全球加速依托阿里巴巴优质BGP带宽和全球传输网络,通过联动DDoS高防和Web应用防火墙,可以有效防御DDoS攻击和Web攻击,同时可以通过全局流量管理实现故障隔离或流量切换,为Web服务商提供一套高安全的跨地域加速方案。

前提条件

您已经注册了阿里云账号。如未注册,请先完成账号注册

背景信息

某Web服务部署在美国(硅谷)地域的阿里云上,后端服务器为4个绑定了阿里云弹性公网IP的ECS实例,Web服务通过域名www.example.us(海外域名)对外提供服务,转发端口为TCP 9000端口。Web服务面临以下问题:
  • Web域名为海外域名,暂不能托管在中国内地的服务器上,但客户端主要集中在中国内地。
  • Web服务经常受到各类Web攻击和DDoS攻击,严重影响Web应用服务的安全性和可用性。
  • 跨国公网不稳定,经常出现延迟、抖动、丢包等网络问题。
  • 后端服务器不稳定,业务存在中断的风险。
跨域安全加速
如上图部署架构,您可以联动部署全球加速、DDoS高防、Web应用防火墙、全局流量管理。部署完成后,可以有效解决跨域Web服务面临的问题。
  • DDoS高防可以有效防御DDoS攻击。

    旁路部署DDoS高防,仅在特定场景下触发并切换启用DDoS高防,保证无DDoS攻击时日常业务的流畅体验以及发生DDoS攻击时更好的防护效果。

  • 全球加速可以提高加速区域用户的网络访问速度。

    中国内地用户的访问请求通过香港接入点进入阿里云加速网络 ,然后通过智能选择路由和自动网络调度,把网络访问请求送达至美国硅谷源站。

  • Web应用防火墙可以有效防御各类Web攻击。

    所有访问Web的公网流量都会经过Web应用防火墙,恶意攻击流量在Web应用防火墙上被检测过滤,而正常流量返回给源站IP,确保源站IP安全、稳定、可用。

  • 全局流量管理可以实现故障隔离或流量切换。
    • 如果主服务器组运行正常时,客户端的访问流量均转发到主服务器组。
    • 如果主服务器组因故障不可用时,流量迅速切换到备服务器组,并在主服务器组恢复正常后,客户端流量切回主服务器组。

配置步骤

海外域名加速步骤

步骤一:创建全局流量管理实例

全局流量管理是一种流量管理服务,可以帮助您精细化的管理客户端访问流量。

完成以下操作,创建全局流量管理实例。

  1. 登录阿里云云解析DNS控制台
  2. 在左侧导航栏,单击全局流量管理
  3. 全局流量管理页面,单击创建实例
  4. 在购买页面,根据以下信息配置全局流量管理实例。
    1. 套餐版本:默认为标准版,且不支持修改。
      标准版套餐说明如下:
      • 支持应用服务IP地址健康检查。
      • 支持DNS按照区域进行智能解析。
      • 支持配置DNS故障容灾策略。
      • 支持配置流量均衡策略。
    2. 购买数量:选择购买实例的数量。
    3. 购买时长:选择购买实例的时长。
  5. 单击立即购买完成支付。

步骤二:配置访问策略

访问策略可以将不同来源的访问请求转发到不同的后端服务器,并可以根据实际业务需要设置备用后端服务器。

完成以下操作,为全局流量管理配置访问策略。

  1. 登录阿里云云解析DNS控制台
  2. 在左侧导航栏,单击全局流量管理
  3. 全局流量管理页面,找到目标全局流量管理实例,单击操作列下的配置
  4. 选择配置方法对话框,选择快速入门
  5. 访问策略配置向导下,根据以下信息配置访问策略。
    1. 策略名称:输入访问策略的名称。
    2. 解析请求来源: 选择解析请求来源。
      选中解析请求来源后,该区域的用户访问应用服务时会智能调度到所配置的后端服务器地址池。本方案选择全局
    3. 默认地址池:选择默认地址池。
      默认地址池是业务正常情况下,全局流量管理将用户访问流量转发到的后端服务器地址池。

