您可以为全球加速提升DDoS阈值,提升DDoS阈值后,全球加速与DDoS高防实例并联部署,仅在特定场景下触发并切换启用DDoS高防实例,保证无DDoS攻击时日常业务的流畅体验以及发生DDoS攻击时达到更好的防护效果。
配置场景
本文以下图场景为例。
某公司的Web服务部署在美国(硅谷),终端用户主要集中在中国香港。因跨国公网不稳定,中国香港终端用户访问美国(硅谷)的Web服务经常出现延迟、抖动、丢包等网络问题。针对以上问题,该公司使用阿里云全球加速减少了延迟、抖动、丢包等网络问题的出现。但Web服务经常受到DDoS攻击,严重影响Web服务的安全性和可用性。
您可以为全球加速提升DDoS阈值,提升DDoS阈值后,全球加速将与DDoS高防实例并联部署,部署完成后:
- Web服务在无攻击时,中国香港地域终端用户的访问请求通过加速IP就近从接入点进入阿里云加速网络,然后通过智能选择路由和自动网络调度,把终端用户的网络访问请求送达至终端节点。
- Web服务在受到攻击时,触发并切换启用DDoS高防实例,清洗过滤流量后再通过就近的接入点进入阿里云加速网络,然后通过智能选择路由和自动网络调度,把终端用户的网络访问请求送达至终端节点。
前提条件
- 您已经注册了阿里云账号。如未注册,请先完成账号注册。
- 您已经申请并通过了提升DDoS阈值功能的权益配额申请。
提升DDoS阈值功能默认不开放。如需使用,请在配额中心申请高防联动权益配额。具体操作,请参见提升配额。
- 您已经购买了DDoS高防实例,并添加了转发规则。详细信息,请参见购买DDoS高防实例和添加转发规则。
配置步骤
步骤一:提升DDoS阈值
提升DDoS阈值后,全球加速和DDoS高防实例并联部署,保证无DDoS攻击时日常业务的流畅体验以及发生DDoS攻击时达到更好的防护效果。
说明 为全球加速提升DDoS阈值时,系统会判断全球加速是否拥有服务关联角色AliyunServiceRoleForGaAntiDdos:
- 如果全球加速不存在服务关联角色AliyunServiceRoleForGaAntiDdos,系统会自动创建该服务关联角色,并为该服务关联角色添加名称为AliyunServiceRolePolicyForGaAntiDdos的权限策略,授予全球加速拥有访问DDoS高防实例的权限。
- 如果全球加速已经拥有服务关联角色AliyunServiceRoleForGaAntiDdos,则不会重复创建该服务关联角色。
详细信息,请参见AliyunServiceRoleForGaAntiDdos。
- 登录全球加速管理控制台。
- 在实例列表页面,找到目标全球加速实例,在操作列单击
> 提升DDoS阈值。 - 在提升DDoS阈值对话框,根据以下信息选择要联动的DDoS高防实例。
- DDoS联动产品:选择要联动的DDoS高防实例类型。本文选择DDoS高防(国际)。
- DDoS高防实例:选择要联动的DDoS高防实例。
- 单击确定。
提升DDoS阈值后,系统会分配一个全球加速联动DDoS高防的CNAME,用于全球加速和DDoS高防的联动。
说明 CNAME名称中含有
-1即为全球加速联动DDoS高防的CNAME,例如ga-bp1f609c76zg6****zuna-1.aliyungaxxxx.com。
步骤二:修改DNS解析
您需要将DNS解析到全球加速联动DDoS高防CNAME,才能实现按需防护,即Web服务在无攻击时,终端用户访问Web服务通过全球加速服务进行加速;Web服务在受到攻击时,访问Web服务的流量切换到DDoS高防节点,流量清洗后再送到全球加速的加速节点。
说明 如果您使用的DNS解析服务为非阿里云云解析DNS,请登录您的DNS服务商系统修改网站域名的解析记录。
- 登录阿里云云解析DNS控制台。
- 在域名解析页面,找到目标域名,在操作列单击解析设置。
- 在解析设置页面,找到要修改的解析记录,在操作列单击修改。
- 在修改记录对话框,选择记录类型为CNAME,并将记录值修改为步骤一:提升DDoS阈值完成后系统分配的全球加速联动DDoS高防CNAME地址。更多关于CNAME记录配置说明,请参见CNAME记录。
- 单击确认。
步骤三:访问测试
- 在接入地域(本文为中国香港)的电脑中打开浏览器。
- 使用网站域名访问美国(硅谷)地域部署的Web服务。
经测试,可以通过网站域名访问美国(硅谷)地域部署的Web服务。
- 执行
dig <网站域名>查看解析结果。- 源站未被攻击时:解析结果为配置的全球加速的IP。
- 源站被攻击时:解析结果为DDoS高防实例的IP。
相关文档
AttachDdosToAccelerator:将DDoS高防实例与全球加速实例绑定。