您可以为全球加速提升DDoS阈值,提升DDoS阈值后,全球加速与DDoS高防实例并联部署,仅在特定场景下触发并切换启用DDoS高防实例,保证无DDoS攻击时日常业务的流畅体验以及发生DDoS攻击时达到更好的防护效果。

配置场景

本文以下图场景为例。配置场景

某公司的Web服务部署在美国(硅谷),终端用户主要集中在中国(香港)。因跨国公网不稳定,中国(香港)终端用户访问美国(硅谷)的Web服务经常出现延迟、抖动、丢包等网络问题。针对以上问题,该公司使用阿里云全球加速减少了延迟、抖动、丢包等网络问题的出现。但Web服务经常受到DDoS攻击,严重影响Web服务的安全性和可用性。

您可以为全球加速提升DDoS阈值,提升DDoS阈值后,全球加速将与DDoS高防实例并联部署,部署完成后:
  • Web服务在无攻击时,中国(香港)地域终端用户的访问请求通过加速IP就近从接入点进入阿里云加速网络,然后通过智能选择路由和自动网络调度,把终端用户的网络访问请求送达至终端节点。
  • Web服务在受到攻击时,触发并切换启用DDoS高防实例,清洗过滤流量后再通过就近的接入点进入阿里云加速网络,然后通过智能选择路由和自动网络调度,把终端用户的网络访问请求送达至终端节点。

前提条件

配置步骤

配置步骤

步骤一:提升DDoS阈值

提升DDoS阈值后,全球加速和DDoS高防实例并联部署,保证无DDoS攻击时日常业务的流畅体验以及发生DDoS攻击时达到更好的防护效果。
说明 为全球加速提升DDoS阈值时,系统会判断全球加速是否拥有服务关联角色AliyunServiceRoleForGaAntiDdos:
  • 如果全球加速不存在服务关联角色AliyunServiceRoleForGaAntiDdos,系统会自动创建该服务关联角色,并为该服务关联角色添加名称为AliyunServiceRolePolicyForGaAntiDdos的权限策略,授予全球加速拥有访问DDoS高防实例的权限。
  • 如果全球加速已经拥有服务关联角色AliyunServiceRoleForGaAntiDdos,则不会重复创建该服务关联角色。

详细信息,请参见AliyunServiceRoleForGaAntiDdos

  1. 登录全球加速管理控制台
  2. 实例列表页面,找到目标全球加速实例,在操作列单击更多图标 > 提升DDoS阈值
  3. 提升DDoS阈值对话框,根据以下信息选择要联动的DDoS高防实例。
    • DDoS联动产品:选择要联动的DDoS高防实例类型。本文选择DDoS高防(国际)
    • DDoS高防实例:选择要联动的DDoS高防实例。
  4. 单击确定
提升DDoS阈值后,系统会分配一个全球加速联动DDoS高防的CNAME,用于全球加速和DDoS高防的联动。
说明 CNAME名称中含有-1即为全球加速联动DDoS高防的CNAME,例如ga-bp1f609c76zg6****zuna-1.aliyungaxxxx.com。
GA联动DDoS CNAME

步骤二:修改DNS解析

您需要将DNS解析到全球加速联动DDoS高防CNAME,才能实现按需防护,即Web服务在无攻击时,终端用户访问Web服务通过全球加速服务进行加速;Web服务在受到攻击时,访问Web服务的流量切换到DDoS高防节点,流量清洗后再送到全球加速的加速节点。
说明 如果您使用的DNS解析服务为非阿里云云解析DNS,请登录您的DNS服务商系统修改网站域名的解析记录。
  1. 登录阿里云云解析DNS控制台
  2. 域名解析页面,找到目标域名,在操作列单击解析设置
  3. 解析设置页面,找到要修改的解析记录,在操作列单击修改
  4. 修改记录对话框,选择记录类型CNAME,并将记录值修改为步骤一:提升DDoS阈值完成后系统分配的全球加速联动DDoS高防CNAME地址。更多关于CNAME记录配置说明,请参见CNAME记录修改记录
  5. 单击确认

步骤三:访问测试

  1. 在接入地域(本文为中国香港)的电脑中打开浏览器。
  2. 使用网站域名访问美国(硅谷)地域部署的Web服务。
    经测试,可以通过网站域名访问美国(硅谷)地域部署的Web服务。访问测试
  3. 执行dig <网站域名>查看解析结果。
    • 源站未被攻击时:解析结果为配置的全球加速的IP。
    • 源站被攻击时:解析结果为DDoS高防实例的IP。