      本方案您需要先单击+新增地址,将美国源站服务器1和服务器2添加到默认地址池,并配置健康检查,然后再选择默认地址池。健康检查配置详情,请参见TCP健康检查

    4. 备用地址池:选择备用地址池。
      备用地址池是在默认地址池中的服务器因故障不可用时,全局流量管理将用户访问流量切换到的后端服务器地址池。

      本方案您需要单击+新增地址,将美国源站服务器3和服务器4添加到备用地址池,并配置健康检查,然后再选择备用地址池。健康检查配置详情,请参见TCP健康检查

  6. 单击下一步

步骤三:配置基础信息

配置访问策略后,您需要配置全局流量管理实例的基础信息,包括主域名信息、CNAME接入域名、负载均衡策略、全局TTL、报警通知组等相关信息。

完成以下操作,为全局流量管理配置基础信息。

  1. 基础信息向导下,配置基础信息。
    1. 实例名称:输入实例名称。
      实例名称是便于识别该实例用于某个应用服务的标识。
    2. 主域名:输入客户端访问的域名。本方案输入www.example.us
    3. CNAME接入域名:选择接入域名的类型。
      • 系统分配接入域名:适用于后端服务地址池中都是阿里云地址或海外地址。
      • 自定义接入域名:适用于后端服务地址池中有自建IDC的地址。

      本方案中,后端服务地址均为阿里云弹性公网IP,所以选择系统分配接入域名。

    4. 均衡策略:选择全局流量管理的均衡策略。
      • 负载均摊:域名解析到多个IP地址时,采用负载平均分配的策略。
      • 加权轮询:域名解析到多个IP地址时,基于预置权重采用轮询的策略。

      本方案选择负载均摊

    5. 全局TTL:域名解析对应IP地址的生效时间。本方案选择1分钟
      全局流量管理是以域名形式对外提供流量管理服务,全局TTL即域名对应IP地址信息在运营商DNS系统内的缓存生效时间,默认提供1分钟的TTL时间。如果使用自定义接入域名方式,全局TTL需要与自定义域名的云解析套餐支持的最小TTL保持一致。
    6. 报警通知组:当业务出现异常时,用于接收通知消息的联系组。
      说明
      • 如果您未配置报警通知组,请先前往云监控控制台设置。详细信息,请参见报警联系人/报警联系组管理
      • 如果您已经配置了报警通知组,但您使用子账号配置基础信息,请先使用主账号授权。授权成功后,子账号才能读取到报警通知组信息。
  2. 单击完成
基本信息配置完成后,系统会自动分配一个CNAME接入域名用于解析要调度的后端服务IP。cname

步骤四:开通Web应用防火墙

Web应用防火墙WAF基于云安全大数据能力,用于防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,并过滤海量恶意CC攻击,避免您的网站资产数据泄露,保障网站的安全与可用性。

