沙箱,建议您只用DDoS高防,不用联动。
攻击频率 不适合被攻击频率太高的网站,例如高于每周3次以上。
防护生效敏感度 不适合对防护生效速度要求比较高的场景。
说明 调度到DDoS高防时,防护生效时间受DNS TTL生效时间限制。
业务流量 不适合正常业务流量和QPS比较大的场景。
说明 若超过3 Gbps、10000 QPS时,请提交工单进行评估。
业务类型 只适合HTTP和HTTPS业务,不支持视频直播。
高防版本 仅支持增强功能版本的DDoS高防实例。
启用CDN联动功能时,您需要设置访问QPS阈值,作为CDN和DDoS高防间相互切换的条件。CDN和DDoS高防间相互切换满足以下逻辑和限制。
  • CDN切换到高防
    • 连续3分钟内3次触发QPS超过阈值或连续10分钟内出现6次以上,则触发切换流程。
    • CDN上流量不超过10 Gbps。
      说明 10 Gbps超出了DDoS高防的售卖规格。
  • 高防切换到CDN
    • 连续12小时以上,域名QPS低于QPS阈值的80%、CC阻断率低于10%,则触发回切流程。
    • 回切检查:要切回的高防IP不在清洗黑洞中且1小时内不存在清洗、黑洞事件。
    • 回切时间范围:上午8时到晚上23时,其他时间不触发回切。

配置概述

功能 配置说明
云产品联动 云产品联动分为云产品与DDoS高防一对一切换、云产品与DDoS高防多对一切换。 配置步骤如下。
  1. 配置DDoS高防转发。参见添加网站配置
  2. 验证高防实例可以正常转发。参见验证配置生效
  3. 配置流量调度器。
    • 一对一切换,参见添加防护调度规则
    • 多对一切换,包括以下两种配置模式:
      • 优先使用云产品,无可用云产品IP时,切换高防。配置方法同一对一切换,在添加防护调度规则时,选择添加多个需要联动的云资源IP即可。
      • 云产品多路分摊流量,每路被攻击单独切换高防。配置方法参见多路分摊切换配置示例
  4. 将DNS解析到流量调度器。修改域名的DNS解析,应用CNAME解析并将解析目标设置为调度器分配的CNAME地址。
    说明 关于修改域名DNS解析CNAME记录的操作步骤,业务接入DDoS高防配置可供参考,但请注意应该应用流量调度器分配的CNAME地址,而不是DDoS高防CNAME地址。
阶梯防护 阶梯防护分为防护包中云产品与DDoS高防一对一切换、防护包中云产品与DDoS高防多对一切换。配置步骤与云产品联动相同。
出海加速 配置步骤如下。
  1. 配置DDoS高防转发。参见添加网站配置
  2. 验证高防实例可以正常转发。参见验证配置生效
  3. 配置流量调度器,参见添加防护调度规则
  4. 将DNS解析到流量调度器。修改域名的DNS解析,应用CNAME解析并将解析目标设置为调度器分配的CNAME地址。
    说明 关于修改域名DNS解析CNAME记录的操作步骤,业务接入DDoS高防配置可供参考,但请注意应该应用流量调度器分配的CNAME地址,而不是DDoS高防CNAME地址。
CDN联动 配置步骤如下。
  1. 预先配置好CDN,并解析到CDN,经测试可用。 参见添加加速域名
    说明 如果配置了源站防护(安全组),则需要将CDN回源地址加白。
  2. 配置DDoS高防转发。参见添加网站配置
  3. 验证高防实例可以正常转发。参见验证配置生效
  4. 配置流量调度器。参见添加CDN联动
  5. 将DNS解析到流量调度器。修改域名的DNS解析,应用CNAME解析并将解析目标设置为调度器分配的CNAME地址。
    说明 关于修改域名DNS解析CNAME记录的操作步骤,业务接入DDoS高防配置可供参考,但请注意应该应用流量调度器分配的CNAME地址,而不是DDoS高防CNAME地址。

添加防护调度规则

  1. 登录云盾DDoS高防(国际)控制台
  2. 在左侧导航栏,单击管理 > 流量调度器
  3. 防护调度页签下,单击添加规则添加规则
  4. 添加规则侧边页,完成联动规则配置,并单击下一步。联动规则的配置描述见下表。
    配置项 说明
    联动场景 选择规则类型,取值:
    • 出海加速
    • 云产品联动
    • 阶梯防护
      说明 仅支持DDoS防护包防护对象中的云资源,包括ECS、EIP、SLB、WAF。
    规则名 为规则命名。规则名由英文字母、数字和下横线(_)组成,且不超过128个字符。
    高防IP 选择要联动的高防实例。
    加速线路IP 出海加速场景下,选择要联动的加速线路IP。
    云资源 云产品联动阶梯防护场景下,设置要联动的云资源。选择云资源所在地域,并输入云资源IP地址。单击添加源资源IP,可以添加多个云资源。最多支持添加20个IP。
    出海加速阶梯防护
    成功添加规则,调度器为新建规则分配一个CNAME地址。要使调度规则生效,您需要前往云资源的DNS服务商处修改其DNS解析,应用CNAME解析并将解析目标设置为调度器分配的CNAME地址。添加规则,防护调度

    您可以在防护调度规则列表中查看新建的规则和CNAME地址。

添加CDN联动

  1. 登录云盾DDoS高防(国际)控制台
  2. 在左侧导航栏,单击管理 > 流量调度器
  3. 打开CDN联动调度页签。添加联动
    CDN联动调度页签展示了所有已添加到DDoS高防(国际)中的网站域名。
  4. 定位到要配置的域名,单击其操作列下的添加联动
  5. 添加联动侧边页,确认域名信息满足要求后,配置切换至高防条件,即访问QPS的最小值,并单击下一步添加联动配置
    要添加联动,域名信息应满足以下要求。
    • 高防资源:已开通增强功能。高防资源限制
    • 联动资源:已完成阿里云CDN配置。联动资源限制
    成功添加联动,调度器为新建规则分配一个CNAME地址。要使调度规则生效,您需要前往云资源的DNS服务商处修改其DNS解析,应用CNAME解析并将解析目标设置为调度器分配的CNAME地址。成功添加联动

    您可以在CDN联动调度规则列表中看到域名的CDN联动状态更新为已开启,并查看其CNAME地址。

多路分摊切换配置示例

以多防护包切换DDoS高防(国际)为例,介绍云产品与DDoS高防(国际)多对一切换(云产品多路分摊流量,每路被攻击单独切换高防模式)的具体配置方法。其中,CNAME解析记录的更新以阿里云云解析DNS为例截图说明。

  1. 防护包配置。在防护包中添加多个防护对象,示例中是三个。防护对象
  2. 流量调度器配置。为步骤1中的三个防护对象各添加一条阶梯防护规则,三条规则关联同一个高防IP。流量调度器
  3. 域名解析配置。使用同一个主机记录,添加三条CNAME解析记录,记录值分别是步骤2中三条阶梯防护规则的CNAME地址。域名解析
  4. 验证结果。在http://tool.chinaz.com/上验证步骤3中添加的CNAME记录生效。验证结果