应用场景
您可以将您的业务部署在阿里云的优质全局网络上,以减少网络延迟和丢包,同时提升传输效率。此外,您对业务的安全和高可用性要求也能得到满足。当业务拥有多个源站时,您可以利用全局流量管理产品对各个源站IP进行探测,及时隔离故障IP,从而确保业务的连续性。
为什么要用这三者联动?
分层防御:
WAF:保护应用层安全,防御SQL注入、XSS、CC攻击等。
GA:优化网络层,通过就近接入和协议优化降低延迟(如TCP/UDP加速)。
GTM:在DNS层智能调度流量,根据健康检查、地理位置等分配请求到最优节点。
互补短板:
单独使用WAF可能无法解决跨国网络延迟问题。
单独使用GA/GTM可能缺乏安全防护能力。
三者联动可实现 安全防护+性能优化+流量调度 的一体化方案。
业务连续性:
GTM实时监控节点健康状态,自动切换故障节点;
GA优化链路质量,减少丢包;
WAF拦截恶意流量,避免攻击导致服务中断。
方案架构
搭建完成后实现的效果:源站全部正常时,GTM回源至源站1;源站1异常时,GTM回源至源站2;源站1和2均异常时,GTM回源至源站3;源站1恢复正常时,GTM继续回源至源站1。
前提条件
域名已经使用阿里云解析DNS。
如果您的业务域名不在阿里云解析DNS,也可使用GTM产品。最终在业务域名当前DNS厂商处添加CNAME记录,指向GTM接入域名即可。
已购买GTM实例,若还没购买实例,请先购买实例。
已开通WAF 3.0服务,具体内容请参考购买WAF 3.0包年包月实例。
已购买全球加速实例,具体内容请参考创建和管理标准型全球加速实例。
设置方法
在此示例中,以下配置方式为业务域名www.cloud-example.com实现访问安全和业务高可用。
本示例主要演示配置操作流程,若您在实际配置中出现红色、橙色告警项,请及时排查地址健康检查情况。
一、配置GTM
登录云解析DNS控制台。左侧导航栏点击全局流量管理,再单击 全局流量管理3.0 页签。在 域名实例配置 页签,单击 创建接入域名 按钮。在 场景选择 弹框中选择 自定义场景 。
在 创建接入域名 页面,单击接入域名图标并完成基础配置,本示例接入域名配置为
gtm.cloud-example.com。具体操作可参考接入域名配置方式。在 接入域名 页面单击地址池图标,完成地址池配置并添加地址。具体请参考地址池配置。
在配置过程中,避免将GTM的接入域名设置为A记录,同时又将地址池的类型设为域名。否则,这可能会导致WAF偶尔返回502错误。
在 接入域名 页面,分别完成地址间负载均衡策略配置和地址池间负载均衡策略配置。本示例分别选择 顺序(抢占模式)、轮询 模式。
实例配置监控告警,具体信息请参考设置方法。在 接入域名 页面,单击接入域名图标,并选择 启用 。随后在 确认启用接入域名 页面,确认接入域名是否正确后,单击 确定 。
如果云解析DNS-权威解析存在同名称同类型的域名记录时,针对该域名对应类型的查询请求,系统将首先遵循GTM策略进行智能调度与解析,以实现流量负载均衡或故障切换等高级功能。
禁用或删除GTM域名实例,该域名将通过云解析DNS-权威解析提供解析。
二、配置WAF
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。参考添加域名完成接入域名配置,本示例中,需要防护的域名 为www.cloud-example.com,源站配置GTM的接入域名为gtm.cloud-example.com。
三、配置全球加速GA
登录全球加速产品控制台。在左侧导航栏选择 实例列表 ,然后单击 创建加速实例 按钮。 参考创建和管理标准型全球加速实例完成 实例基础配置、配置加速区域、配置监听、配置终端节点组、配置审核。终端节点配置为WAF的CNAME接入域名www.cloud-example.com.**.aliyunwaf.com。
四、业务域名接入全球加速GA
在 云解析DNS产品控制台 完成 CNAME 配置。将业务域名www.cloud-example.com通过CNAME记录指向GA接入域名ga-bp1fmarxs5wifowc49f2z.aliyunga**17.com。
- 本页导读 (1)
- 应用场景
- 为什么要用这三者联动?
- 方案架构
- 前提条件
- 设置方法
- 一、配置GTM
- 二、配置WAF
- 三、配置全球加速GA
- 四、业务域名接入全球加速GA