本方案以包年包月为例,介绍如何开通Web应用防火墙。

  1. 进入阿里云官网Web应用防火墙产品详情页
  2. 单击包年包月购买
  3. Web应用防火墙(包月)页面,完成以下配置。
    1. 地域:选择WAF服务主机所在地域。
      本方案WAF服务主机所在地域为美国(硅谷),所以选择海外地区
    2. 套餐选择:选择要开通的WAF服务的版本。
      不同WAF版本适用的业务规模和支持的防护功能不同。详细信息,请参见版本功能说明。本方案选择企业版
    3. 域名扩展包:指定要开通的域名扩展包数量。
      当您有多个域名(或超过10个子域名)需要接入WAF进行防护时,您可以开通域名扩展包。详细信息,请参见域名扩展包。本方案不购买域名扩展包。
    4. 带宽扩展包:指定要开通的带宽扩展包大小,单位Mbps。
      当您需要接入WAF进行防护的业务总带宽超过所选套餐规格时,您可以开通带宽扩展包。详细信息,请参见额外带宽扩展包。本方案选择100Mbps
    5. 域名独享资源包:指定要开通的独享IP数量。
      当您有重要的域名需要使用独立的WAF IP进行防护时,您可以开通域名独享IP资源包。详细信息,请参见独享IP包。本方案不购买域名独享资源包。
    6. 智能负载均衡:选择开启或关闭智能负载均衡。
      智能负载均衡通过多节点智能接入技术,助力业务支持多节点、多线路自动调度容灾,提高业务的可靠性。详细信息,请参见智能负载均衡接入能力。本方案选择关闭
    7. 日志服务:选择开启或关闭日志服务。
      日志服务将WAF所有的日志信息实时存储至日志服务存储空间中,同时提供查询分析和展示在线报表等功能。本方案选择关闭
    8. Bot管理:选择开启或关闭Bot管理功能。
      如果您需要缓解机器流量对业务造成的安全威胁,您可以开通Bot管理功能模块。详细信息,请参见设置爬虫威胁情报规则设置合法爬虫规则。本方案选择关闭
    9. APP防护:选择开启或关闭APP防护。
      如果您的业务支持原生APP端且存在可信通信、防机器脚本滥刷等安全需求,您可以开通APP防护模块。详细信息,请参见设置App防护。本方案选择关闭
    10. 可视化大屏服务:选择要开通的可视化大屏服务类型。
      如果您需要通过接入数据大屏来展示和分析网站的整体业务及安全状况,您可以开通可视化大屏服务。详细信息,请参见数据大屏。本方案选择未开启
    11. 产品专家服务:选择是否开通产品专家服务。本方案选择不开通。
    12. 购买时长:选择WAF服务的有效时长。
  4. 单击立即购买完成支付。

步骤五:添加网站配置

开通Web应用防火墙后,您需要配置WAF防护网站的转发信息。

完成以下操作,通过DNS配置模式将被防护域名的访问流量指向WAF。

  1. 登录Web应用防火墙控制台
  2. 在顶部状态栏,选择Web应用防火墙实例的地域。本方案选择海外地区
  3. 在左侧导航栏,单击资产中心 > 网站接入
  4. 网站接入页面,单击添加域名
  5. 可选:域名一键接入页面,单击手动添加其他网站
    说明 只有当存在满足条件的域名时,域名一键接入页面才会出现。如果域名一键接入没有出现,请忽略该步骤。
  6. 根据添加域名配置向导完成相关任务。
    1. 域名:输入要防护的域名。 本方案输入www.example.us
      说明
      • 支持使用精确域名(例如www.aliyun.com)和泛域名(例如*.aliyun.com)格式。
        • 使用泛域名后,Web应用防火墙将自动匹配该泛域名对应的子域名。
        • 如果同时存在泛域名和精确域名配置,则精确域名的转发规则和防护策略优先生效。
      • 暂不支持添加.edu域名。如果您需要添加.edu域名,请提交工单联系售后技术支持。
    2. 协议类型:选中网站支持的协议类型。本方案选中HTTP
      说明
      • 如果网站支持HTTPS加密认证,请勾选HTTPS,并在添加网站后上传证书和私钥文件。详细信息,请参见上传HTTPS证书
      • 勾选HTTPS后,可使用高级设置实现HTTP强制跳转和HTTP回源等功能,保证访问平滑。详细信息,请参见HTTPS高级配置
      • 使用HTTP2.0协议,需要符合以下要求:
        • 您的WAF实例已升级至企业版或旗舰版。
        • 您已勾选HTTPS协议。
    3. 服务器地址:选择服务器地址类型,然后输入网站的源站服务器地址。
      支持IP地址其它地址格式。网站接入WAF后,WAF将过滤后的访问请求转发至该地址。本方案选择其他地址,然后输入步骤三配置基础信息后系统为全局流量管理分配的CNAME地址。详细信息,请参见步骤三:配置基础信息
    4. 服务器端口:配置网站的协议端口。
      WAF通过所配置的端口为网站提供流量的接入与转发服务,网站域名的业务流量只通过所配置的服务端口进行转发;对于未配置的端口,WAF不会转发任何该端口的访问请求流量到源站服务器,因此这些端口的启用和漏洞不会对源站服务器造成任何安全威胁。
      注意 配置的协议和端口必须与您所接入的网站业务源站IP(在WAF中配置的服务器IP地址)的协议和端口(在WAF中配置的服务器端口)一致,不支持端口转换功能。
      本方案输入自定义9000端口。
      说明 WAF默认支持以下端口:80/8080(HTTP)和443/8443(HTTPS)。企业版和旗舰版WAF实例支持更多的非标端口,且对被防护域名使用的不同端口的总数有相应限制。详细信息,请参见非标端口支持
    5. 负载均衡算法:如果配置了多个源站IP,勾选IP hash轮询。WAF将根据所选择的方式在多个源站IP间分发访问请求,实现负载均衡。
    6. WAF前是否有七层代理(高防/CDN等):根据该网站业务的实际情况选择是否有七层代理(高防/CDN等)。本方案选择
    7. 流量标记:输入一个空闲的Header字段名称和自定义Header字段值,用来标识经过WAF转发到源站的Web请求。流量经过WAF后,WAF在请求中添加此处指定的字段,方便您的后端服务统计信息。
      说明 如果Web请求中本身包含此处定义的头部字段,WAF将用此处的设定值覆盖原Web请求中对应字段的内容。
    8. 资源组:从资源组列表中选择域名所属的资源组。
  7. 单击下一步。在添加域名页面,单击复制Cname,记录下WAF分配的CNAME地址。
    WebCNAME

