网站业务接入DDoS高防时,您必须在DDoS高防控制台添加一条网站配置,配置网站业务接入DDoS高防后的流量转发信息。网站配置支持批量操作。本文介绍了添加网站配置和批量导入网站配置的操作步骤。

前提条件

已购买DDoS高防(新BGP)或DDoS高防(国际)实例。更多信息,请参见开通DDoS高防(新BGP&国际)

添加网站配置

  1. 登录DDoS高防控制台
  2. 在顶部菜单栏左上角处,选择服务所在地域:
    • 中国内地:选择该地域将跳转到DDoS高防(新BGP)控制台。
    • 非中国内地:选择该地域将跳转到DDoS高防(国际)控制台。
    您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。
  3. 在左侧导航栏,选择接入管理 > 域名接入
  4. 域名接入页面,单击添加网站
    您也可以批量导入网站配置,具体操作,请参见批量导入网站配置
  5. 按照页面提示,完成添加网站配置向导。
    1. 填写网站信息。填写以下网站信息,并单击添加
      网站配置
      参数 适用的实例类型 说明
      功能套餐 DDoS高防(新BGP)和DDoS高防(国际) 选择要关联的DDoS高防实例的功能套餐规格,可选值:标准功能增强功能
      您可以将光标放置在功能套餐后的功能套餐说明图标上,查看标准功能和增强功能套餐的功能差异。功能套餐
      实例 DDoS高防(新BGP)和DDoS高防(国际) 选择要关联的DDoS高防实例。一个网站域名最多可以关联8个DDoS高防实例,且不支持关联不同功能套餐下的实例。

      此处根据您选择的功能套餐类型显示对应的DDoS高防实例。如果无可选实例,表示您当前无可用的该功能套餐的DDoS高防实例。您可以新购实例或升级已有的标准功能套餐实例。更多信息,请参见升级DDoS高防实例规格

      网站 DDoS高防(新BGP)和DDoS高防(国际) 填写要防护的网站域名。具体要求如下:
      • 域名可以由26个英文字母(a~z、A~Z,不区分大小写)、数字(0~9)以及短划线(-)组成。域名的首位必须是字母或数字。
      • 支持填写泛域名,例如*.aliyun.com。使用泛域名时,DDoS高防自动匹配该泛域名对应的子域名。
      • 如果同时存在泛域名和精确域名配置(例如*.aliyun.comwww.aliyun.com),DDoS高防优先使用精确域名(即www.aliyun.com)所配置的转发规则和防护策略。
      协议类型 DDoS高防(新BGP)和DDoS高防(国际) 选择网站支持的协议类型,可选值: HTTP(默认选中)、HTTPS(默认选中)、WebsocketWebsockets
      注意 如果要防护的网站支持HTTPS加密认证,则必须选中HTTPS协议,且在保存网站配置后上传对应的HTTPS证书,这样才能保证HTTPS协议流量正常解析。更多信息,请参见上传HTTPS证书
      选中HTTPS协议后,您可以展开右侧的高级设置菜单,开启以下高级设置:HTTPS高级设置
      • 开启HTTPS的强制跳转:适用于您的网站同时支持HTTP和HTTPS协议。开启该设置后,所有HTTP请求将强制转换为HTTPS请求,且默认跳转到443端口。
        注意
        • 您必须先选中HTTP协议,才可以开启该设置。
        • 如果选中了Websocket协议,则不支持开启该设置。
        • HTTP非标准端口(80以外的端口)访问的场景下,如果开启了HTTPS强制跳转,则访问默认跳转到HTTPS 443端口
      • 开启HTTP回源:适用于您的网站不支持HTTPS回源。开启该设置后,所有HTTPS协议请求将通过HTTP回源(Websockets协议会通过Websocket回源),且默认回源端口为80。
        注意
        • 如果您的网站不支持HTTPS回源,请务必开启该设置。
        • HTTPS非标准端口(443以外的端口)访问的场景下,如果开启了HTTP回源,则访问默认跳转到源站HTTP 80端口。
      • 启用HTTP2:开启后协议版本为HTTP2.0。
      服务器地址 DDoS高防(新BGP)和DDoS高防(国际) 选择源站服务器的地址类型,并填写源站服务器的地址。支持的地址类型包括:
      • 源站IP:表示源站服务器的IP地址。

        最多支持配置20个源站IP地址。配置多个源站IP后,DDoS高防默认以IP Hash的方式转发网站访问流量至源站,自动实现负载均衡。保存网站配置后,您可以通过回源设置修改源站负载算法。

        示例:如果源站在阿里云,一般填写源站ECS的公网IP地址;如果ECS前面部署了SLB,则填写SLB的公网IP地址。如果源站在阿里云外的IDC机房或者其他云服务商时,则填写“PING当前配置的域名指向的公网IP”。

      • 源站域名:通常适用于源站和高防之间还部署有其他代理服务(例如WAF)的场景,表示代理服务的跳转地址(例如CNAME)。

        示例:如果您在部署DDoS高防实例后还需要部署Web应用防火墙(WAF),以提升应用安全防护能力,您可以选择源站域名类型,并填写WAF的CNAME地址。更多信息,请参见同时部署WAF和DDoS高防

