GA联动DDoS原生防护实现全球服务安全加速_全球加速(GA)-阿里云帮助中心

在全球化业务拓展中，企业常面临网络延迟和DDoS攻击的威胁。通过联动部署全球加速 GA（Global Accelerator）和DDoS原生防护，可加速全球用户访问，同时有效抵御DDoS攻击，保障服务的高可用性和安全性，提升用户体验并降低安全风险。

场景示例

某企业网站部署在美国（硅谷）地域的阿里云上，通过自有域名对全球多地域终端用户提供服务，转发端口为HTTP 80端口。该网站现面临以下问题：

跨国公网不稳定，经常出现延迟、抖动、丢包等网络问题。
网站频繁遭遇大流量DDoS攻击，导致服务中断。
后端服务器不稳定，业务存在中断的风险。

您可以通过联动部署GA、DDoS原生防护，有效解决跨域网站服务面临的问题。

全球加速GA：客户端访问请求可通过配置的加速地域，就近接入阿里云加速网络，通过智能选择路由和自动网络调度转发至美国硅谷源站，有效提升服务访问速度；同时，通过启用健康检查可以提高业务的可靠性和可用性、避免异常节点对服务的影响。
DDoS原生防护：DDoS原生防护支持将GA实例添加为防护对象，以实现对GA的加速IP与终端节点出公网IP的防护。当流量超出DDoS原生防护的默认清洗阈值后，自动触发流量清洗，实现DDoS攻击防护。

使用限制

DDoS原生防护目前仅支持在中国内地直接开通。在中国内地以外地域开通时，请联系售前商务经理，获取在线人工帮助。如何联系售前商务经理，请参见联系我们。

前提条件

您的美国（硅谷）服务器ECS01和ECS02已部署了服务。本文以Alibaba Cloud Linux 3操作系统为例，并使用Nginx配置HTTP 80服务。
参考示例：ECS01部署测试服务
```
yum install -y nginx
systemctl start nginx.service
cd /usr/share/nginx/html/
echo "Hello World ! This is ECS01, service running on port 80." > index.html
```
您已为自有域名配置DNS解析记录，即已配置了A记录将域名指向2个后端服务器的公网IP。
如果您使用的DNS解析服务为非阿里云云解析DNS，请参见您的DNS服务商操作指导。
如果需要通过HTTPS 443对外提供服务，需要提前创建并申请证书或者上传第三方证书到SSL证书服务并绑定自有域名。
您已购买DDoS原生防护实例。

操作步骤

步骤一：配置全球加速

本文以按量付费的标准型GA实例为例。

在全球加速控制台的标准型实例 > 实例列表列表页面，单击创建标准型按量付费实例。
在实例基础配置配置向导页面，配置基础信息，单击下一步。
在配置加速区域配置向导页面，添加加速地域并为其分配带宽，然后单击下一步。
本文场景中，加速区域添加为中国（香港），公网质量类型均配置为BGP（多线），加速地域其他参数配置可保持默认值或根据实际情况修改。
重要
如果带宽峰值设置过低，可能出现限速从而导致流量被丢弃，请合理规划带宽峰值，确保和业务需求匹配。
在配置监听配置向导页面，配置转发协议与端口，然后单击下一步。
本文场景中，路由类型选择智能路由（原标准监听），协议配置为HTTP，端口配置为80，监听其他参数配置可保持默认值或根据实际情况修改。
说明
如果需要通过HTTPS 443对外提供服务，您可以配置HTTPS 443协议端口监听，关联已创建的证书，并在下文终端节点组的端口映射中配置监听端口443到后端服务端口80的映射关系，以实现HTTPS安全加速访问HTTP网站。
在配置终端节点组配置向导页面，配置终端节点后端服务，然后单击下一步。
本文场景中，地域选择美国（硅谷），后端服务依次配置ECS01和ECS02，打开健康检查开关，然后阅读并选中数据跨境合规承诺，终端节点组其他参数配置可保持默认值或根据实际情况修改。
在配置审核配置向导页面，确认GA的配置信息，然后单击提交。
在实例列表页面，找到已创建的GA实例，在CNAME列获取GA实例分配的CNAME。

步骤二：配置DDoS原生防护

在DDoS原生防护控制台的防护对象页面，单击添加防护对象，将GA实例添加为DDoS原生防护的防护对象。

添加防护对象

添加完成后，可在防护对象页面的GA资产页签下，查看已受防护的GA实例；也可在IP资产页签查看已受防护的公网IP，包括GA的加速IP和终端节点组出公网IP。

步骤三：配置CNAME解析

将自有域名的DNS解析到GA实例分配的CNAME，使业务流量切换至GA，以实现访问加速。

本文场景中，如果您已有指向后端服务器的A记录，您可以先指定中国香港地区来添加指向GA的CNAME记录，以进行测试。待测试成功后，再逐步扩展至其他地区或仅保留指向GA的CNAME记录。

在域名解析页面，找到目标业务域名，在操作列单击解析设置。
说明
对于非阿里云注册域名，需先添加域名到云解析控制台，才可以进行域名解析设置。
在解析设置页面，单击添加记录，配置CNAME记录，然后单击确定。
本文场景中，记录类型配置为CNAME，主机记录配置为www，解析请求来源配置为亚洲＿中国香港，记录值配置为GA实例的CNAME，解析记录其他参数配置可保持默认值或根据实际情况修改。

步骤四：结果验证

GA加速效果验证

本文以中国香港探测点为例，在配置GA前后，分别对网站自有域名使用网络拨测工具进行拨测，查看响应时间以了解数据延迟情况。

测试配置GA前的网络延迟情况。
您可以查看响应时间等信息，其中，解析结果IP列显示为ECS实例的公网IP地址。
测试配置GA后的网络延迟情况。
您可以查看响应时间等信息，其中，解析结果IP列显示为GA实例的加速IP。

经验证，使用GA后，降低了中国香港客户端访问美国（硅谷）服务的延迟。

说明

GA的加速效果以您的实际业务测试为准。

GA健康检查效果验证

在浏览器中输入网站自有域名，访问美国硅谷地域部署的网站。
经测试，可以通过网站自有域名访问美国硅谷地域部署的网站，多次刷新浏览器，应答服务器在ECS01和ECS02间切换。
模拟故障：停止服务器ECS01。
一段时间后，在GA实例的终端节点组页签，查看健康检查状态。
多次刷新浏览器，仍然可以正常访问业务，但应答服务器仅剩ECS02。

DDoS高防效果验证

您可以通过DDoS原生防护提供的以下功能，查看防护效果。

业务监控页面可实时查看被防护资产的流量趋势、DDoS攻击事件记录等信息。
攻击分析页面可以查询并分析DDoS原生防护实例上发生的攻击事件详情，包括攻击类型、攻击流量大小、持续时间等。
防护日志页面记录了DDoS原生防护对流量的处理过程，包括攻击检测、流量清洗等详细信息。通过分析防护日志，可以进一步验证防护策略的有效性。