步骤六:创建全球加速实例

全球加速实例是一个运行的全球加速服务。

完成以下操作,创建全球加速实例。

  1. 登录全球加速管理控制台
  2. 实例列表页面,单击创建加速实例
  3. 在购买页面,根据以下信息配置全球加速实例,然后单击立即购买
    1. 选择购买全球加速实例的规格。本方案选择中型Ⅰ
      全球加速支持小型Ⅰ、小型Ⅱ、小型Ⅲ、中型Ⅰ、中型Ⅱ、中型Ⅲ六种规格,每种规格提供的加速服务如下。
      规格 加速IP个数 最大带宽处理能力 最大并发连接数
      小型Ⅰ 1 20Mbps 5000
      小型Ⅱ 2 40Mbps 10000
      小型Ⅲ 3 60Mbps 15000
      中型Ⅰ 5 100Mbps 25000
      中型Ⅱ 8 160Mbps 40000
      中型Ⅲ 10 200Mbps 50000
    2. 选择购买全球加速实例的时长。
实例创建成功后,系统会自动分配一个CNAME用于解析要加速的后端服务的域名。CNAME

步骤七:购买并绑定基础带宽包

基础带宽包提供了覆盖全球的公网接入带宽和阿里云内网传输带宽。实现全球加速您需要购买基础带宽包并将基础带宽包绑定到全球加速实例。

完成以下操作,购买并绑定基础带宽包。

  1. 实例列表页面,单击购买基础带宽包
  2. 在购买页面,配置基础带宽包,然后单击立即购买完成支付。
    1. 带宽类型:选择购买基础带宽包的带宽类型。

      本方案中源站域名为海外域名,该域名不能托管在中国内地的服务器上,所以选择精品加速带宽,中国内地用户通过香港精品公网访问部署在美国硅谷的Web服务。

      基础带宽包支持标准加速带宽、增强加速带宽和精品加速带宽三种带宽类型。带宽类型不同,加速类型、加速后端服务和加速范围也不同,如下表所示。
      带宽类型 加速类型 加速后端服务 加速范围
      标准加速带宽 阿里云上应用加速 阿里云弹性公网IP 默认加速中国内地区域
      增强加速带宽
      • 阿里云上应用加速
      • 阿里云下应用加速
      • 阿里云弹性公网IP
      • 自定义IP
      • 自定义域名
      默认加速中国内地区域
      精品加速带宽
      • 阿里云上应用加速
      • 阿里云下应用加速
      • 阿里云弹性公网IP
      • 自定义IP
      • 自定义域名
      默认加速全球区域(中国内地到海外区域间的加速通过香港加速点上车)
    2. 带宽峰值:选择购买基础带宽包的带宽峰值。本方案选择10Mb
    3. 购买时长:选择购买基础带宽包的时长。
  3. 返回实例列表页面,单击已创建的全球加速实例ID。
  4. 单击带宽包管理页签。
  5. 基础带宽包区域,找到目标基础带宽包,单击操作列下的绑定
    精品带宽
    绑定成功后,基础带宽包的状态变成可用

