您可以为全球加速提升DDoS阈值,提升DDoS阈值后,全球加速与DDoS高防实例并联部署,仅在特定场景下触发并切换启用DDoS高防实例,保证无DDoS攻击时日常业务的流畅体验以及发生DDoS攻击时达到更好的防护效果。
配置场景
本文以下图场景为例。

某公司的Web服务部署在美国(硅谷),终端用户主要集中在中国(香港)。因跨国公网不稳定,中国(香港)终端用户访问美国(硅谷)的Web服务经常出现延迟、抖动、丢包等网络问题。针对以上问题,该公司使用阿里云全球加速减少了延迟、抖动、丢包等网络问题的出现。但Web服务经常受到DDoS攻击,严重影响Web服务的安全性和可用性。
您可以为全球加速提升DDoS阈值,提升DDoS阈值后,全球加速将与DDoS高防实例并联部署,部署完成后:
- Web服务在无攻击时,中国(香港)地域终端用户的访问请求通过加速IP就近从接入点进入阿里云加速网络,然后通过智能选择路由和自动网络调度,把终端用户的网络访问请求送达至终端节点。
- Web服务在受到攻击时,触发并切换启用DDoS高防实例,清洗过滤流量后再通过就近的接入点进入阿里云加速网络,然后通过智能选择路由和自动网络调度,把终端用户的网络访问请求送达至终端节点。
前提条件
- 您已经注册了阿里云账号。如未注册,请先完成账号注册。
- 您已经提交了提升DDoS阈值功能的使用申请。如未提交,请提交工单。
- 您已经购买了DDoS高防实例,并添加了转发规则。详细信息,请参见购买DDoS高防实例和添加转发规则。
配置步骤

步骤一:提升DDoS阈值
提升DDoS阈值后,全球加速和DDoS高防实例并联部署,保证无DDoS攻击时日常业务的流畅体验以及发生DDoS攻击时达到更好的防护效果。
说明 为全球加速提升DDoS阈值时,系统会判断全球加速是否拥有服务关联角色AliyunServiceRoleForGaAntiDdos:
- 如果全球加速不存在服务关联角色AliyunServiceRoleForGaAntiDdos,系统会自动创建该服务关联角色,并为该服务关联角色添加名称为AliyunServiceRolePolicyForGaAntiDdos的权限策略,授予全球加速拥有访问DDoS高防实例的权限。
- 如果全球加速已经拥有服务关联角色AliyunServiceRoleForGaAntiDdos,则不会重复创建该服务关联角色。
详细信息,请参见AliyunServiceRoleForGaAntiDdos。
提升DDoS阈值后,系统会分配一个全球加速联动DDoS高防的CNAME,用于全球加速和DDoS高防的联动。

说明 CNAME名称中含有-1即为全球加速联动DDoS高防的CNAME,例如ga-bp1f609c76zg6****zuna-1.aliyungaxxxx.com。

步骤二:修改DNS解析
您需要将DNS解析到全球加速联动DDoS高防CNAME,才能实现按需防护,即Web服务在无攻击时,终端用户访问Web服务通过全球加速服务进行加速;Web服务在受到攻击时,访问Web服务的流量切换到DDoS高防节点,流量清洗后再送到全球加速的加速节点。
说明 如果您使用的DNS解析服务为非阿里云云解析DNS,请登录您的DNS服务商系统修改网站域名的解析记录。
- 登录阿里云云解析DNS控制台。
- 在域名解析页面,找到目标域名,在操作列单击解析设置。
- 在解析设置页面,找到要修改的解析记录,在操作列单击修改。
- 在修改记录对话框,选择记录类型为CNAME,并将记录值修改为步骤一:提升DDoS阈值完成后系统分配的全球加速联动DDoS高防CNAME地址。更多关于CNAME记录配置说明,请参见CNAME记录。
- 单击确认。