      服务器端口 DDoS高防(新BGP)和DDoS高防(国际) 根据选择的协议类型配置服务器端口。
      说明 转发端口与服务器端口保持一致。
      • 协议类型为HTTPWebsocket时,默认服务器端口为80。
      • 协议类型为HTTPSWebsockets时,默认服务器端口为443。
        说明 HTTP2.0协议的端口与HTTPS端口保持一致。
      支持添加自定义端口。您可以单击自定义,并从可选端口范围中选择默认端口以外的端口。
      • 标准功能套餐实例:可选的HTTP或Websocket端口包括80和8080,可选的HTTPS或Websockets端口包括443和8443。
      • 增强功能套餐实例:支持特定的非标准端口(除HTTP 80、HTTPS 443以外的端口),更多信息,请参见自定义非标端口
      自定义端口
      Cname Reuse DDoS高防(国际) 选择是否开启CNAME复用。适用于同一台服务器上有多个网站业务的场景。开启CNAME复用后,您只需将同一个服务器上多个域名的解析指向同一个高防CNAME地址,即可将多个域名接入高防,无需为每个域名分别添加高防网站配置。更多信息,请参见CNAME复用
    2. 完成配置。按照页面提示完成后续操作。
      注意 您必须完成后续操作,才能为网站开启DDoS防护。关于后续操作的更多信息,请参见后续步骤
      完成配置
    3. 单击去网站列表,您可以在网站列表中查看新添加的网站域名和域名对应的高防CNAME地址。
    完成添加网站配置向导后,您可以在域名接入页面对已经添加的网站配置执行以下操作: CNAME地址
    • 编辑删除:编辑、删除已添加的网站配置。具体操作,请参见编辑网站删除网站
    • DNS设置:如果您开启了付费版的阿里云云解析DNS服务,则可以使用NS接入方式自动修改域名DNS,完成业务流量切换到高防进行防护。具体操作,请参见NS方式接入网站业务
    • 防护设置:前往网站业务DDoS防护页面,修改网站的DDoS防护功能配置。

      成功添加网站配置后,DDoS高防默认为网站开启AI智能防护频率控制防护功能,您可以在网站业务DDoS防护为网站开启更多的防护功能和修改防护功能的规则。具体操作,请参见设置AI智能防护

    • 回源设置:如果接入高防的网站有多个源站服务器,您可以通过回源设置修改回源负载算法。支持的算法包括:
      • IP hash(默认):根据请求来源IP进行HASH映射,将同一个IP的所有请求定向到一个源站服务器。
      • 轮询:将所有请求轮流分配给不同源站服务器。使用该算法时,您可以根据不同服务器的性能为服务器设置权重。

        权重取值范围:1~100,默认值为100。权重越高的服务器分配到的请求越多。

      • Least time:该算法通过智能DNS解析能力,保证业务流量从接入防护节点到转发回源站服务器整个链路的时延最短。
      回源设置

后续步骤

成功添加网站配置后,您还需要完成以下后续步骤,才能为已添加的网站开启DDoS防护:
  • 可选:如果接入高防的网站有HTTPS业务,您必须上传HTTPS证书,才能保证HTTPS协议请求正常解析。具体操作,请参见上传HTTPS证书
    说明 如果网站已关联增强型DDoS高防实例,则在成功上传HTTPS证书后,您还可以为网站自定义TLS安全策略。具体操作,请参见自定义TLS安全策略
  • 可选:如果源站服务器上有防火墙等安全软件,您需要在源站放行DDoS高防回源IP,避免由高防转发回源站的流量被误拦截。具体操作,请参见放行DDoS高防回源IP
  • 可选:如果您的源站是阿里云ECS服务器,且源站IP地址不慎暴露,您需要更换ECS云服务器的公网IP,防止黑客绕过DDoS高防直接攻击源站。具体操作,请参见更换源站ECS公网IP
  • 在本地计算机上验证添加到高防的网站配置已经生效,避免在网站配置未生效时将业务流量切换到高防,导致业务中断。具体操作,请参见本地验证转发配置生效
  • 添加网站配置后,DDoS高防为网站分配一个CNAME地址,您必须将网站域名的DNS解析指向高防CNAME地址,才可以正式将业务流量切换到高防实例进行防护。您可以手动修改网站域名的DNS解析或者使用NS接入的方式自动修改DNS解析。更多信息,请参见:
  • 可选:成功添加网站配置后,DDoS高防默认为网站开启AI智能防护频率控制防护功能,您可以在网站业务DDoS防护为网站开启更多的防护功能和修改防护功能的规则。具体操作,请参见设置AI智能防护

批量导入网站配置

  1. 登录DDoS高防控制台
  2. 在顶部菜单栏左上角处,选择服务所在地域:
    • 中国内地:选择该地域将跳转到DDoS高防(新BGP)控制台。
    • 非中国内地:选择该地域将跳转到DDoS高防(国际)控制台。
    您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。
  3. 在左侧导航栏,选择接入管理 > 域名接入
  4. 域名接入页面,单击网站列表下方的批量导入
  5. 批量创建页面,输入要导入的网站配置,并单击下一步
    批量创建的网站配置采用XML文件格式传入,关于文件格式的说明,请参见网站配置XML格式说明批量创建
    如果输入的XML配置参数文本内容正确,则XML配置将被解析成所需导入的网站配置。
  6. 导入规则页面,选中要导入的网站配置,并单击确定导入规则
  7. 成功上传网站配置后,关闭上传完成页面。