步骤八:添加加速区域

在购买基础带宽包后,您便可以添加加速区域,指定访问后端服务的用户的所在地域并分配加速带宽。

完成以下操作,添加加速区域。

  1. 实例列表页面,单击步骤六中创建的全球加速实例ID。
  2. 在实例详情页,单击加速区域页签,然后单击添加加速区域
  3. 添加加速区域对话框,配置加速区域和接入区域,然后单击确定
    1. 加速区域:选择需要进行访问加速的区域。本方案选择亚太
    2. 地域:选择访问加速服务用户的所属地域。本方案选择香港
    3. 带宽:选择加速服务的地域带宽。本方案选择10Mbps。
加速区域添加成功后,全球加速会为每个加速区域中的地域分配一个加速IP,用来加速用户访问。添加加速区域

步骤九:创建监听

监听负责检查连接请求。系统会根据您指定的端口和协议转发来自客户端的入站连接。

完成以下操作,为全球加速实例创建监听。

  1. 实例列表页面,单击步骤六中创建的全球加速实例ID。
  2. 在实例详情页,单击监听页签,然后单击添加监听
  3. 监听&协议页面,配置监听。
    1. 监听名称:输入监听的名称。 名称长度为2~128个字符,以大小写字母或中文开头,可包含数字、下划线(_)和短横线(-)。
    2. 协议:选择监听的协议类型。本方案选择TCP
    3. 端口:指定用来接收请求并向终端节点进行转发的监听端口,端口取值范围:1~65499。本方案输入9000
    4. 客户端亲和性:选择是否保持客户端亲和性。保持客户端亲和性,即客户端访问有状态的应用程序时,可以将来自同一客户端的所有请求都定向到同一终端节点。本方案选择源IP
    5. 保留客户端源IP:开启或关闭保留客户端源IP。开启后,源站会通过Proxy Protocol保留客户端源IP信息。本教程选择关闭保留客户端源IP。
      说明
      • 目前,保留客户端源IP功能白名单开放,如需使用请提交工单
      • 开启保留客户端源IP功能前,请确保您的源站支持并配置了Proxy Protocol。详细信息,请参见保留客户端源IP
      • 源站是阿里云负载均衡7层服务(HTTP/HTTPS监听)不支持通过Proxy Protocol保留客户端源IP信息。但如果源站是其他云上负载均衡7层服务或IDC自建负载均衡7层服务,您需要先确认源站是否支持解析Proxy Protocol。确认支持解析Proxy Protocol后,您再开启保留客户端源IP功能。
    监听
  4. 单击下一步配置终端节点组。

步骤十:设置终端节点组

每个监听都关联一个终端节点组,通过指定要分发流量的地域,将终端节点组与监听关联。关联后,全球加速会将流量分配到与监听关联的终端节点组内的最佳终端节点。

完成以下操作,设置终端节点组。

  1. 节点组名称区域输入节点组名称。
  2. 选择终端节点组所属的地域,即请求要访问的目标服务器的所属地域。
    本方案要将流量转发到Web应用防火墙,所以选择美国硅谷
  3. 配置终端节点。
    1. 后端服务类型:选择自定义域名
    2. 后端服务:输入步骤五添加网站配置后WAF分配的CNAME地址。详细信息,请参见步骤五:添加网站配置
    3. 权重:输入终端节点的权重,权重取值范围:0~255。全球加速根据您配置的权重按比例将流量路由到终端节点。
      注意 如果某个终端节点的权重设置为0,全球加速将终止向该终端节点分发流量,请您谨慎操作。
    endpoint
  4. 单击下一步查看监听和终端节点组配置,确认无误后,再单击下一步

步骤十一:开通DDoS高防(国际)实例

部署在中国内地以外的业务服务器,可以通过DDoS高防(国际)降低DDoS攻击风险。DDoS高防(国际)使用世界领先的分布式近源清洗方式清洗攻击流量,并将过滤后的正常流量返回至源站服务器,保障业务稳定运行。

完成以下操作,开通DDoS高防(国际)实例。

  1. 登录DDoS高防控制台
  2. 实例列表页面,单击新购实例
  3. 在购买页面,完成DDoS高防(国际)实例的购买配置。
    1. 商品类型:选择DDoS高防(国际)
    2. 防护套餐:选择DDoS高防(国际)实例的防护套餐。

      本方案选择无忧版

    3. 业务带宽:选择DDoS高防(国际)实例的业务带宽。
      业务带宽即在无攻击状态下本实例最大可容纳的正常业务流量。本方案选择100Mbps
    4. 功能套餐:选择功能套餐。
      支持标准功能增强功能。关于标准功能和增强功能的差异,请参见功能套餐。本方案选择增强功能
    5. 防护域名数:选择支持接入防护的HTTP/HTTPS域名数量。
      关于防护域名数的详细说明,请参见防护域名数。本方案选择10
    6. 业务QPS:选择业务QPS。
      业务QPS是无攻击状态下本实例最大可容纳HTTP/HTTPS的并发请求速率。本方案选择3000
    7. 防护端口数:选择支持的防护端口数量。
      防护端口数即通过TCP/UDP协议转发支持的最大条目数。本方案选择50
    8. 购买数量:选择购买当前配置的实例的数量。
    9. 购买时长:选择要购买实例的有效期。
  4. 单击立即购买并完成支付。

步骤十二:添加网站

网站配置定义了接入DDoS高防的网站业务的流量转发信息。

完成以下操作,在DDoS高防中添加要防护的网站信息。

  1. 登录DDoS高防控制台
  2. 在顶部状态栏,选择服务所在地域。本方案选择非中国内地
  3. 在左侧导航栏,单击接入管理 > 域名接入
  4. 域名接入页面,单击添加网站
  5. 添加网站页面,填写网站信息。
    1. 功能套餐:选择要关联的DDoS高防实例的功能套餐规格。
      支持标准功能增强功能,详细信息,请参见功能套餐。本方案选择增强功能
    2. 实例:选中要关联的DDoS高防实例。一个网站域名最多支持关联八个DDoS高防实例,且不支持关联不同功能套餐的实例。
    3. 网站:输入要防护的网站域名。 本方案输入www.example.us
    4. 协议类型:选择网站支持的协议类型。本方案保持默认选择的HTTPHTTPS
    5. 服务器地址:选择源站地址类型,并指定源站服务器地址。本方案选择源站IP,然后输入步骤八添加加速区域后全球加速实例分配给香港地域的加速IP。详细信息,请参见步骤八:添加加速区域
    6. 服务器端口:根据选择的协议类型指定服务器端口。 本方案指定端口为9000
  6. 单击添加

步骤十三:配置流量调度器

您可以通过DDoS高防流量调度器配置DDoS高防与云资源间的联动规则,仅在特定场景下触发并切换启用DDoS高防,保证无DDoS攻击时日常业务的流畅体验以及发生DDoS攻击时达到更好的防护效果。

完成以下操作,配置流量调度器。

  1. 登录DDoS高防控制台
  2. 在顶部状态栏处,选择服务所在地域。本方案选择非中国内地
  3. 在左侧导航栏,单击接入管理 > 流量调度器
  4. 通用联动页签下,单击添加规则
  5. 添加规则对话框,完成联动规则配置。
    1. 联动场景:选择规则的联动场景。本方案选择云产品联动
    2. 规则名:输入规则名称。
      规则名由英文字母、数字和下横线(_)组成,不超过128个字符。
    3. DDoS高防IP:选择要联动的DDoS高防实例。本方案选择步骤十一中创建的DDoS高防实例。
    4. 云资源:选择云资源所在地域,然后输入云资源IP地址。
      单击添加云资源IP,可以添加多个云资源。最多支持添加20个IP。

      本方案选择香港,然后输入步骤八添加加速区域后全球加速实例分配给香港地域的加速IP。详细信息,请参见步骤八:添加加速区域

    5. 回切时间:发生联动后,允许触发回切流程的等待时间。
      考虑到黑洞解除的等待时间以及避免频繁触发联动切换,回切时间的最小值为30分钟。本方案设置为60分钟。
  6. 单击下一步
  7. 单击完成
    成功添加规则后,流量调度器为新建规则分配一个CNAME地址。流量调度器

步骤十四:将DNS解析到流量调度器

使用流量调度器添加调度规则后,您必须更新规则对应域名的DNS解析CNAME记录,将中国内地区域用户的业务流量切换至流量调度器,使规则生效。
说明 如果您使用其他DNS服务商的域名解析服务,请登录服务商系统修改网站域名的解析记录。

完成以下操作,将DNS解析到流量调度器。

  1. 登录阿里云云解析DNS控制台
  2. 域名解析页面,找到目标域名,单击操作列下的解析设置
  3. 解析设置页面,单击添加记录
  4. 添加记录对话框,配置记录,然后单击确定
    1. 记录类型:选择记录类型。
      本方案需要将Web域名指向另一个域名,所以选择CNAME
    2. 主机记录:输入加速域名的前缀。
      本方案输入www
    3. 解析线路:选择默认
    4. 记录值:设置为步骤十三配置流量调度器后为新建规则分配的CNAME地址。详细信息,请参见步骤十三:配置流量调度器
    5. TTL:域名解析的生效时间。
      本方案选择10分钟
    添加cname
  5. 重复上述步骤,分别为中国联通中国电信中国移动中国教育网线路添加记录。
    添加cname记录

步骤十五:访问测试

在接入地域(本方案为中国内地)下,使用Windows电脑测试全球加速联动DDoS高防(国际)、Web应用防火墙、全局流量管理后的防护和加速效果。

  1. 在浏览器中使用Web服务域名(本方案为海外域名www.example.us)访问美国(硅谷)地域部署的Web服务。
    经测试,可以通过海外域名www.example.us访问美国(硅谷)地域部署的Web服务。访问测试
  2. 在cmd窗口下,执行nslookup <Web服务域名>查看解析结果。
    • 源站未被攻击时:解析结果为配置的全球加速的IP。
    • 源站被攻击时:解析结果为DDoS高防(国际)IP。
  3. 执行nslookup <全局流量管理的CNAME接入域名>查看解析结果。
    • 主服务器组(本方案为美国硅谷服务器1和服务器2)正常运行时:解析结果为美国硅谷服务器1或服务器2的IP。
    • 主服务器组(本方案为美国硅谷服务器1和服务器2)异常时:解析结果为美国硅谷服务器3或服务器4的IP。
  4. 执行以下命令,查看数据包延迟情况。
    curl -o /dev/null -s -w "time_connect: %{time_connect}\ntime_starttransfer: %{time_starttransfer}\ntime_total: %{time_total}\n" "http[s]://<Web服务域名>[:<端口>]"
    其中:
    • time_connect:连接时间,从开始到建立TCP连接完成所用的时间。
    • time_starttransfer:开始传输时间。在客户端发出请求后,到后端服务器响应第一个字节所用的时间。
    • time_total:连接总时间。客户端发出请求后,到后端服务器响应会话所用的时间。
    经测试,使用全球加速后,降低了中国内地用户访问美国硅谷Web服务的延迟。
    图 1. 加速前的访问延迟情况
    加速前,访问延迟情况
    图 2. 加速后的访问延迟情况
    加速后,访问延迟情况
    说明 全球加速联动DDoS高防(国际)、Web应用防火墙、全局流量管理后的防护和加速效果以您的实际业务测试为准。